Virus Problem ( Backdoor.MoSucker.07a und Trojan.Win32.ek und andere) |
||
---|---|---|
#0
| ||
24.09.2004, 16:17
...neu hier
Beiträge: 5 |
||
|
||
24.09.2004, 17:21
Moderator
Beiträge: 7805 |
#2
Im abgesicherten Modus sollte es gehen. Kaspersky hat dir wohl einen Trojaner geloescht, der sich im Exe Aufruf einhaengt. BEnenne Hijackthisexe in hijackthis.com um, dann koennte es funktionieren. Im abgesicherten Modus sollte es eh funktionieren. Wenn du die Moeglichkeit hast, nutze mal escan:
http://www.trojaner-info.de/hijacker/escan.shtml , das koennte dir unter Umstaenden die Registrierungsinformationen wieder auf Standard setzen. Aber bei dem Befall, waere ein neu aufsetzen wohl das sinnvollste. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.09.2004, 21:04
...neu hier
Themenstarter Beiträge: 5 |
#3
also ich glaube das alles wieder in ordnung ist, bin mir aber nicht sicher. hab mal escan oder so laufen lassen:
Fri Sep 24 20:41:39 2004 => ***** Scanning Memory Files ***** Fri Sep 24 20:41:39 2004 => Scanning File C:\WINDOWS\system32\services.exe Fri Sep 24 20:41:40 2004 => Scanning File C:\WINDOWS\system32\lsass.exe Fri Sep 24 20:41:40 2004 => Scanning File C:\WINDOWS\system32\svchost.exe Fri Sep 24 20:41:40 2004 => Scanning File C:\WINDOWS\System32\svchost.exe Fri Sep 24 20:41:40 2004 => Scanning File C:\WINDOWS\system32\LEXBCES.EXE Fri Sep 24 20:41:41 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe Fri Sep 24 20:41:42 2004 => Scanning File C:\WINDOWS\system32\LEXPPS.EXE Fri Sep 24 20:41:42 2004 => Scanning File C:\WINDOWS\Explorer.EXE Fri Sep 24 20:41:42 2004 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\ccEvtMgr.exe Fri Sep 24 20:41:43 2004 => Scanning File D:\PROGRA~1\NORTON~1\NORTON~1\navapsvc.exe Fri Sep 24 20:41:44 2004 => Scanning File C:\Programme\Messenger\msmsgs.exe Fri Sep 24 20:41:44 2004 => Scanning File C:\PROGRA~1\INTERN~1\iexplore.exe Fri Sep 24 20:41:44 2004 => Scanning File C:\bases\mwavscan.com Fri Sep 24 20:41:45 2004 => Scanning File C:\bases\kavss.exe Fri Sep 24 20:41:45 2004 => ***** Scanning Registry Files ***** Fri Sep 24 20:41:45 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Fri Sep 24 20:41:45 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects Fri Sep 24 20:41:46 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Fri Sep 24 20:41:47 2004 => Scanning HKCU\Control Panel\Desktop Fri Sep 24 20:41:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fri Sep 24 20:41:51 2004 => ERROR!!! Invalid Entry iexplore.exe = C:\WINDOWS\winlogon.exe. Removing it. Fri Sep 24 20:41:51 2004 => ERROR!!! Invalid Entry Babak = c:\WINDOWS\Fonts\lsass.exe. Removing it. Fri Sep 24 20:41:52 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Fri Sep 24 20:41:52 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Fri Sep 24 20:41:52 2004 => ERROR!!! Invalid Entry Babak = c:\WINDOWS\Fonts\lsass.exe. Removing it. Fri Sep 24 20:41:52 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Fri Sep 24 20:41:52 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fri Sep 24 20:41:52 2004 => ERROR!!! Invalid Entry windllsys32.exe = C:\WINDOWS\System32\windllsys32.exe. Removing it. Fri Sep 24 20:41:52 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Fri Sep 24 20:41:52 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Fri Sep 24 20:41:52 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Fri Sep 24 20:41:52 2004 => Scanning HKCR\txtfile\shell\open\command Fri Sep 24 20:41:52 2004 => Scanning HKCR\comfile\shell\open\command Fri Sep 24 20:41:52 2004 => Scanning HKCR\exefile\shell\open\command Fri Sep 24 20:41:52 2004 => Replacing Registry Value Fri Sep 24 20:41:52 2004 => Scanning HKCR\dllfile\shell\open\command Fri Sep 24 20:41:52 2004 => Scanning HKCR\batfile\shell\open\command Fri Sep 24 20:41:52 2004 => Scanning HKCR\piffile\shell\open\command Fri Sep 24 20:41:52 2004 => Scanning HKCR\scrfile\shell\open\command Fri Sep 24 20:41:52 2004 => Scanning HKCR\scrfile\shell\config\command Fri Sep 24 20:41:52 2004 => Scanning HKCR\regfile\shell\open\command Fri Sep 24 20:41:52 2004 => Regvalue DisableRegistryTools Reset. This could be part of a worm!!! Fri Sep 24 20:41:52 2004 => ***** Scanning StartUp Folders ***** Fri Sep 24 20:41:52 2004 => ***** Scanning C:\Dokumente und Einstellungen\Babak\Startmenü\Programme\Autostart Folder ***** Fri Sep 24 20:41:52 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Babak\Startmenü\Programme\Autostart\*.