Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.CIADOOR in C:\Windows\172888.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.12.2009, 12:39   #1
joachimb
 
Backdoor.CIADOOR in C:\Windows\172888.exe - Standard

Backdoor.CIADOOR in C:\Windows\172888.exe



Hallo!

Gestern Abend fand Norton Antivirus Kompakt den Backdoor.Ciadoor. Ich habe ihn entfernt, doch bei jedem Start kommt er wieder, unter anderem Dateinamen. Jetzt habe ich NAV von der Platte geschmissen und MS OneCare installiert, das mehr fand u.a den Conficker Wurm.


Bitte um Hilfe,


joachimb


EDIT: MS OneCare funtzt nicht, MS nimmt keine neuen Abonennts an. Jetzt habe ich die Security essentials installiert, und warte ab.

Geändert von joachimb (28.12.2009 um 12:51 Uhr)

Alt 28.12.2009, 22:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.CIADOOR in C:\Windows\172888.exe - Standard

Backdoor.CIADOOR in C:\Windows\172888.exe



Hallo und

Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________

__________________

Alt 29.12.2009, 11:17   #3
joachimb
 
Backdoor.CIADOOR in C:\Windows\172888.exe - Standard

Backdoor.CIADOOR in C:\Windows\172888.exe



--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Genuine Intel(R) CPU 575 @ 2.00GHz )
BIOS : Ver 1.00PARTTBL
USER : HermannBischof ( Administrator )
BOOT : Normal boot
Antivirus : Microsoft Security Essentials 2.0.6212.0 (Not Activated)
Firewall : ZoneAlarm Firewall 9.1.007.004 (Not Activated)
C:\ (Local Disk) - NTFS - Total:111 Go (Free:96 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 29.12.2009|11:14 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[22.12.2009|20:35] C:\DOKUME~1\ADMINI~1\ANWEND~1\Intel
[22.12.2009|20:25] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[24.12.2009|11:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[22.12.2009|20:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel
[28.12.2009|12:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[28.12.2009|12:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Norton
[28.12.2009|12:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NortonInstaller
[24.12.2009|08:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
[24.12.2009|12:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Team MediaPortal
[24.12.2009|11:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[24.12.2009|11:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[11|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[25.12.2009|17:46] C:\DOKUME~1\CHRIST~1\ANWEND~1\Adobe
[25.12.2009|17:43] C:\DOKUME~1\CHRIST~1\ANWEND~1\Identities
[22.12.2009|20:35] C:\DOKUME~1\CHRIST~1\ANWEND~1\Intel
[25.12.2009|17:46] C:\DOKUME~1\CHRIST~1\ANWEND~1\Macromedia
[25.12.2009|17:46] C:\DOKUME~1\CHRIST~1\ANWEND~1\Microsoft
[25.12.2009|19:00] C:\DOKUME~1\CHRIST~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\CHRIST~1\ANWEND~1\Bytes
[8|Verzeichnis(se),] C:\DOKUME~1\CHRIST~1\ANWEND~1\Bytes frei

[22.12.2009|20:35] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intel
[22.12.2009|20:25] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[22.12.2009|21:15] C:\DOKUME~1\HERMAN~1\ANWEND~1\Adobe
[25.12.2009|20:03] C:\DOKUME~1\HERMAN~1\ANWEND~1\Help
[22.12.2009|20:31] C:\DOKUME~1\HERMAN~1\ANWEND~1\Identities
[22.12.2009|20:35] C:\DOKUME~1\HERMAN~1\ANWEND~1\Intel
[22.12.2009|21:15] C:\DOKUME~1\HERMAN~1\ANWEND~1\Macromedia
[28.12.2009|20:59] C:\DOKUME~1\HERMAN~1\ANWEND~1\Microsoft
[23.12.2009|19:52] C:\DOKUME~1\HERMAN~1\ANWEND~1\PDF Software
[24.12.2009|20:18] C:\DOKUME~1\HERMAN~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\HERMAN~1\ANWEND~1\Bytes
[10|Verzeichnis(se),] C:\DOKUME~1\HERMAN~1\ANWEND~1\Bytes frei

[24.12.2009|08:20] C:\DOKUME~1\JOACHI~1\ANWEND~1\Adobe
[26.12.2009|18:30] C:\DOKUME~1\JOACHI~1\ANWEND~1\Audacity
[28.12.2009|13:21] C:\DOKUME~1\JOACHI~1\ANWEND~1\CheckPoint
[26.12.2009|17:00] C:\DOKUME~1\JOACHI~1\ANWEND~1\Desktopicon
[23.12.2009|14:53] C:\DOKUME~1\JOACHI~1\ANWEND~1\Identities
[22.12.2009|20:35] C:\DOKUME~1\JOACHI~1\ANWEND~1\Intel
[24.12.2009|08:22] C:\DOKUME~1\JOACHI~1\ANWEND~1\Macromedia
[28.12.2009|12:46] C:\DOKUME~1\JOACHI~1\ANWEND~1\Microsoft
[28.12.2009|17:44] C:\DOKUME~1\JOACHI~1\ANWEND~1\Sun
[24.12.2009|11:20] C:\DOKUME~1\JOACHI~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\JOACHI~1\ANWEND~1\Bytes
[12|Verzeichnis(se),] C:\DOKUME~1\JOACHI~1\ANWEND~1\Bytes frei

