"ldapi.dll" mit Signatur von Backdoorprogramm

(gelezen 652 keer - 0 geregistreerde leden en 1 gast bekijken dit topic.)

Internet-Sicherheit » "ldapi.dll" mit Signatur von Backdoorprogramm

Pagina's: [1]

BleDrajor

Newbie (8)

"ldapi.dll" mit Signatur von Backdoorprogramm « Gepost op: 22.06.07, 17:53:46 »

Jedesmal, wenn ich meinen PC starte, öffnet sich ein Fenster von AntiVir mit der Warnung, dass die Datei "ldapi32.dll" eine Signatur eines Backdoorprogramms hat. Da dies, soweit ich weiß, eine wichtige Windows-Datei ist, versuchte ich immer wieder, auf "Ignorieren" zu klicken, woraufhin das Fenster geschlossen und nach einigen Sekunden erneut geöffnet wurde. Somit lösche ich die Datei immer. Danach kann ich normal weiterarbeiten. Da das aber bestimmt nicht normal ist (vor allem, weil die Meldung bei jedem Start kommt), wollte ich Euch mal fragen, ob Ihr wisst, was ich da jetzt dagegen unternehmen könnte.

Mein System:
AMD Athlon 64 3200+ (2Ghz)
1 Gb RAM
ATI Radeon 9600XT

Mein Anti-Viren-Programm:
AntiVir Personal Edition

By the Way: Gibt es eine Möglichkeit, bei AntiVir das automatische Update auszuschalten ? Ich würde es gerne täglich manuell machen, statt immer wieder aus Vollbildanwendungen rausgeworfen zu werden wegen dem hässlichen Notifier. Wink


« Laatste verandering: 22.06.07, 17:56:20 door BleDrajor »	Meld dit bericht aan de moderator Gelogd

langschlaefer

Sr. Member (600)

Re: "ldapi.dll" mit Signatur von Backdoorprogramm « Antwoord #1 Gepost op: 22.06.07, 19:20:43 »

Citaat

By the Way: Gibt es eine Möglichkeit, bei AntiVir das automatische Update auszuschalten ? Ich würde es gerne täglich manuell machen, statt immer wieder aus Vollbildanwendungen rausgeworfen zu werden wegen dem hässlichen Notifier.

in Taskleiste Rechtsklick auf AntiVir-Symbol --> AntiVir starten --> Register "Planer" --> bei "Update" Haken raus


	Meld dit bericht aan de moderator Gelogd

Sir Reklov

Gast

Re: "ldapi.dll" mit Signatur von Backdoorprogramm « Antwoord #2 Gepost op: 22.06.07, 19:47:27 »

Hallo,
erstelle ein Log von Hijackthis !!
Entweder du postest es hier ,oder du schaust selbst durch.....
Suche nach einem Eintrag der so lautet :

Citaat

O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe

Hast du ihn gefunden ?
Dann hast du gelitten... Roll Eyes

Dann wird es Zeit nach der Installations-CD zu suchen... Cool

Sir Reklov


	Meld dit bericht aan de moderator Gelogd

BleDrajor

Newbie (8)

Re: "ldapi.dll" mit Signatur von Backdoorprogramm « Antwoord #3 Gepost op: 22.06.07, 19:49:42 »

Ouch ! Verdammt, ich Trottel, ich habe nur in der Konfiguration gesucht. Ich kenne den Planer noch... Grin

Dankeschön !

@ Sir Reklov:
Ich schau mal...


« Laatste verandering: 22.06.07, 19:59:49 door BleDrajor »	Meld dit bericht aan de moderator Gelogd

BleDrajor

Newbie (8)

Re: "ldapi.dll" mit Signatur von Backdoorprogramm « Antwoord #4 Gepost op: 22.06.07, 20:05:56 »

