Trojaner BDS/Small.EO (Noppi) - Computerhilfen.de

Hi,

habe das problem das ich nun diesen Trojaner aufm Rechner habe (Backdoorprogramm) da mit diesem Rechner onlien banking betrieben wird muss der schnellstmöglich runter.
wie bekomm ich den am besten runter?

Windows +2000

Anbei mal die readme datei

Logfile of HijackThis v1.99.1
Scan saved at 10:55:25, on 27.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchwebzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchwebzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwebzone.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wer.holtdenpokal.de/cms/servlet/Query?node=63960&language=1&section=game
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [System service78] C:\WINDOWS\\\etb\\pokapoka78.exe
O4 - HKLM\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKLM\..\Run: [MICROSOFT Windows Update] pdate.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKLM\..\RunServices: [MICROSOFT Windows Update] pdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [Life FireWall Update1] FireWall-Update1.exe
O4 - HKCU\..\Run: [MICROSOFT Windows Update] pdate.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{015512E6-4FBD-48D1-998E-500E605434FC}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{015512E6-4FBD-48D1-998E-500E605434FC}: NameServer = 205.188.146.145
O17 - HKLM\System\CS2\Services\Tcpip\..\{015512E6-4FBD-48D1-998E-500E605434FC}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Danke im vorraus.

Gruß

Antworten zu Trojaner BDS/Small.EO:

orchidee
Gast

Re: Trojaner BDS/Small.EO

« Antwort #1 am: 27.11.05, 12:37:54 »

Hallo Noppi,

wie hast Du denn den Trojaner BDS/Small.EO entdeckt,
mit welchem Prog ?
War´s damit nicht möglich ihn zu entfernen ?
Wahrscheinlich ´ne dumme Frage, sonst wärste ja auch nicht hier wa.

Vielleicht hilft Dir das ja...

http://trojaner-info.de/test_02_2002.shtml

http://www.viruslist.com/de/viruses/encyclopedia?virusid=76726

Hast Du auch eine Auswertung Deines Logfile gemacht ?
Ich habs mal gemacht mit Deinem, weiss allerdings jetzt nicht ob Du den Link hier öffnen kannst...
http://www.hijackthis.de/index.php#anl

Ansonsten kopier mal bitte Dein Logfile und trag es unter www.hijackthis.de ein. Da kannst Du es Dir mal ansehen und Du bekommst auch Tipps etc.

Eventuell kann ja auch jemand das hier vor Ort auswerten.
Ich bin da leider nicht so begabt drin. *g*

P.S.:

-MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Ihre Version (6.00.2600.0000) ist veraltet. Besuchen Sie Windowsupdate um Ihren Browser zu aktualisieren!

-O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org!

-O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)
Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.

usw...

Moderator informieren

BigDaddy
Gast

Re: Trojaner BDS/Small.EO

« Antwort #2 am: 27.11.05, 20:55:43 »

Hi!

Eines vorweg : mit dieser Kiste in ihrem jetzigen Zustand kannst Du alles machen, nur bitte weder Onlinebanking noch sonst irgendetwas, was mit dem Internet zu tun hat.

1. Der Rechner braucht dringend aktuelle Patches (sowohl für das OS als auch für den IE). Außerdem hast Du kein 2000, sondern XP (zumindest laut HJT-Log).

2. Logfile-Einträge

O4 - HKLM\..\Run: [System service78] C:\WINDOWS\\\etb\\pokapoka78.exe
Adware

O4 - HKLM\..\Run: [Life FireWall Update1] FireWall-Update1.exe
Wahrscheinlich W32/Rbot-ARS inkl. seiner Backdoor

O4 - HKLM\..\Run: [MICROSOFT Windows Update] pdate.exe
Wahrscheinlich der Dumaru-Wurm inkl. seiner Backdoor

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)
Sieht nach Codbot aus, u.a. ein Keylogger an Bord

3. Lösung:
Wenn mit diesem Computer jemals wieder etwas wie Onlinebanking gemacht werden soll, mach ihn bitte vollständig(!!) platt und installiere alles neu! Alles andere ist fahrlässig!

Besorge Dir von einem sauberen Computer das ServicePack 2 sowie von Winboard.org das dazugehörige Updatepack

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=049C9DBE-3B8E-4F30-8245-9E368D3CDB5A
http://download.winboard.org/downloads.php?ordner_id=70

Zusätzlich besuche noch [1]www.dingens.org oder [2]www.ntsvcfg.de.
Installiere alles VOR dem ersten Kontakt mit dem Internet.
Sichere dann das System wie auf [1] oder [2] beschrieben.

Und nutze bitte fürs Onlinebanking einen Browser ungleich IE!

Moderator informieren

« Unverständliche Fehlermeldung im Netscape Messenger		t-online browser öffnet javascript nicht »

Trojaner BDS/Small.EO

Antworten zu Trojaner BDS/Small.EO:

Re: Trojaner BDS/Small.EO

Mehr zu Trojaner BDS/Small.EO