[22.12.2009|20:35] C:\DOKUME~1\LOCALS~1\ANWEND~1\Intel
[28.12.2009|12:45] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[28.12.2009|18:32] C:\DOKUME~1\LOCALS~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[5|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[22.12.2009|20:35] C:\DOKUME~1\NETWOR~1\ANWEND~1\Intel
[22.12.2009|20:29] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[28.12.2009|20:41] C:\DOKUME~1\SYSKON\ANWEND~1\Identities
[22.12.2009|20:35] C:\DOKUME~1\SYSKON\ANWEND~1\Intel
[28.12.2009|20:41] C:\DOKUME~1\SYSKON\ANWEND~1\Microsoft
[28.12.2009|20:44] C:\DOKUME~1\SYSKON\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\SYSKON\ANWEND~1\Bytes
[6|Verzeichnis(se),] C:\DOKUME~1\SYSKON\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[29.12.2009 11:06][--ah-----] C:\WINDOWS\tasks\MP Scheduled Scan.job
[29.12.2009 11:02][--a------] C:\WINDOWS\tasks\Automatische Problemsuche.job
[28.12.2009 20:42][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-527237240-725345543-1005UA.job
[28.12.2009 10:43][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-527237240-725345543-1005Core.job
[28.12.2009 20:45][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-527237240-725345543-1004UA.job
[28.12.2009 20:45][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-527237240-725345543-1004Core.job
[29.12.2009 11:02][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[25.12.2009|07:39] C:\Programme\7-Zip
[26.12.2009|16:56] C:\Programme\Audacity 1.3 Beta (Unicode)
[24.12.2009|11:29] C:\Programme\BootXP2
[28.12.2009|13:30] C:\Programme\CheckPoint
[22.12.2009|20:23] C:\Programme\ComPlus Applications
[22.12.2009|21:47] C:\Programme\CONEXANT
[24.12.2009|19:25] C:\Programme\Electronic Arts
[28.12.2009|12:40] C:\Programme\Gemeinsame Dateien
[22.12.2009|21:40] C:\Programme\Hewlett-Packard
[22.12.2009|21:40] C:\Programme\InstallShield Installation Information
[24.12.2009|08:26] C:\Programme\Intel
[25.12.2009|07:40] C:\Programme\Internet Explorer
[28.12.2009|17:47] C:\Programme\Java
[25.12.2009|10:47] C:\Programme\MegaDev
[25.12.2009|08:26] C:\Programme\Messenger
[22.12.2009|21:09] C:\Programme\Microsoft
[22.12.2009|20:26] C:\Programme\microsoft frontpage
[28.12.2009|12:48] C:\Programme\Microsoft Security Essentials
[24.12.2009|11:59] C:\Programme\Microsoft SQL Server
[24.12.2009|11:59] C:\Programme\Microsoft.NET
[22.12.2009|20:23] C:\Programme\Movie Maker
[24.12.2009|11:00] C:\Programme\MSBuild
[22.12.2009|21:00] C:\Programme\MSN
[22.12.2009|20:22] C:\Programme\MSN Gaming Zone
[24.12.2009|10:56] C:\Programme\MSXML 6.0
[22.12.2009|20:24] C:\Programme\NetMeeting
[22.12.2009|20:22] C:\Programme\Online Services
[22.12.2009|20:24] C:\Programme\Online-Dienste
[25.12.2009|07:39] C:\Programme\Outlook Express
[23.12.2009|19:50] C:\Programme\PDF Suite
[24.12.2009|10:59] C:\Programme\Reference Assemblies
[24.12.2009|08:22] C:\Programme\SystemRequirementsLab
[24.12.2009|12:22] C:\Programme\Team MediaPortal
[24.12.2009|11:20] C:\Programme\TuneUp Utilities 2010
[23.12.2009|18:05] C:\Programme\UltraMixer
[22.12.2009|20:31] C:\Programme\Uninstall Information
[26.12.2009|17:00] C:\Programme\VDOWNLOADER
[26.12.2009|16:57] C:\Programme\VirtualDJ
[22.12.2009|21:55] C:\Programme\WIDCOMM
[24.12.2009|10:54] C:\Programme\WinCustomize
[22.12.2009|21:09] C:\Programme\Windows Live
[22.12.2009|21:09] C:\Programme\Windows Live SkyDrive
[24.12.2009|11:52] C:\Programme\Windows Media Connect 2
[24.12.2009|11:52] C:\Programme\Windows Media Player
[22.12.2009|20:22] C:\Programme\Windows NT
[25.12.2009|17:39] C:\Programme\Windows SteadyState
[22.12.2009|20:25] C:\Programme\WindowsUpdate
[28.12.2009|13:59] C:\Programme\WpkUn
[22.12.2009|20:26] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[51|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[22.12.2009|20:24] C:\Programme\Gemeinsame Dateien\Dienste
[22.12.2009|21:40] C:\Programme\Gemeinsame Dateien\InstallShield
[22.12.2009|20:35] C:\Programme\Gemeinsame Dateien\Intel
[24.12.2009|11:59] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[22.12.2009|20:24] C:\Programme\Gemeinsame Dateien\MSSoap
[22.12.2009|20:15] C:\Programme\Gemeinsame Dateien\ODBC
[22.12.2009|20:15] C:\Programme\Gemeinsame Dateien\SpeechEngines
[24.12.2009|10:56] C:\Programme\Gemeinsame Dateien\Stardock
[22.12.2009|20:23] C:\Programme\Gemeinsame Dateien\System
[22.12.2009|20:56] C:\Programme\Gemeinsame Dateien\Windows Live
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[12|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 46 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei: FEHLER BEIM SCAN (Datei wird verwendet)


