|
Plagegeister aller Art und deren Bekämpfung: Backdoor.Trojan msacmx.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.11.2004, 14:18 | #1 |
| Backdoor.Trojan msacmx.dll Hallo Ich habe da ein Problem. jedes mal wenn ich meinen Pc starte kommt immer eine Meldung, dass ein Trojaner gefunden wurde. Laut Virenscanner wird er dann gelöscht, aber beim nächsten neustart is er wieder da??? Hat einer ne Ahnung wie ich diesen beseitigen kann?? Im Anhang ist ein Bild, welches zeigt, wie die Warnmeldung aussieht. |
23.11.2004, 16:27 | #2 |
| Backdoor.Trojan msacmx.dll @ Erbsensuppe
__________________erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. SD |
23.11.2004, 16:59 | #3 |
Moderator, a.D. | Backdoor.Trojan msacmx.dll Bei einem aktiven Backdoor würde ich schnellstens neu formatieren!
__________________Warum :http://oschad.de/wiki/index.php/Kompromittierung Wie: http://www.trojaner-board.de/showthread.php?t=9546 Gruß Yopie |
24.11.2004, 13:53 | #4 |
| Backdoor.Trojan msacmx.dll Hier ist die logfile von hijackthis Logfile of HijackThis v1.98.2 Scan saved at 13:52:09, on 24.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\Programme\ICQ\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Torsten\Eigene Dateien\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kasitec.de/index2.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.kasitec.de/index2.htm O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE7F055-AB99-44C0-8201-3A513EE2A1B5}: NameServer = 62.104.191.241 62.104.196.134 |
24.11.2004, 15:07 | #5 |
| Backdoor.Trojan msacmx.dll @ Erbsensuppe, Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen: (Häk'chen setzen und auf Fix Checked klicken): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kasitec.de/index2.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://www.kasitec.de/index2.htm O15 - Trusted Zone: h**p://*.63.219.181.7 boote in den normalen Modus. Aktiviere die Systemwiederherstellung. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus (Anleitung im Link beachten!). Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Wir geben Anweisung, wie es manuell zu machen ist. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es. SD |
25.11.2004, 19:20 | #6 |
| Backdoor.Trojan msacmx.dll @shaddowdance hier ist die liste mit den gefundenen viren aus der mwav.log Thu Nov 25 17:49:37 2004 => ***** Scanning complete. ***** Thu Nov 25 17:49:37 2004 => Total Files Scanned: 86584 Thu Nov 25 17:49:37 2004 => Total Virus(es) Found: 31 Thu Nov 25 17:49:37 2004 => Total Disinfected Files: 0 Thu Nov 25 17:49:38 2004 => Total Files Renamed: 0 Thu Nov 25 17:49:38 2004 => Total Deleted Files: 0 Thu Nov 25 17:49:38 2004 => Total Errors: 2 Thu Nov 25 17:49:38 2004 => Time Elapsed: 02:16:12 Thu Nov 25 17:49:38 2004 => Virus Database Date: 2004/11/24 Thu Nov 25 17:49:38 2004 => Virus Database Count: 110412 Thu Nov 25 15:57:56 2004 => File C:\WINDOWS\System32\dllhostxp.exe infected by "Trojan-Dropper.Win32.Agent.bu" Virus. Action Taken: No Action Taken. Thu Nov 25 15:57:57 2004 => File C:\WINDOWS\System32\pxhping.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken. Thu Nov 25 15:57:57 2004 => File C:\WINDOWS\System32\mqbckup.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken. Thu Nov 25 15:58:34 2004 => File C:\DOKUME~1\Torsten\LOKALE~1\TEMPOR~1\Content.IE5\2AKHGDW5\ABoxInst_int21[1].exe infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: No Action Taken. Thu Nov 25 16:08:18 2004 => File C:\WINDOWS\system32\dllhostxp.exe infected by "Trojan-Dropper.Win32.Agent.bu" Virus. Action Taken: No Action Taken. Thu Nov 25 16:08:18 2004 => File C:\WINDOWS\system32\pxhping.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken. Thu Nov 25 16:08:18 2004 => File C:\WINDOWS\system32\mqbckup.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05D80000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.4 Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07140000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06FC0000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07040000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\00D40000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\00780000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05BC0000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07080000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07980000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\07080001.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:17:48 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05CC0000.VBN infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. Thu Nov 25 16:18:42 2004 => File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2AKHGDW5\ABoxInst_int21[1].exe infected by "Trojan-Downloader.Win32.VB.ft" Virus. Action Taken: No Action Taken. sieht nicht besonders gut aus!? |
26.11.2004, 11:57 | #7 |
| Backdoor.Trojan msacmx.dll und wie bekomme ich die jetzt gelöscht??? |
27.11.2004, 11:54 | #8 |
| Backdoor.Trojan msacmx.dll R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097401611375 1. Unter HKCU-->Software-->Microsoft-->Windows-->CurrentVersion-->Internet Settings-->ZoneMap alle Einträge löschen 2. Im abgesicherten Modus (F8 vor Bootvorgang) AntiVir starten. (Backups für msacmx.dll werden erkannt und gelöscht) 3. Im abgesicherten Modus HijackThis starten und Trojaner fixen Das geht recht schnell und sollte helfen, viel Erfolg |
Themen zu Backdoor.Trojan msacmx.dll |
ahnung, anhang, backdoor.trojan, beseitigen, bild, gefunde, gelöscht, meldung, neustart, rojaner gefunden, scan, scanner, starte, troja, trojaner, trojaner gefunden, virenscan, virenscanner, warnmeldung |