Backdoorprogramm BDS/Small.EO

#0
26.07.2005, 16:52
...neu hier

Beiträge: 10
#1 Hallo,

ich habe ein Problem mit meinem Rechner und weiss nicht ganz genau ob das Problem nun schon behoben ist.
Ich habe einen USB-Stick mit einigen Word Dokumenten und Acrobat Dokumenten. Den Stick habe ich in meinen Rechner gesteckt und kurze Zeit später erhielt ich eine Windows Meldung, dass sich der Rechner gleich herunterfährt, was er dann auch getan hat.

Bei der Prüfung meines Rechners mit Antivir wurde mir folgende Meldung mitgeteilt:
Die Datei .exe enthält eine Signatur des Backdoorprogrammes BDS/Small.EO
C:\Windwos\System32\.exe
Ich habe diese Datei dann mit Antivir gelöscht und erhielt folgende Meldung:
Vom Virus BDS/Small.EO veränderte Registry- oder Win.INI-Einträge wurden entfernt.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\ImagePath)

Beim prüfen des USB-Sticks fand Antivir allerdings nichts.

Ist der Virus nun trotzdem noch auf meinem USB-Stick? Denn er muss vom USB -Stick kommen, da ich ihn an einen alten Laptop gesteckt habe und sofort den selben Fehler erhielt.

Bitte helft mir weiter, ich bin nicht sicher wie ich weitermachen soll oder kann.

Danke
Seitenanfang Seitenende
26.07.2005, 18:48
Member
Avatar Yourhighness

Beiträge: 279
#2 Hi!

Du kannst den Stick doch in den PC Stecken und dann per Onlinescann die "FP" scannen?

http://virus-protect.org/onlinescan.html

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
26.07.2005, 18:50
Member
Avatar Yourhighness

Beiträge: 279
#3 Wenn Du sicher gehen willst, das dein PC sauber ist, dann poste noch ein HJT Log...http://yourhighness.eddys-domain.de/hjtkurz.html.

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
27.07.2005, 10:41
...neu hier

Themenstarter

Beiträge: 10
#4 Danke erstmal für die Hilfe,

hier habe ich nun das HiJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:27:17, on 27/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\PTBSync.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\Virtual CD v5\System\VC5Tray.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Flea\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RtlWake.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\FLEA\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gruss

visual_75
Seitenanfang Seitenende
27.07.2005, 14:48
Member

Beiträge: 291
#5 Lies die mal dass hier durch:
http://de.wikipedia.org/wiki/Kompromittierung
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Und dann überlege, ob du dasRisiko eingehen willst. Dazu noch ein kleiner Text von Malkesh:

Zitat

Solltest du nun doch eine Bereinigung des Systems versuchen wollen, kann dir niemand hier im Forum garantieren, dass du keine Folgeschäden davon tragen wirst (dafür sind Backdoors die Dritten die Kontrolle über dein System gewähren zu unberechenbar), besonders gefährdet bist du da natürlich bei Dingen wie Online-Banking (du musst damit rechnen, dass JEDES Passwort und sonstige Daten Dritten durch den Backdoor bekannt geworden sind!).
Deshalb solltest du neu aufsetzen. Hier sind ein paar Tipps dazu:
http://board.protecus.de/t16317.htm
Dieser Beitrag wurde am 27.07.2005 um 14:51 Uhr von vfgt editiert.
Seitenanfang Seitenende