Logfile of HijackThis v1.99.1
Scan saved at 20:05:42, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sicherheit\Ad-Aware 2007 - PE\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\SiteAdvisor\6066\SiteAdv.exe
H:\Audio & Video Player\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\vssms32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Microsoft Encarta\Microsoft Lernen und Wissen 2006\Microsoft Lernen und Wissen 2006 DVD\EDICT.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
H:\Über Icon 1.0.2\UberIcon Manager.exe
C:\WINDOWS\system32\ctfmon.exe
H:\PerfectDisk\PDSched.exe
H:\Sonstiges\CF MiniBar\CFMiniBar.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\SpamPal\spampal.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Thoosje Vista Sidebar v1.7.8\thoosje's sidebar.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
H:\PerfectDisk\PDEngine.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\SiteAdvisor\6066\SAService.exe
C:\Dokumente und Einstellungen\Christian Kirpal\Eigene Dateien\Eigene Dokumente\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IE7pro\IE7pro.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Encarta Web Companion Helper Object - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: TBSB02678 - {BDCA7AC9-C27B-4D30-A808-9B9081279C03} - C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL
O3 - Toolbar: (no name) - {6932D140-ABC4-4073-A44C-D4A541665E35} - (no file)
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Youtube-Download-Convert-Toolbar - {6AE02E1C-8859-4F57-9097-5A55A56A4CAF} - C:\PROGRA~1\QUICKN~1\YOUTUB~1.DLL
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\WINDOWS\VistaMizer\styler\TB\StylerTB.dll
O3 - Toolbar: WikiSearch - {44E7EF6C-6F5C-4AAF-A080-7725A27878ED} - C:\PROGRA~1\WIKISE~1\WIKIPE~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Audio & Video Player\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [ACROMOUSE] H:\Office Program Selector 2.0\ACROMAPP.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [ScanSoft remove] C:\WINDOWS\OPDIRDEL.exe "C:\Programme\Caere\OmniPagePro90"
O4 - HKCU\..\Run: [L06DXLRD_21133359] "C:\Programme\Microsoft Encarta\Microsoft Lernen und Wissen 2006\Microsoft Lernen und Wissen 2006 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [UberIcon] "H:\Über Icon 1.0.2\UberIcon Manager.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CFMiniBar] H:\Sonstiges\CF MiniBar\CFMiniBar.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] H:\Chat-Programme\ICQ 5.1\ICQLite.exe -trayboot
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Startup: VisualTaskTips.lnk = C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Find on Wikipedia... - C:\PROGRA~1\WIKISE~1\cm.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7pro\IE7pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7pro\IE7pro.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O15 - Trusted Zone: http://toolbar.imageshack.us
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6066\SiteAdv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Sicherheit\Ad-Aware 2007 - PE\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - H:\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - H:\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - H:\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - H:\PerfectDisk\PDSched.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programme\SiteAdvisor\6066\SAService.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

Und was mache ich jetzt ?


	Meld dit bericht aan de moderator Gelogd

langschlaefer

Sr. Member (600)

Re: "ldapi.dll" mit Signatur von Backdoorprogramm « Antwoord #5 Gepost op: 22.06.07, 20:13:03 »

Citaat

Zitat
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe

Hast du ihn gefunden ?
Dann hast du gelitten...
Dann wird es Zeit nach der Installations-CD zu suchen...

Willkommen im Hellseher-Forum Grin

Such schon mal die CD Wink

@Sir
was hat er/sie denn da jetzt genau, ich lerne so gern dazu !?


	Meld dit bericht aan de moderator Gelogd

kasper6fan

Gast

Re: "ldapi.dll" mit Signatur von Backdoorprogramm « Antwoord #6 Gepost op: 22.06.07, 20:29:01 »

Hoffe der Sir ist jetzt nicht sauer mit mir.
vssms32.exe - er meinte den hier:
http://www.sophos.de/security/analyses/trojbdooryp.html
lies die Erläuterung und Erweitert zu dem Teil.Darum auch die Installations CD.Aber vielleicht meldet der Sir sich nochmal.


	Meld dit bericht aan de moderator Gelogd

Sir Reklov

Gast

Re: "ldapi.dll" mit Signatur von Backdoorprogramm « Antwoord #7 Gepost op: 22.06.07, 20:34:59 »

Hallo,

Citaat

vssms32.exe

Ein sehr gutes Suchwort für Google... Engel

Ergibt sich aus seiner Fehlermeldung ,die so lautete :

Citaat

ldapi32.dll

Auch das eignet sich für Google.Eventuell die "dll" weglassen....
Natürlich auch ein wenig Wissen um diverse Prozesse und deren Echtheit... Engel

@Ble Drajor
Wenn du jetzt aber denkst,mit löschen von diesem Eintrag wäre es erledigt,hast du schon wieder gelitten... Roll Eyes

Dieser Eintrag ist nur die Ausführroutine .Der "Auftraggeber sitzt in deinem System.
Du kannst noch so oft den Sack schlagen,den Esel wirst du nicht treffen... Grin

D.h. wie du bereits selbst bemerkt hast,kannst du das löschen so oft du willst,es wird immer wieder erstellt.
Das haben Backdoors so an sich,das sie sich nicht von dir lösen wollen...
Das hier ist deine einzige Möglichkeit den üblen Burschen wirklich 100% loszuwerden :

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html
Sir Reklov


	Meld dit bericht aan de moderator Gelogd

BleDrajor

Newbie (8)

Re: "ldapi.dll" mit Signatur von Backdoorprogramm « Antwoord #8 Gepost op: 22.06.07, 22:21:07 »

Na wunderbar... *Kopf > Tisch*

Also schön, dann bleibt mir wohl nichts Anderes übrig, als alles nochmal neu aufzubauen. Sad

Trotzdem ein dickes Dankeschön an alle !


	Meld dit bericht aan de moderator Gelogd

Pagina's: [1]

"""Bitte um Hilfe"""D-Link Router W-Lan für andere

Kann man in einem "system();" befehl "Text" und "String

Win95: Outlook Express 6 zeigt Menü "Konten" unter "Extras"

Wie kann ich einen "string" in eine "const char*" konvertier

PC fährt nicht hoch, statt "grün" leuchtet nur "orange"

Bookmark:

Ga naar:

Sicherheit-Forum am 22.06.2007 | | Mobile Version (Handy, PDA)