Hijachlist

kann mir jemand sagen was ich tun soll. Hab ein echtes Problem. Bekomme die Viruswarnung von NAV nicht weg. Es hakt wohl mindestens an der letzten Datei wdm.dll.

Log-File von Hijackthis:

http://www.hijackthis.de/logfiles/14002f775d8613f79cfda6d7b0cc3390.html

 

Welche Warnung?

Welchen Virus findet NAV denn?

Welches OS hast du?

Was hakt?

Wenn du nicht grade ne ATI-Graka hast dann ist die wdm.dll die Ursache des Problems (was auch immer das ist, s.o.).

Frag mal Google wie du die Datei wegkriegst.

 

Also ich glaub der Name der Datei hilft mir nix. Hab von nem Trojaner gelesen, der so eine Warung verursacht und eine zufällige dll datei erzeugt.
NAV warnt mich beim start vor einem irreperablen virus namens backdoor.agent.b und verweist auf die datei wdm.dll in system 32, auf die er nicht zugreifen kann.
Im abgesicherten Modus kann ich die Datei zwar auch nciht finden und löschen, aber mit hijackthis fixen. Dann ist nach einem Neustart erst mal alles in ordnung, bis ein paar minuten später wdm.dll wieder auftaucht und NAV wieder ne warnung ausgibt.

Dachte kurzzeitig, dass ich den Übeltäter gefunden habe:

http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Alle Symptome pasten. Aber das entfernungstool sagte mir dann, dass keine Infektion vorliegt.

 

Hast du mal einen anderen Virenscanner ausprobiert?

 

Hallo timbo16,

hier beschreibt dir mmk, wie man diesen Trojaner Backdoor Agent.AC entfernt:
http://www.nickles.de/thread_cache/537730733.html

Da dieser Trojaner eine Backdoor Funktion besitzt, würde ich dir eher zu einem Neuaufsetzen deines Systems raten.
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

 

Habe mir Steeles, Entschuldigung, mmks Beschreibung zur Beseitigung angeschaut : Sie gibt eins zu erkennen : Eine PE-Builder-CD wurde noch nie eingesetzt, denn dann kann man sich das ganze Gewürge mit calcls oder xcacls und abgesichertem Modus sparen.

 

@ franzkat

Da liegst du falsch mit deiner Vermutung.
mmk ist nicht Steele, sondern Markus Klaffke.

Full Ack.

 

Hab da so meine eigene Theorie

 

Ich kapier gar nix mehr.
Was ist das für eine CD von der ihr redet.

Werd wohl neuinstallieren.
Wenn ich wieder zeit hab. Dämnächst.

 

@ timbo16

Hier kannst du dich über Barts PE-Builder einlesen: http://www.wintotal.de/Artikel/pebuilder/pebuilder.php

 

Würde damit nicht zulange warten, du weißt nie so genau was nach so einer Infektion dein rechner für nette Dinge ohne deine Zustimmung unternimmt.




edit: @ Cidre
mmk ist zumindest in diesem Forum der Zweitnick von Herr Eisenheim

 

@ tobiy
Ich lass mich ja gern belehren, aber ich kanns mir beim besten Willen nicht vorstellen.

Ich kenn mmk aus vielen Foren und das ist mit Sicherheit nicht Iron, Steele oder auch Ulrich Eisenheim.
Ich werde im mal ne Mail schicken, vielleicht klärt er uns auf.. :p

 

Was denn nun? Wessen?

Natürlich kann man in diesem Fall die BartPE-einsetzen, ebenso wie evtl. auch Knoppix. Nur: von einem bereits verseuchten System würde ich keine PE erstellen, und diese wenigen Eingaben sind schnell erledigt.

Was ist daran Gewürge? Es ist _eine_ Möglichkeit von sicherlich mehreren. Trendmicro bietet inzwischen auch ein Entfernungstool an. So what?

Und wo wir schon mal bei der "Entfernung" von Malware sind: dass das letztlich weder mit dem Entfernungstool, noch mit BartPE, noch über die "calcs-Lösung" wirklich sicher ist, steht ebenfalls in dem verlinkten Nickles-Beitrag.

 

Anstatt Theorien aufzustellen, sollte ein Blick in die Profile der Foren genügen, in denen ich als "mmk" angemeldet bin, und die die Anzeige der Mailadresse erlauben. Eine Verifizierung der entsprechenden Domains über den zuständigen Wohis sollte dann endgültig Klarheit bringen und das Aufstellen unsinniger Theorien erübrigen.

 

Das ist definitiv falsch. Schalte bitte das nächste Mal, bevor du unrichtige Behauptungen aufstellst, den Verstand ein. Danke.

Dass deine Behauptung falsch ist, kann dir ein PC-Welt-Mod bestätigen, der Einblick in mein Profil haben dürfte.

 

Wenns Dir weiterhilft, bestätige ich mal, daß Deine Mailaddy nicht auf Steele schließen läßt (ohne jetzt zu wissen, worum es in diesem Thread überhaupt geht)

Gute Nacht!
Magiceye

 

Danke!

 

Das ist ja auch nicht gemeint. Die PE-Builder-CD - wenn ich denn noch keine habe - müßte ich und könnte ich natürlich auf einem anderen System erstellen.
Es wäre, wenn ich eine solche CD habe, in vielen Fällen der einfachste Weg. Man sollte sie als die Fortführung der Notfall-DOS-Bootdiskette aus Win 9x-Zeiten betrachten.

mmk/Steele-Problematik :

Ich habe an keiner Stelle in diesem Thread eine Identität behauptet. Die Frage hatte mich mal vor anderhalb Jahren interessiert, aber heute nicht mehr.
Allerdings kann man mit den diesbezüglich vorgebrachten Argumenten auch nicht das Gegenteil beweisen. Weder Mailaddy oder unterschiedliche IPs sind hier ein Beweis. Wenn jemand die Absicht hätte, mit unterschiedlichen Identitäten im Forum aktiv zu sein, dann ist das technisch immer möglich, ohne dass es sich in irgendeiner Weise feststellen ließe, sogar von einem einzigen Rechner mit einem einzigen Anschluss aus. Wenn ich z.B. einen Freund in x habe, dessen Rechner ich remote warte, dann kann ich gleichzeitig in y von meinem Rechner unter einer Identität mit einer IP ins Forum und andererseits auch über die Remote-Verbindung von dem entfernten Rechner x unter dessen Identität und dessen IP.

 

ACK.

Wenn man so eine CD bereits hat - ja. Doch davon war ich nicht ausgegeben, somit gingen die Tipps in eine andere Richtung. Wie gesagt, ich sehe darin kein Problem, wenige Zeilen in die Eingabeaufforderung einzugeben - das ist eine Sache von wenigen Minuten.

Doch, hast du, und zwar hier:

Fein. Dann wäre es ja demzufolge auch gar nicht mehr nötig gewesen, "eigene Theorien" einzustreuen, die in diesem Forum ("Viren, Trojanische Pferde & Co.") und zu diesem Thema völlig OffTopic sind. Darum werde ich meinerseits hier in diesem Thread auch nichts mehr hinzufügen außer abschließend festzustellen:

Ich bin NICHT Steele, ich verwende KEINEN Zweit-Nick - "Cidre" hat dazu bereits alles richtig erklärt. Wer hingegen (weiterhin) etwas anderes behauptet, erzählt die Unwahrheit.

 

Neben BartPE hier zwei Links zum erwähnten Knoppix:
http://www.knoppix.net/docs/index.php/FaqRescueDeutsch
http://www.knoppix.net/get.php

Falls der Backdoor noch aktiv ist, würde ich mit dem System nicht mehr oline gehen. Unabhängig davon ist die von dir angestrebte Neuinstallation auch die sicherstmögliche Variante. Beachte allerdings, dass du dein System nach dem Neuaufsetzen aber vor (!) der ersten Internetverbindung entsprechend absichern musst (siehe z.B. http://www.ntsvcfg.de, http://dingens.org sowie Service-Pack 2 für Windows XP).