Startseite
Hilfe-ForumFrageSuchenKontakt/Impressum

ForenForum
"ldapi.dll" mit Signatur von Backdoorprogramm
Von: BleDrajor *
am 22.06.2007
Jedesmal, wenn ich meinen PC starte, öffnet sich ein Fenster von AntiVir mit der Warnung, dass die Datei "ldapi32.dll" eine Signatur eines Backdoorprogramms hat. Da dies, soweit ich weiß, eine wichtige Windows-Datei ist, versuchte ich immer wieder, auf "Ignorieren" zu klicken, woraufhin das Fenster geschlossen und nach einigen Sekunden erneut geöffnet wurde. Somit lösche ich die Datei immer. Danach kann ich normal weiterarbeiten. Da das aber bestimmt nicht normal ist (vor allem, weil die Meldung bei jedem Start kommt), wollte ich Euch mal fragen, ob Ihr wisst, was ich da jetzt dagegen unternehmen könnte.


Mein System:
AMD Athlon 64 3200+ (2Ghz)
1 Gb RAM
ATI Radeon 9600XT

Mein Anti-Viren-Programm:
AntiVir Personal Edition


By the Way: Gibt es eine Möglichkeit, bei AntiVir das automatische Update auszuschalten ? Ich würde es gerne täglich manuell machen, statt immer wieder aus Vollbildanwendungen rausgeworfen zu werden wegen dem hässlichen Notifier. Wink

Antwort 1 von langschlaefer ****
am 22.06.2007
 
Zitat
By the Way: Gibt es eine Möglichkeit, bei AntiVir das automatische Update auszuschalten ? Ich würde es gerne täglich manuell machen, statt immer wieder aus Vollbildanwendungen rausgeworfen zu werden wegen dem hässlichen Notifier.
in Taskleiste Rechtsklick auf AntiVir-Symbol --> AntiVir starten --> Register "Planer" --> bei "Update" Haken raus

Antwort 2 von Sir Reklov
am 22.06.2007
Hallo,
erstelle ein Log von Hijackthis !!
Entweder du postest es hier ,oder du schaust selbst durch.....
Suche nach einem Eintrag der so lautet :

 
Zitat
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
Hast du ihn gefunden ?
Dann hast du gelitten... Roll Eyes
Dann wird es Zeit nach der Installations-CD zu suchen... Cool
Sir Reklov

Antwort 3 von BleDrajor *
am 22.06.2007
Ouch ! Verdammt, ich Trottel, ich habe nur in der Konfiguration gesucht. Ich kenne den Planer noch... Grin
Dankeschön !

@ Sir Reklov:
Ich schau mal...

