Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor.Win32.Cakl.a entfernen (https://www.trojaner-board.de/30547-backdoor-win32-cakl-a-entfernen.html)

trialelmi 12.07.2006 18:19
Backdoor.Win32.Cakl.a entfernen
 
Hi habe wie gesagt das prob seit heute morgen. wie das kam ka weil ich nicht der einzige benutzer bin. habe search & destroy laufen lassen kam nix bei highjackthis kam auch nix.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 19:08:27, on 12.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\elmo\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\elmo\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
C:\Programme\Elmo\logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\Programme\ICQLite\ICQLite.exe
E:\Programme\Musik\Winamp\winampa.exe
E:\Programme\Musik\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\vssms32.exe
C:\Programme\elmo\Microsoft ActiveSync\WCESCOMM.EXE
E:\Toolz\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\PDA\Mobipocket Reader\readernotify.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
E:\Toolz\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Toolz\Norton\Norton Personal Firewall\ISSVC.exe
C:\Programme\elmo\Microsoft ActiveSync\WCESMgr.exe
E:\Toolz\FRITZ!\FriFax32.exe
E:\Toolz\Xfire\Xfire.exe
C:\mysql\bin\mysqld-nt.exe
E:\Toolz\Norton\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
E:\Toolz\Norton\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\Programme\Musik\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\alg.exe
E:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Nmain.exe
C:\WINDOWS\system32\taskmgr.exe
E:\Toolz\Opera\Opera.exe
C:\Dokumente und Einstellungen\trialelmo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\elmo\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Toolz\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\elmo\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\elmo\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] E:\PROGRA~1\Handy\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Musik\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\Musik\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\elmo\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Toolz\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mobipocket Reader Notifications] E:\Programme\PDA\Mobipocket Reader\readernotify.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FritzFax.lnk = E:\Toolz\FRITZ!\FriFax32.exe
O4 - Startup: Xfire.lnk = E:\Toolz\Xfire\Xfire.exe
O4 - Global Startup: ISDNWatch.lnk = E:\Toolz\FRITZ!\IWatch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\elmo\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\elmo\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\elmo\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - E:\Toolz\Norton\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - E:\Toolz\Norton\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource...scbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1136219150265
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{305C05A3-943C-4685-879D-3947FCF145FD}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC60CBFD-47CD-41C7-A0E0-11A1AD429972}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Kana Solution - E:\Toolz\DynDNS Updater\DynDNS.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\Musik\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - E:\Toolz\Norton\Norton Personal Firewall\ISSVC.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Toolz\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - E:\Toolz\Norton\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\Toolz\Norton\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Toolz\TuneUp Utilities 2006\WinStylerThemeSvc.exe
habe http://www.bitdefender.de/scan8/ie.html drüberlaufenb lassen 7 std aber der hat ausser mir alle mirc zu zerstören auch nix gebracht. jemand ne idee also im abgesicherten kann ich nicht starten habe ich auch schon versucht um deie dll dann zu löschen. need help

das scheiss trojanerfenster kommt dauert SUFU brachste auch nix wirklich hier ...

wird übrigens nie beim neustart gelöscht

http://img145.imageshack.us/img145/3...aaaaaer7og.jpg

Yopie 12.07.2006 18:28
Welches Programm meldet "Backdoor.Win32.Cakl.a", und wo wird er gemeldet?

Vermutlich: "C:\WINDOWS\system32\vssms32.exe"

Dann: Anleitung in meiner Signatur zur Backdoorentfernung benutzen! Nein, keine andere Möglichkeit. Ja, Daten kannst du sichern. Nein, es gibt wirklich keine andere Möglichkeit.

edit: Für das von dir gepostete Bild gilt das Gleich!

