nerviger backdoor.trojan / wdmm.dll, suche hilfe Einstellungen

[pimperantum]

Hallo,

anbei die log-datei.
Ich habe bereits mehrere Versuche zusammen mit symantec und anderen ideen durchgeführt.
Dieses Datei wdmm.dll lässt sich nicht löschen oder umbennen. Auch im abgesicherten Modus kann ich diese nicht killen.
Kaum ist der Computer an, entstehen nach ca 1 minute, vielleicht wenn der Druckertreiber sich lädt wieder dieses Vorgänge von Norton Anti Virus, welcher in der WDMM.DLL oder auch wdmm.dll den Backdoor.trojan ausmacht.

mit Hijack entsteht dieses Protokoll. Wenn ich die letzte Zeile anhacke und fix checked bestätige passiert nichts. ein erneuert scan und es ist wieder da.
Sieht aus wie ein perpetuum mobile. Angefangen hatte alles mit der Problematik eines Hijackers about:blank
Inzwischen arbeite ich mit Firefox.

Für hilfe bin ich dankbar !!


Logfile of HijackThis v1.98.0
Scan saved at 07:39:52, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Keyboard\Keyboard Hotkey\Hotkey.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Palm\HOTSYNC.EXE
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 600\bin\hpostr05.exe
C:\Programme\Hewlett-Packard\HP OfficeJet Series 600\bin\HPOVDX05.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Dietrich\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: Officejet.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet Series 600\Bin\HPOmnu05.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Hotkey.lnk = C:\Programme\Keyboard\Keyboard Hotkey\Hotkey.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O20 - AppInit_DLLs: C:\WINDOWS\System32\wdmm.dll

[raman]

SChicke die Datei bitte mal an virus@rokop-security.de . Kannst du die Datei im abgesicherten Modus umbenennen? Wenn ja, bitte machen und neu starten. Im zweifelsfalle mal im abgesicherten Modus Winzip oder Winrar laden, den Explorer task beenden und die datei packen, umbenennen/verschieben.....

Du kannst auch mal bei hijackthis1.98 unter Config/misc tools/ open Processmanager "show .dlls" anhaken und schauen mit welchem task die Datei "verbunden" ist. Sollte der Explorer Task sein.....

Der Beitrag wurde von raman bearbeitet: 20.07.2004, 08:36

[paff]

@pimperantum

Notfalls lösch den Eintrag mal händisch

Registry Starten
Start/ausführen/regedit

navigiere zu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
und editiere den Eintrag in "AppInit_DLLs" von Hand

Mach einen Neustart und schau ob er weg ist.

Gruß paff

[pimperantum]

Hallo, danke für die Tipps,

funktionieren leider nicht

Die datei kommt immer wieder !
im abgesicherten Modus nur unter Benutzer zu finden. verändern, löschen ja.
Beim nächsten Start wieder da.

in der Hijack - misc tools show dll ist keine Verbindung zu finden !

Gefunden habe ich die wdmm.dll unter HKEY... Explorer\comDLG32\OpenSaveMRU\*
darunter war noch eine jdgbhfacie !??

Gruß Andreas

[paff]

@pimperantum

Wichtig, schick mal bitte die Datei
"C:\WINDOWS\System32\wdmm.dll"

an virus@rokop-security.de
und an mich
mike_hangover@gozomail.com (Meine FakeEMail)

Dann wissen wir wenigstens was das ist.
Und man kann reagieren!

Gefunden habe ich die wdmm.dll unter HKEY... Explorer\comDLG32\OpenSaveMRU\*

Das kannst du vergessen , das heißt nur das die Datei mit irgendwas geöffnet wurde.

Hast du mal den Eintrag im AppsInit_Dlls von Hand gelöscht????

Gruß paff

---------------------------------
Nachtrag
Das scheint eine Abart des ElKern Trojaners zu sein
http://hq.mcafeeasap.com/dispVirus.asp?virus_k=99238

Irgendwo in den laufenden Prozessen muß sich noch der Virusprozess sein.

Ich glaube es gibt wieder was zu erforschen

Der Beitrag wurde von paff bearbeitet: 20.07.2004, 16:28

[pimperantum]

Diese Datei lässt sich nicht packen, verschicken, verschieben oder sonst was.

Direkt in appinit löschen ?

über hijacker gelöscht, wieder da - und täglich grüßt das murmeltier !

Bin noch da !

Gruß Andy

[paff]

Diese Datei lässt sich nicht packen, verschicken, verschieben oder sonst was.

Direkt in appinit löschen ?

über hijacker gelöscht, wieder da - und täglich grüßt das murmeltier !

Bin noch da !

Gruß Andy

@pimperantum
aber kopieren lässt Sie sich doch , oder?

Dann kopieren und dann verschicken an die beiden EMailAdressen

Dann probiere mal direkt, direkt in der Registry den Inhalt von appinits_dlls zu löschen.

Gruß paff

Der Beitrag wurde von paff bearbeitet: 20.07.2004, 18:38

[pimperantum]

Halllo

die Datei lässt sich auch nicht kopieren !

In der Registy habe ich die Datei gelöscht. sie kommt dann wieder, wenn die wdmm.dll wieder da ist !


Gruß Andreas

[pimperantum]

Hallo

kann es sein das das "Programm, welches die Datei immer wieder erscheinen lässt,

an der Maus, TAstatur, am Drucker oder an einer anderen verwendabren Datei dran hängt ?

Bringt es was Drucker, treiber, Notepad, Image transfer und solche Programme zu deinstallieren und wieder neu aufzuspielen ? Ich kann mich erinnern, das der VDI MAnager von HP und explorer.exe sich hier un da verabschiedet hatten.

Gruß Andreas

[paff]

@all

Hier mal ein paar Links von "ähnlichen Fällen"
Keine LÖSUNG! Nur Denkansatz Alles englisch

http://home8.inet.tele.dk/fbj/NewHJTEntries.htm Alle Einträge mit O20

Hier scheints jemand geschafft zu haben. DLL war auch unbewegbar
http://computercops.biz/print-1-57520.html

Das ist auch interessant
http://forum.emsisoft.com/viewtopic.php?t=1485

@pimperantum
Noch eine Bitte, ist ein bißchen Arbeit aber lohnt sich vielleicht
Das hier downloaden
http://tools.zerosrealm.com/pv.zip
Entpacken und Runme.bat starten
Drücke 1 dann Return
Nun erscheint einen Logdatei. Diese Speichern
Dasselbe bis 6 machen ,
Dann alle Dateien in ein ZipFile packen und mir schicken an
mike_hangover@gozomail.com (Meine FakeEMail)

Wenn du dann noch Lust hast lade dir
http://downloads.subratam.org/FINDnFIX.exe

starten und das Logfile posten

Gruß paff

Der Beitrag wurde von paff bearbeitet: 21.07.2004, 12:30

[SAM]

@all,
zwischenfrage für mich zum lernen:

dieser prozess
C:\WINDOWS\system32\slserv.exe ?

ist in jedem falle o.k.
weil das hier läuft ?
C:\WINDOWS\System32\sistray.EXE

gruß sam

[paff]

@all,
zwischenfrage für mich zum lernen:

dieser prozess
C:\WINDOWS\system32\slserv.exe ?

ist in jedem falle o.k.
weil das hier läuft ?
C:\WINDOWS\System32\sistray.EXE

gruß sam

@SAM
So hab ich mir das auch erklärt

Sollte beides zum SiS Utility gehören

Gruß paff

[pimperantum]

Hallo alle

Danke für die Tipps,

bin leider aktuell unterwegs, mach am Wochenende weiter und versuche noch das ein oder andere durchzuziehen.

Ich kann ja nicht jeden Tag Tasten quälen !

Gruß Andreas

[pimperantum]

Hallo !

ich habe folgendes gemacht:

1 HP Drucker Software deinstalliert
2 dann tauchte auf Backdoor Agent B statt Trojan Backdoor, immer noch mit wdmm.dll
3. im abgesicherten modus nach der Anweisung von symantec verfahren mit in registry windows in windows0 umbennen usw. dann einen Teil des Namens killen...
4. Momentan läuft alles als wäre nichts.

ich hoffe nicht der Schein trügt.

Gruß Andreas

[paff]

@pimperantum

Mach doch mal bitte das was ich meinem Post vom 21. July 2004, 10:07
egschrieben habe.
Dann wissen wir was Sache ist

Gruß paff

Der Beitrag wurde von paff bearbeitet: 27.07.2004, 07:09