Backdoor.Trojan
 

Hallo, ich habe mir am 18. Juli o.g. Trojaner eingefangen. NAV kann ihn nicht entfernen. Er sitzt C:\WINNT\system32\combdh.dll. Habe schon Ad-Aware, Spybot, CW-Shredder und a² free laufen lassen, die können ihn nicht finden.
Auf der Seite von virus-aktuell.de sind schon einige, die das gleiche Problem haben und nicht wissen, wie sie es wieder loswerden. Kann mir jemand einen Tipp geben welches Programm helfen könnte. :lmaa:
Viele Grüße Martina

Hi Martina,

willkommen an Board. :)

Hijackthis könnte Dir weiterhelfen. Näheres in meiner Signatur.

Gruß :daumenhoc
Yopie

a² und Co. werden diesen Schädling noch nicht erkennen.

Schick mir mal bitte diese Datei zu:
C:\WINNT\system32\combdh.dll

Addy: partytime-germany.ice@web.de

Hier erfährst du detailliert um welcher Art Backdoor es sich handelt, schau mal hier: http://www.sophos.de/virusinfo/analyses/trojdivixa.html
bzw. hier: http://www.sophos.de/virusinfo/analy...2doombera.html

das sind die beiden Varianten die ich unter Backdoor.Trojan gefunden habe - ich hoffe Sie helfen dir!

Hallo Yopie, Hijackthis hat ihn zwar gefunden, kann ihn aber nicht entfernen.
Nach dem Fixen ist er beim nächsten Durchlauf wieder da.
Trotzdem Danke für den Tip :kloppen:
mixi

Poste mal bitte ein HJT-Log, dann schauen wir uns das mal gemeinsam an.

Gruß :daumenhoc
Yopie

Hallo Yopie,
na dann schau mal :crazy:

Logfile of HijackThis v1.98.0
Scan saved at 16:06:08, on 21.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Anvshell.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\PROMon.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\System32\NMSSvc.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\NavNT\vptray.exe
C:\WINNT\netstat.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\a2\a2guard.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Iomega\Tools\IMGICON.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\programme\internet explorer\iexplore.exe
D:\Daten MG\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 2.49.240.70:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [dlr] C:\WINNT\netstat.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Iomega Backup Scheduler.lnk = C:\Programme\Iomega\Iomega Backup\dtiom98.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Options.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: QuikSync.lnk = C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci173.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - https://www.popfile.de/myplaylist/pc...LER_loader.exe
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uwe.garscha.info
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD568A9-00EB-41E4-A05B-63EFBCDB35F5}: NameServer = 212.185.253.136,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uwe.garscha.info
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uwe.garscha.info
O20 - AppInit_DLLs: C:\WINNT\system32\combdh.dll

Ich vermute, dass netstat.exe ( C:\WINNT\netstat.exe ) problematisch ist.

Diesen Prozess bitte über den Taskmanager beenden und die Datei mal prüfen, z.B. rechte Maustaste - Eigenschaften oder über den Online-Scan bei www.kaspersky.de .

Wenn nicht von Microsoft, dann auch
04 - HKLM\..\Run: [dlr] C:\WINNT\netstat.exe fixen.

Wenn es im normalen Modus Probleme gibt, dann mal im abgesicherten Modus versuchen.

Gibt es die Datei C:\WINNT\system32\combdh.dll noch auf dem System?

Gruß :daumenhoc
Yopie

Hallo,

netstart.exe ist gefixt, in den Eigenschaften stand nicht wozu es gehört.

und ja, die Datei ist noch da, sobald ich ein Programm öffne kommt eine NAV Meldung
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Backdoor.Trojan
File: C:\WINNT\system32\combdh.dll
Location: C:\WINNT\system32
Computer: HNPC1
User: UweG
Action taken: Clean failed : Quarantine failed : Access denied
Date found: Wed Jul 21 16:54:11 2004

Ich sollte das mit dem abgesicherten Modus mal probieren,
wollte Christian die Datei schon schicken, bekomme aber die Meldung,
Zugriff verweigert wegen fehlender Rechte.

:teufel3: Mixi

Ich habe im abgesicherten Modus gestartet und verschiedene Virenscanner laufen lassen. escan hat 3 andere Trojaner gefunden und gelöscht, aber der spezielle war nicht dabei. :confused: Übrigens im abgesicherten Modus ist die Datei nicht zu finden.
Beim googln habe ich auch keine Lösung gefunden, nur jede Menge Leute mit dem gleichen Problem.
Kann mir denn keiner helfen. :heulen:

Drei "gelöschte" + ein "nicht-zu-findender" Trojaner sind schon ein guter Grund, das System neu zu installieren.
OT: Warum verlieren die Leute soooo viel Zeit, um den/die Troajner mit dubiosen Methoden zu beseitigen, statt in 2 Stunden das System neu zu installieren und garantiert einen sauberen PC zu bekommen?

Weil wir hier sonst nichts zu tun hätten :knuddel:

Gruß paff

...FULL ACK! Warum fiel es mir nicht sofort auf?
:teufel2:

Ja ich bin sozusagen Neuling am Computer und hab auch schon so nen backdoor trojan ... also zumindestens wird es so angezeigt. Du sagtest System neu installieren... da frag ich doch glatt mal wie das geht :confused:

1. Augen Auf, meine Signatur lesen.
2. Trojaner-Board-Startseite, Themenbereich Anleitungen, FAQ & Links
3. Google.de
4. Was tust du eigentlich in einem vor 2,5 Jahren geschloßenen Thread? :confused: