Backdoor Smother

#1 Hallo,
ich habe schon seit Wochen Probs mit diesem sogenannten Backdoor_Smother.Er hakt sich immer in den Ordner system32 ein,bzw versucht es.
Alles passiert immer sehr unregelmäßig.Norton Antivirus und AdWatch schlagen immer sofort Alarm.
Habe den CWShredder mehrmals über die zwei Festplatten laufen lassen.Bringt aber anscheinend nichts.
AdWatch hat die Datei mssyncu.exe angezeigt.Was ist das fürn Programm,und wie werde ich das wieder los?
Sende HijackThis Log wenns benötigt wird.

#2 hi schumi78

sende dein log, dann sehen wir mehr und weiter

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#3 Hi,
hier ist der Log.Bitte sehr :
Logfile of HijackThis v1.97.7
Scan saved at 13:56:32, on 21.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\PocketCam 3Mega\ICON.EXE
C:\Programme\Hardcopy\hardcopy.exe
C:\VSTASCAN\vsaccess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\VisionGS BE\visiongs.exe
C:\Programme\WsWin\Wswin32.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Jap\jap.exe
C:\WINDOWS\system32\wjview.exe
D:\Sivka\E m u l e0.30e-sivka.v10e8-bin\E m u l e.exe
C:\Dokumente und Einstellungen\Kevin\Eigene Dateien\Progs\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PocketCam 3Mega Monitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9921431F-C48C-4B53-839C-316F9123A9ED}: NameServer = 195.93.75.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B96A962-B9FE-43CE-8009-64F6987B540D}: NameServer = 192.168.122.252,192.168.122.253

#4 also im log kann ich nichts auffälliges finden, außer :
C:\WINDOWS\wanmpsvc.exe -kenn ich nicht?

diese einträge können raus, müssen nicht:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

über diese datei, mssyncu.exe , kann ich leider nichts brauchbares finden, vielleicht haben raman und paff noch eine idee

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#5 Nutzt du einen IRC client? Dieser Backdoor scheint sich ueber (m)irc zu verbreiten. Hast du sonst noch irgendwelche Laufwerke geshared? Was wird denn angezeigt, wenn du im Dosfenster "net share" (ohne "") eingibst? Ich gehe davon aus, das du alle Windowsupdates installiert hast?
__________
MfG Ralf
SEO-Spam Hunter