Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus/Trojaner "BDS/Aforce.AB" ?? (https://www.trojaner-board.de/2011-virus-trojaner-bds-aforce-ab.html)

ShrinersPark 07.02.2004 09:20
Hallo zusammen,

mein Virenwächter AntiVir zeigt mir jedesmal wieder folgende Meldung:
"Verdächtige Datei gefunden!
Datei C:\Windows\System32:gcmxjhb.dll
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Aforce.AB!"

Ich kann die Datei weder löschen, noch kann ich sie finden. Allerdings taucht sie unter Msconfig auf, aber auch dort bekomme ich sie nicht raus.

Was tun?

Gruß,
Shriners*

*Christian* 07.02.2004 11:25
Lade dir HijackThis:
http://www.chip.de/downloads/c_downloads_11353576.html

Nach dem Scan postest du hier dein Logfile rein.

ShrinersPark 07.02.2004 17:06
"Nach dem Scan postest du hier dein Logfile rein."

Hi,

habe gerade mit "Hijack this" gescannt und folgendes Log angezeigt bekommen:

Logfile of HijackThis v1.97.7
Scan saved at 17:04:16, on 07.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AOL 8.0a\waol.exe
C:\Programme\AOL 8.0a\shellmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Frauke\Desktop\HijackThis.exe
C:\Programme\HyperSnap-DX 4\HprSnap.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [gcmxjhb] rundll32 C:\WINDOWS\System32:gcmxjhb.dll,Init 1
O4 - HKLM\..\RunOnce: [*gcmxjhb] rundll32 C:\WINDOWS\System32:gcmxjhb.dll,Init 1
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22158236-AD83-4E18-BDB3-6B48854ECE05}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CDD80C5-F4CD-41FF-8D1A-3874D1017050}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DA1B665-ED4F-4FFC-8086-2DBE3F47B804}: NameServer = 195.93.68.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{22158236-AD83-4E18-BDB3-6B48854ECE05}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{22158236-AD83-4E18-BDB3-6B48854ECE05}: NameServer = 192.168.0.1


Help?

Cheers, Shriners*

sPaCeLoRd 07.02.2004 18:41
Einfach löschen ist nicht, da der Trojaner sich in den NTFS-Stream einklinkt.
Deinstallieren:

1) Start ->Ausführen -> cmd
Enter
2) Im DOS-Fenster eingeben:
rundll32 C:\WINDOWS\System32:gcmxjhb.dll
,Uninstall
(auf exakt richtige Schreibweise achten)
Enter
3) Ggf. Reste entfernen mit HijackThis.

Angeblich entfernt das Tool CRAV auch Afcore, ob diese Variante, weiß ich allerdings nicht.
Falls du's versuchen willst:
ftp://ftp.kaspersky.com/utils/clrav.zip

sPaCeLoRd 07.02.2004 18:42
rundll32 C:\WINDOWS\System32:gcmxjhb.dll,Uninstall

ShrinersPark 07.02.2004 23:08
Hey cool,

vielen Dank für den Tipp, hat 1a geklappt [img]graemlins/lach.gif[/img]

Thx,
Shriners*
[img]graemlins/bussi.gif[/img]


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131