Hallo Leute,
ich habe ein problem und hoffe, dass ihr mir behilflich sein könnt:
Habe gerade mein rechner eingeschaltet und bekam glaich eine Meldung von Kaspersky, dass sich ein Trojanisches Pferd auf meiner Festplatte befindet.
Name: Backdoor.32.VB.bco
im Objekt C:\WINDOWS\system32\cdm.exe

jetzt wird natürlich von Kaspersky empfohlen das Objekt zu löschen, doch wenn ich das tue kommt in einer weiteren Fehlermeldung, dass das Löschen des Objekts nicht möglich sei. "Felende Rechte oder Zugriff auf das Objekt verboten" heißt es.

Weiter habe ich versucht das Objekt manuell zu löschen, doch es reproduziert sich automatisch und nach wenigen sekunden befindet sich das Objekt erneut am selben Ort.

Ich hoffe, ihr kommt mit meiner Beschreibung zurecht und könnt mir weiterhelfen. Habe meinen PC erst vor wenigen wochen formatiert und hoffe, dass man auch eine einfachere lösung findet.

Mfg,
Maxtasy

Hallo.

Werte die fragliche Datei bitte online bei Virustotal aus und poste alle Ergebnisse inkl. Dateigröße und Prüfsummen.

Poste auch gleich ein Hijackthis-Logfile.

Das kam bei Virustotal raus:


Hier noch das Logfile (hoffe, dass ich es richtig gepostet habe):

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 15:33:32, on 30.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cdm.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Pidgin\pidgin.exe
C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
         

Du hast leider nicht die Datei ausgewertet, die ich meinte und die dir angezeigt wurde.

Auswerten solltest du => C:\WINDOWS\system32\cdm.exe

cmd.exe ist eine legitime Windowsdatei, der Kommandozeileninterpreter!

Dein Hijackthis-Logfile sieht erstaunlich sauber aus, allerdings fehlt bei dir das SP2 und nat. die Folgepatches.

Warten wir erst die Auswertung ab.

oh ja, hab es gerade auch bemerkt, sorry...

wenn ich die ...\cdm.exe zu virustotal senden will, dann kommt folgendes:
"0 bytes size received / Se ha recibido un archivo vacio"
wenn ich dann aber in meinem system 32 ordner die datei anschaue ist sie 486kb groß.

Okay, dann müssen wir den anders auswerten. Besorg dir killbox (link siehe Signatur).

1. Starte Killbox.
2. Kopier den Pfad zur Schädlingsdatei also C:\WINDOWS\system32\cdm.exe in das Adressfeld.
3. Markier die Option "Delete on reboot".
4. Drück auf das rote Schild mit dem weißen X.
5. Die aufpoppende Frage mit ja beantworten, das System sollte neu starten.
6. Die auszuwertende Datei sollte sich nun in C:\!killbox befinden.
7. Werte die Datei C:\!killbox\cdm.exe aus und poste die Ergebnisse.