Gruß :daumenhoc
Yopie

trialelmi 12.07.2006 21:00
kaspersky antivirus personal pro meldet das

der pfad wo ist windows\system32\ und dann 2 verschiedene dll treiberdateien


doch wohl idapi32.exe

der hammer ist die meisten programme sagen nur habe problem

ordell1234 12.07.2006 21:05
Hi,

Zitat:
kaspersky antivirus personal pro meldet das

der pfad wo ist windows\system32\ und dann 2 verschiedene dll treiberdateien
Was für ein Deutsch... :daumenhoc

Welche *.dll meldet denn KAV?

Gruß

Yopie 12.07.2006 21:37
Zitat:
Zitat von trialelmi
kaspersky antivirus personal pro meldet das

der pfad wo ist windows\system32\ und dann 2 verschiedene dll treiberdateien
Wie bereits geschrieben: Anleitung in meiner Signatur zur Backdoorentfernung benutzen! Nein, keine andere Möglichkeit. Ja, Daten kannst du sichern. Nein, es gibt wirklich keine andere Möglichkeit.

Zitat:
der hammer ist die meisten programme sagen nur habe problem
Öhm,.... ja. Whatever.

Gruß :daumenhoc
Yopie

FirasNuwayhid 12.07.2006 21:48
Mh.... du solltest deine Daten sichern und Windows neu installieren.

Soblad ein Backdoor/Trojaner auf dein Rechner kommt stehen alle Türen für neue Schädlinge und Crackern offen. :pfui:


Du kannst in zwar entfernen, aber er wird immernoch Spuren hinterlassen.

Lese dir das durch und lösche die Daten per Hand:

http://www.avira.com/de/threats/section/fulldetails/id_vir/1981/bds_cakl.a.1.html

Wie du dort auch verzeichnet findest hat das Backdoorprogramm Passwörter geklaut und viele andere böse Sachen gemacht.:pfui:

Ändere am besten dein Passwort!

Falls du meinen Rat zu Herzen nimmst und Windows neu installierst beachte folgende Sachen um eine erneute Infektion zu vermeiden:


- Alternativer Browser/E-Mailclient: z.B: Firefox + Thunderbird
- Alle Updates von Software und Windows einspielen
- Windows Firewall aktivieren bzw. www.dingens.org
- Beste Virenklingel verwenden: Brain.exe
- Und einen Helfer falls diese Ausfallen sollte: z.B: AVG

trialelmi 12.07.2006 22:00
ja sry bin voll daneben deswegen also ntswrl32.dll hab schon 4x mit dem prog trojanhunter gescannt und am ende heisst esd immer wird gelöscht beim systemnstart aber geschissen ...

Registry scan
Registry value exists: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\vssms32.exe (matches Turkojan.300) (Regedit Jump)
Registry value exists: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vssms32 (matches Turkojan.300) (Regedit Jump)
Registry value exists: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system3 2\vssms32.exe (matches Turkojan.300) (Regedit Jump)
Registry value exists: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\sys tem32\vssms32.exe (matches Turkojan.300) (Regedit Jump)
Inifile scan


hab in der registrie schon alle einträge vssms32.exe manuell gelöscht und nach dem neustart ists wieder drinn der verschissene trojaner ich werde noch verrückt ...


wo bekommt man in der regel so ein teil her ...?? wäre mir wichtig zu wissen

ordell1234 12.07.2006 22:13
Hi,

Yopie hatte seherische Fähigkeiten :daumenhoc (edit: hab das Bild gar nicht gesehen :crazy:). Beherzige seinen Ratschlag und folge den links in seiner Sigantur.

Du hast mindestens den drauf.

Gruß

trialelmi 12.07.2006 22:25
echt fürn arsch alles man kriegt die dinger ned wech ...

bin echt am boden nunka morgen alles platt machen passes ändern nützt ja nix weil der mitloggt

trialelmi 13.07.2006 12:22
ganz toll jetzt hab ich die partion gelöscht und eine neue erstellt und windoof sagt das das keine geeignete blabla ist für xp zu installieren ...


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131