Hallo, ich habe mir am 18. Juli o.g. Trojaner eingefangen. NAV kann ihn nicht entfernen. Er sitzt C:\WINNT\system32\combdh.dll. Habe schon Ad-Aware, Spybot, CW-Shredder und a² free laufen lassen, die können ihn nicht finden.
Auf der Seite von virus-aktuell.de sind schon einige, die das gleiche Problem haben und nicht wissen, wie sie es wieder loswerden. Kann mir jemand einen Tipp geben welches Programm helfen könnte.
Viele Grüße Martina

Hi Martina,

willkommen an Board.

Zitat:

Kann mir jemand einen Tipp geben welches Programm helfen könnte.

Hijackthis könnte Dir weiterhelfen. Näheres in meiner Signatur.

Gruß
Yopie

a² und Co. werden diesen Schädling noch nicht erkennen.

Schick mir mal bitte diese Datei zu:
C:\WINNT\system32\combdh.dll

Addy: partytime-germany.ice@web.de

Hier erfährst du detailliert um welcher Art Backdoor es sich handelt, schau mal hier: http://www.sophos.de/virusinfo/analyses/trojdivixa.html
bzw. hier: http://www.sophos.de/virusinfo/analy...2doombera.html

das sind die beiden Varianten die ich unter Backdoor.Trojan gefunden habe - ich hoffe Sie helfen dir!

Zitat:

Hijackthis könnte Dir weiterhelfen. Näheres in meiner Signatur.

Gruß
Yopie

Hallo Yopie, Hijackthis hat ihn zwar gefunden, kann ihn aber nicht entfernen.
Nach dem Fixen ist er beim nächsten Durchlauf wieder da.
Trotzdem Danke für den Tip
mixi

Poste mal bitte ein HJT-Log, dann schauen wir uns das mal gemeinsam an.

Gruß
Yopie

Zitat:

Zitat von Yopie

Poste mal bitte ein HJT-Log, dann schauen wir uns das mal gemeinsam an.

Gruß
Yopie

Hallo Yopie,
na dann schau mal

Logfile of HijackThis v1.98.0
Scan saved at 16:06:08, on 21.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Anvshell.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\PROMon.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\System32\NMSSvc.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\NavNT\vptray.exe
C:\WINNT\netstat.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\a2\a2guard.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Iomega\Tools\IMGICON.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\programme\internet explorer\iexplore.exe
D:\Daten MG\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 2.49.240.70:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [dlr] C:\WINNT\netstat.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Iomega Backup Scheduler.lnk = C:\Programme\Iomega\Iomega Backup\dtiom98.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Options.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: QuikSync.lnk = C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci173.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - https://www.popfile.de/myplaylist/pc...LER_loader.exe
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uwe.garscha.info
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD568A9-00EB-41E4-A05B-63EFBCDB35F5}: NameServer = 212.185.253.136,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uwe.garscha.info
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uwe.garscha.info
O20 - AppInit_DLLs: C:\WINNT\system32\combdh.dll

Ich vermute, dass netstat.exe ( C:\WINNT\netstat.exe ) problematisch ist.

Diesen Prozess bitte über den Taskmanager beenden und die Datei mal prüfen, z.B. rechte Maustaste - Eigenschaften oder über den Online-Scan bei www.kaspersky.de .

Wenn nicht von Microsoft, dann auch
04 - HKLM\..\Run: [dlr] C:\WINNT\netstat.exe fixen.

Wenn es im normalen Modus Probleme gibt, dann mal im abgesicherten Modus versuchen.

Gibt es die Datei C:\WINNT\system32\combdh.dll noch auf dem System?

Gruß
Yopie