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 11:14:53
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 5
hidden files: 30

--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !

[F:74][D:8]-> C:\DOKUME~1\HERMAN~1\LOKALE~1\Temp
[F:122][D:0]-> C:\DOKUME~1\HERMAN~1\Cookies
[F:3525][D:8]-> C:\DOKUME~1\HERMAN~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 29.12.2009|11:15 - Option : [1]

--------------------\\ Scan beendet um 11:15:41




Soll ich auch noch mit Malwarebytes Anti-Malware scannen?
__________________

Alt 29.12.2009, 11:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.CIADOOR in C:\Windows\172888.exe - Standard

Backdoor.CIADOOR in C:\Windows\172888.exe



Zitat:
hidden processes: 5
hidden files: 30
Das sieht weniger gut aus
Mach bitte einen Durchlauf mit GMER und poste das Logfile.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.12.2009, 11:36   #5
joachimb
 
Backdoor.CIADOOR in C:\Windows\172888.exe - Standard

Backdoor.CIADOOR in C:\Windows\172888.exe



Hier hab ich auch noch das Malwarebytes Logfile


Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2071
Windows 5.1.2600 Service Pack 2

03.05.2009 22:37:37
mbam-log-2009-05-03 (22-37-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 173174
Laufzeit: 1 hour(s), 57 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 15
Infizierte Verzeichnisse: 4
Infizierte Dateien: 73

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\ac cessdiver.exe (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall\mslagent (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Service s\iTunesMusic (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Service s\rdriv (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/anti-leech plugin,version=1.0.2.3 (Trojan.AntiLeechPlugin) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Anti-Leech (Trojan.AntiLeechPlugin) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\rundll32.exe (Hijack.Sound) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\rundll32.exe (Hijack.Sound) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Gabi\ANWEND~1\MACROM~1\Common\88b2a01 41.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Gabi\ANWEND~1\MACROM~1\Common\88b2a01 41.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Gabi\ANWEND~1\MACROM~1\Common\88b2a01 41.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Gabi\ANWEND~1\MACROM~1\Common\88b2a01 41.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Gabi\ANWEND~1\MACROM~1\Common\88b2a01 41.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Gabi\ANWEND~1\MACROM~1\Common\88b2a01 41.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Gabi\ANWEND~1\MACROM~1\Common\88b2a01 41.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Gabi\ANWEND~1\MACROM~1\Common\88b2a01 41.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken.
C:\Programme\akl (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken.

Infizierte Dateien:
C:\Programme\Mozilla Firefox\plugins\alhlp.exe (Trojan.AntiLeechPlugin) -> No action taken.
C:\Programme\Mozilla Firefox\plugins\npalnn.dll (Trojan.AntiLeechPlugin) -> No action taken.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.
C:\Dokumente und Einstellungen\Gabi\Anwendungsdaten\Macromedia\Comm on\88b2a0141.dll (Hijack.Sound) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macrome dia\Common\88b2a0141.dll (Hijack.Sound) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macro media\Common\88b2a0141.dll (Hijack.Sound) -> No action taken.
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Macromedia\Co mmon\88b2a0141.dll (Hijack.Sound) -> No action taken.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\xxx\delself.bat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> No action taken.
C:\WINDOWS\system32\wini104552663.exe (Trojan.FakeAlert) -> No action taken.