Antwort 4 von BleDrajor *
am 22.06.2007
Logfile of HijackThis v1.99.1
Scan saved at 20:05:42, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sicherheit\Ad-Aware 2007 - PE\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\SiteAdvisor\6066\SiteAdv.exe
H:\Audio & Video Player\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\vssms32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Microsoft Encarta\Microsoft Lernen und Wissen 2006\Microsoft Lernen und Wissen 2006 DVD\EDICT.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
H:\Über Icon 1.0.2\UberIcon Manager.exe
C:\WINDOWS\system32\ctfmon.exe
H:\PerfectDisk\PDSched.exe
H:\Sonstiges\CF MiniBar\CFMiniBar.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Thoosje Vista Sidebar v1.7.8\thoosje's sidebar.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
H:\PerfectDisk\PDEngine.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\SiteAdvisor\6066\SAService.exe
C:\Dokumente und Einstellungen\Christian Kirpal\Eigene Dateien\Eigene Dokumente\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7pro\IE7pro.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Encarta Web Companion Helper Object - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: TBSB02678 - {BDCA7AC9-C27B-4D30-A808-9B9081279C03} - C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL
O3 - Toolbar: (no name) - {6932D140-ABC4-4073-A44C-D4A541665E35} - (no file)
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Youtube-Download-Convert-Toolbar - {6AE02E1C-8859-4F57-9097-5A55A56A4CAF} - C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\WINDOWS\VistaMizer\styler\TB\StylerTB.dll
O3 - Toolbar: WikiSearch - {44E7EF6C-6F5C-4AAF-A080-7725A27878ED} - C:\PROGRA~1\WIKISE~1\WIKIPE~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Audio & Video Player\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ACROMOUSE] H:\Office Program Selector 2.0\ACROMAPP.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [ScanSoft remove] C:\WINDOWS\OPDIRDEL.exe "C:\Programme\Caere\OmniPagePro90"
O4 - HKCU\..\Run: [L06DXLRD_21133359] "C:\Programme\Microsoft Encarta\Microsoft Lernen und Wissen 2006\Microsoft Lernen und Wissen 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [UberIcon] "H:\Über Icon 1.0.2\UberIcon Manager.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CFMiniBar] H:\Sonstiges\CF MiniBar\CFMiniBar.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] H:\Chat-Programme\ICQ 5.1\ICQLite.exe -trayboot
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: VisualTaskTips.lnk = C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Find on Wikipedia... - C:\PROGRA~1\WIKISE~1\cm.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7pro\IE7pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7pro\IE7pro.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O15 - Trusted Zone: http://toolbar.imageshack.us
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Sicherheit\Ad-Aware 2007 - PE\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - H:\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - H:\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - H:\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - H:\PerfectDisk\PDSched.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programme\SiteAdvisor\6066\SAService.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe


Und was mache ich jetzt ?

Antwort 5 von langschlaefer ****
am 22.06.2007
 
Zitat
Zitat
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe

Hast du ihn gefunden ?
Dann hast du gelitten...
Dann wird es Zeit nach der Installations-CD zu suchen...

Willkommen im Hellseher-Forum  Grin  Such schon mal die CD  Wink

@Sir
was hat er/sie denn da jetzt genau, ich lerne so gern dazu !?

Antwort 6 von kasper6fan
am 22.06.2007
Hoffe der Sir ist jetzt nicht sauer mit mir.
vssms32.exe - er meinte den hier:
http://www.sophos.de/security/analyses/trojbdooryp.html
lies die Erläuterung und Erweitert zu dem Teil.Darum auch die Installations CD.Aber vielleicht meldet der Sir sich nochmal.
 

Antwort 7 von Sir Reklov
am 22.06.2007
Hallo,

 
Zitat
vssms32.exe  

Ein sehr gutes Suchwort für Google... Engel

Ergibt sich aus seiner Fehlermeldung ,die so lautete :
Zitat
ldapi32.dll
Auch das eignet sich für Google.Eventuell die "dll" weglassen....
Natürlich auch ein wenig Wissen um diverse Prozesse und deren Echtheit... Engel

@Ble Drajor
Wenn du jetzt aber denkst,mit löschen von diesem Eintrag wäre es erledigt,hast du schon wieder gelitten... Roll Eyes
Dieser Eintrag ist nur die Ausführroutine .Der "Auftraggeber sitzt in deinem System.
Du kannst noch so oft den Sack schlagen,den Esel wirst du nicht treffen... Grin
D.h. wie du bereits selbst bemerkt hast,kannst du das löschen so oft du willst,es wird immer wieder erstellt.
Das haben Backdoors so an sich,das sie sich nicht von dir lösen wollen...
Das hier ist deine einzige Möglichkeit den üblen Burschen wirklich 100% loszuwerden :

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html
Sir Reklov

Antwort 8 von BleDrajor *
am 22.06.2007
Na wunderbar... *Kopf > Tisch*

Also schön, dann bleibt mir wohl nichts Anderes übrig, als alles nochmal neu aufzubauen. Sad

Trotzdem ein dickes Dankeschön an alle !

« zurück Antworten