Backdoor.Win32.Small.dc

Dieses Thema Backdoor.Win32.Small.dc im Forum "Windows XP Forum" wurde erstellt von basilom, 24. Feb. 2005.

Thema: Backdoor.Win32.Small.dc Hallo, EScan zeigt mir auf unzähligen Dateien diesen Trojaner an, kann natürlich nichts machen und ich ebenfalls...

  1. Hallo,

    EScan zeigt mir auf unzähligen Dateien diesen Trojaner an, kann natürlich nichts machen und ich ebenfalls nicht. Habe noch ein HijackThis Log gemacht:

    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\csrss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\System32\cisvc.exe
    C:\WINNT\system32\CTSvcCDA.EXE
    C:\Programme\NavNT\defwatch.exe
    C:\PROGRA~1\HPQ\CUSTOM~1\hibserv.exe
    C:\PROGRA~1\Iomega\System32\AppServices.exe
    C:\WINNT\System32\NMSSvc.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\locator.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    c:\progra~1\WinPoet\WrOS.EXE
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\ipko32.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\AVPersonal\AVSched32.EXE
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\a2\a2guard.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\WINNT\System32\cidaemon.exe
    C:\WINNT\System32\svchost.exe
    C:\Programme\Internet Explorer\iexplore.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Bluewin
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {92B4A53D-2071-1514-1445-10DC969D6196} - C:\WINNT\iemk.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [a-squared] C:\Programme\a2\a2guard.exe
    O4 - HKCU\..\Run: [HijackThis startup scan] C:\Steven\Schutzprogramme\HijackThis.exe /startupscan
    O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O12 - Plugin for .mdz: C:\Programme\Plugins\npmod32.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{88C9D03F-B576-4658-9CA8-9F4874C0D033}: NameServer = 195.186.1.110 195.186.1.111
    O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2evxx.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.EXE
    O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Hibernation - Unknown owner - C:\PROGRA~1\HPQ\CUSTOM~1\hibserv.exe
    O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
    O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - c:\progra~1\WinPoet\WrOS.EXE
    O23 - Service: Network Security Service (￾%AF夶À¨) - Unknown owner - C:\WINNT\system32\sysro32.exe /s (file missing)

    Gewisse Sachen die ich fixen möchte tauchen z.B immer wieder auf. Wo muss ich anknüpfen, wer weiss rat.
    Mir wurde empfohlen neu zu installieren. Ist das ebenfalls eure Meinung?

    Würde mich über eine Antwort freuen
     
  2. Lass dein Log bei www.Hijackthis.de auswerten, die als böse gekennzeichneten einträge fixt du und löschst die dazugehörigen Dateien, am Besten im abgesicherten Modus.
    Das Log erscheint mir unvollständig, ausserdem ausser hijackthis keine anderen Anwendungen beim Scannen laufen lassen.

    Bin kein XP-Profi, aber der Prozess svchost.exe ist viermal aktiv, ist das richtig so?
     
  3. hp
    hp
    und mal die anderen threads lesen, die lösungsvorschläge passen auf alle viren/trojaner/spyware z.b. den hier http://www.wintotal-forum.de/index.php/topic,67944.0.html auch wenn da noch nicht alles bereinigt ist. und dein log ist nicht vollständig, also nochmal posten ...

    @dakota

    der svchost startet nach bedarf, wenn gerade 4 dienste in form von dll´s gebraucht werden, sind auch 4 svchost ´s aktiv ...

    greetz

    hugo