Gmer läuft noch , ich poste dann das logfile


Alt 29.12.2009, 11:45   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.CIADOOR in C:\Windows\172888.exe - Standard

Backdoor.CIADOOR in C:\Windows\172888.exe



1.) Dein Rechner ist stark verseucht! Ich würde Dir zu einer Neuinstallation raten!

Falls Du bereinigen willst, noch Anmerkungen:

2.) Malwarebytes' Anti-Malware 1.36 - ist eine uralte Version! Bitte deinstalliere diese Version und installiere die neue mit aktuellen Signaturen!
Oder kann es sein, dass das Log schon älter ist?

3.) Da steht überall "no action taken" - hast Du die Funde damals entfernt?
__________________
--> Backdoor.CIADOOR in C:\Windows\172888.exe

Alt 29.12.2009, 11:51   #7
joachimb
 
Backdoor.CIADOOR in C:\Windows\172888.exe - Standard

Backdoor.CIADOOR in C:\Windows\172888.exe



Ich habe den betroffenen Computer gekappt und das war die einzige Version die ich noch drauf hatte. GMER verabschiedet sich mit einem Bluescreen. Microsoft Security essentials , echtzeitschutz geht nicht.


XP CD zeigt Bluescreen nach Laden von Treibern, obwohl IDE-Modus ein.


Sonst noch Tipps?

Die Funde sind entfernt.


lg

joachimb

Alt 29.12.2009, 12:31   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.CIADOOR in C:\Windows\172888.exe - Standard

Backdoor.CIADOOR in C:\Windows\172888.exe



Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Backdoor.CIADOOR in C:\Windows\172888.exe
abend, anderem, antivirus, c:\windows, conficker, datei, dateiname, entfern, entfernt, essentials, installier, installiert, norton, platte, security essentials, start, windows




Ähnliche Themen: Backdoor.CIADOOR in C:\Windows\172888.exe


  1. bds/ciadoor.N.25
    Plagegeister aller Art und deren Bekämpfung - 30.12.2009 (4)
  2. backdoor.ciadoor + andere trojaner
    Log-Analyse und Auswertung - 28.05.2008 (1)
  3. backdoor.ciadoor + andere trojaner
    Mülltonne - 28.05.2008 (0)
  4. BDS/Ciadoor.13 ?
    Log-Analyse und Auswertung - 07.01.2008 (18)
  5. virenscanner hat Backdoor.Ciadoor.13&Nukenabber.A gefunden zum 2.
    Mülltonne - 26.11.2007 (0)
  6. virenscanner hat Backdoor.Ciadoor.13&Nukenabber.A gefunden:(
    Plagegeister aller Art und deren Bekämpfung - 26.11.2007 (0)
  7. Win32.Backdoor.CiaDoor - Ad-Aware
    Plagegeister aller Art und deren Bekämpfung - 17.09.2007 (2)
  8. Win32.Backdoor.CiaDoor
    Plagegeister aller Art und deren Bekämpfung - 14.01.2007 (14)
  9. Backdoor ciadoor
    Plagegeister aller Art und deren Bekämpfung - 28.11.2006 (12)
  10. Mögliche Backdoor.Win32.Ciadoor.13 Infizierung
    Log-Analyse und Auswertung - 19.09.2006 (7)
  11. BDS/Ciadoor.13.3 und BDS/Cia.121
    Plagegeister aller Art und deren Bekämpfung - 27.06.2006 (22)
  12. wsocks32.sys, BDS/Ciadoor.13.312
    Plagegeister aller Art und deren Bekämpfung - 09.06.2006 (5)
  13. BDS/Ciadoor.13.312
    Plagegeister aller Art und deren Bekämpfung - 08.05.2006 (2)
  14. CiaDoor
    Plagegeister aller Art und deren Bekämpfung - 27.04.2006 (3)
  15. Brauch hilfe Backdoor.Win Ciadoor
    Log-Analyse und Auswertung - 16.04.2006 (3)
  16. bds ciadoor
    Log-Analyse und Auswertung - 18.03.2005 (4)
  17. BDS/Ciadoor.13.1.B
    Plagegeister aller Art und deren Bekämpfung - 17.03.2005 (1)

Zum Thema Backdoor.CIADOOR in C:\Windows\172888.exe - Hallo! Gestern Abend fand Norton Antivirus Kompakt den Backdoor.Ciadoor. Ich habe ihn entfernt, doch bei jedem Start kommt er wieder, unter anderem Dateinamen. Jetzt habe ich NAV von der Platte - Backdoor.CIADOOR in C:\Windows\172888.exe...
Archiv
Du betrachtest: Backdoor.CIADOOR in C:\Windows\172888.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.