| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Cakl.A.2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.10.2006, 18:55
| #1 |
 |  Cakl.A.2 Hallo, hab mir vor zwei Tagen einen unglaublich nervigen Backdoortrojaner mit dem Namen Cakl.A.2 eingefangen. Betroffen sind wohl die Dateien ntswrl32.dll und ldapi32.exe (beide im system32 Ordner). Habe sowohl Antivir, als auch AVG Anti-Spyware drüberlaufn lassn. Antivir erkennt so beim prüfen nicht einmal was, gibt aber andauernd eine Virenwarnung der Datei ntswrl32.dll aus. Anti-Spyware hat den Trojaner erkannt und auch gelöscht, nach Neustart aba wieder alles da. In den abgesicherten Modus komme ich nicht, Wiederherstellungspunkt habe ich nicht und die Dateien lassen sich mit diversen Tools nicht löschen, z.B Killbox. Das komische ist, dass www.virustotal.com bei keinen der beiden Dateien einen Virus erkennen kann. Achja und in der Wiederherstellungskonsole kann ich die Dateien auch nicht löschen, weil sie nicht da sind... Hier mein HijackThis Logfile: Logfile of HijackThis v1.99.1 ... [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] Finde nun die zwei Dateien auch komischerweise nicht mehr im system32 Ordner, trotzdem bekomm ich öfter die virusmeldung, vor allem beim neu hochfahren!!! Ich hab mein System nun schon so lange laufen und ich mag nicht neu installieren, da würd so viel verloren gehen. Bitte um Hilfe!!!! MFG Killver |
|
19.10.2006, 07:53
| #2 | ||
  | Cakl.A.2 mOIn
__________________Zitat:
 Was hättest im fall eines Festplattencrashes gemacht? Zitat:
Vllt. macht das hier und besonders die Punkte Hintertür und Diebstahl die Entscheidung etwas leichter, aber das mußt du wissen. MFG |
|
19.10.2006, 15:11
| #3 |
| | Cakl.A.2 Cakl ist ein Passwortdieb. Sprich, wenn's Dir nicht wichtig ist, daß jemand auf EBay, Amazon und co auf Deine Rechnung einkauft, von Deinem PayPal Konto die Kohle zu sich überweist, Deinen Mailaccount zum Spamversandt nutzt (und Dich damit auf so ziemlich jede Blacklist der Welt bringt) usw., dann kannst Du das Problem getrost ignorieren.
__________________ Zusätzlich hat er, wie Du anhand der "nicht vorhandenen" Dateien schon bemerkt hast, die Fähigkeit seine Dateien vor Dir, Deinem System und Deinem Virenkiller zu verstecken. Außerdem manipuliert er die Systemwiederherstellung und den "Abgesicherten Modus", wodurch eine Reparatur auch nicht grad leichter wird. Du kannst im Prinzip das nun Folgende probieren. Erfolg würde ich dem Ganzen keinen zusprechen, auch bin ich fern davon sicher zu sein, daß man ihn dadurch vollständig entfernen kann, aber die Alternative dazu ist nur die Kiste neu aufzusetzen. Also: Such in der Registry nach dem Key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vms32 und lösche ihn. Mach einen Neustart und schau ob der Key wirklich weg ist. Falls nicht, nochmal löschen. Suche den Prozess VMS32.exe und beende ihn. Bete daß es funktioniert. Falls ja, such die Datei c:\windows\system32\vms32.exe (bzw. wie das %system% Verzeichnis halt bei Dir heißt) und (sofern Du sie sehen kannst) lösch sie. Versuch's auch über die Eingabeaufforderung, gelegentlich übersehen das die Virenschreiber. Neustart (beten nicht vergessen) Such im Windowsverzeichnis nach der Datei hkr32.asm und lösche sie. Wieder per Kommandozeile falls notwendig. Und anschließend noch ldapi32.exe, ntcvx32.dll und ntswrl32.dll, alle im System32 Verzeichnis. Ganz gelöst ist das Problem damit nicht, weil Du immer noch keinen abgesicherten Modus und keine Systemwiederherstellung zustandebringen wirst, und das System insgesamt nicht mehr das stabilste ist. Wie gesagt, durch die Rootkitfähigkeiten des Ganzen kannst Du nie sicher sein, daß er vollständig entfernt ist. Und hier geht's um Deine Paßwörter (die Du, so nebenbei, jetzt ändern solltest). Überleg Dir also, ob es nicht insgesamt doch besser ist sicherzugehen und das System neu aufzusetzen. |
|
19.10.2006, 19:22
| #4 |
| | Cakl.A.2 Hatte nur mehr ntcvx32.dll am Rechner (diese ließ sich ohne probs löschen). Auch der reg EIntrag war nicht da. Bekomm auch keine Warnungen mehr...jetzt teste ichmal ob abgesicherter Modus funzt...komisch! edit: abgesicherter Modus funzt nicht, sonst alles...wie kann ich mir sicher gehen, ob mein System wieder clean ist? Geändert von killver (19.10.2006 um 19:31 Uhr) |
|
19.10.2006, 23:02
| #5 |
| | Cakl.A.2 Im Prinzip nur, indem Du von einem sicher nicht infizierten System bootest und nachsiehst ob die Dateien wirklich weg sind. Die Tatsache daß Du weder den Registryeintrag noch die Dateien siehst bedeutet lediglich, daß sie entweder weg sind oder der Trojaner noch aktiv ist und sie versteckt. Bis zum nächsten Neuaufsetzen wird's keine Sicherheit geben. |
|
20.10.2006, 13:09
| #6 |
| | Cakl.A.2 Virenschutz erkennt auch nix mehr...wär so toll wenn der weg wär...gibts keine einfache Möglichkeit das zu überprüfen? Bitte um Vorschläge.... |
|
| Themen zu Cakl.A.2 |
| .dll, abgesicherten modus, antivir, avg, backdoor, backdoortrojaner, bitte um hilfe, black, dateien, diverse, erkannt, gelöscht, hijack, hijackthis, hijackthis logfile, hilfe!, hilfe!!, hilfe!!!, links, logfile, löschen, namen, neustart, nicht mehr, ordner, prüfen, system, system32, warnung |
Linear-Darstellung