* Fri Sep 24 20:41:53 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder ***** Fri Sep 24 20:41:53 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.* Fri Sep 24 20:41:53 2004 => ***** Scanning Service Files ***** Fri Sep 24 20:41:53 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services Fri Sep 24 20:42:29 2004 => ***** Scanning System32 Folders ***** Fri Sep 24 20:42:29 2004 => Scanning C:\WINDOWS Directory Fri Sep 24 20:42:29 2004 => Scanning Folder: C:\WINDOWS\*.* Fri Sep 24 20:42:53 2004 => Scanning C:\WINDOWS\System32 Directory Fri Sep 24 20:42:54 2004 => Scanning Folder: C:\WINDOWS\System32\*.* Fri Sep 24 20:53:06 2004 => ***** Checking for specific ITW Viruses ***** Fri Sep 24 20:53:07 2004 => Checking for Welchia Virus... Fri Sep 24 20:53:07 2004 => Checking for LovGate Virus... Fri Sep 24 20:53:07 2004 => Checking for CodeRed Virus... Fri Sep 24 20:53:07 2004 => Checking for OpaServ Virus... Fri Sep 24 20:53:07 2004 => Checking for Sobig.e Virus... Fri Sep 24 20:53:07 2004 => Checking for Winupie Virus... Fri Sep 24 20:53:07 2004 => Checking for Swen Virus... Fri Sep 24 20:53:07 2004 => Checking for JS.Fortnight Virus... Fri Sep 24 20:53:07 2004 => Checking for Novarg Virus... Fri Sep 24 20:53:07 2004 => Checking for Pagabot Virus... Fri Sep 24 20:53:07 2004 => Checking for Parite.b Virus... Fri Sep 24 20:53:07 2004 => Checking for Parite.a Virus... Fri Sep 24 20:53:07 2004 => ***** Scanning complete. ***** Fri Sep 24 20:53:07 2004 => Total Number of Files Scanned: 2252 Fri Sep 24 20:53:07 2004 => Total Number of Virus(es) Found: 0 Fri Sep 24 20:53:07 2004 => Total Number of Disinfected Files: 0 Fri Sep 24 20:53:07 2004 => Total Number of Files Renamed: 0 Fri Sep 24 20:53:07 2004 => Total Number of Deleted Files: 0 Fri Sep 24 20:53:07 2004 => Total Number of Errors: 4 Fri Sep 24 20:53:07 2004 => Time Elapsed: 00:11:27 Fri Sep 24 20:53:08 2004 => Virus Database Date: 2004/09/24 Fri Sep 24 20:53:08 2004 => Virus Database Count: 99649 Fri Sep 24 20:53:08 2004 => Scan Completed. kann mir jeman da was zu sagen oder muss ich hijackthis mal ran lassen? |
|
|
||
24.09.2004, 21:11
Moderator
Beiträge: 7805 |
#4
Wenn du das Problem ohne Neuinstallation loesen moechtest, waere ein Hijackthis log nicht falsch. Du solltest aber so oder so alle deine Passworte aendern!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.09.2004, 21:18
...neu hier
Themenstarter Beiträge: 5 |
#5
Logfile of HijackThis v1.98.2
Scan saved at 21:16:35, on 24.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\Programme\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\explorer.exe E:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fastlook.net/sb.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fastlook.net/sb.php O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Programme\DAP\DAPBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: FFB2 - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\msiako.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?xdat=&url=http://66.117.38.54:80/dexDE500.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F939C325-F94D-4E88-8F4B-BE902687C3A5}: NameServer = 217.237.150.97 217.237.149.161 |
|
|
||
24.09.2004, 21:25
Moderator
Beiträge: 7805 |
#6
Benenne diese DAtei bitte um: C:\WINDOWS\msiako.dll
FIx bitte noch das: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fastlook.net/sb.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fastlook.net/sb.php O2 - BHO: FFB2 - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\msiako.dll O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?xdat=&url=http://66.117.38.54:80/dexDE500.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab starte neu und schicke die umbenannte Datei bitte an virus@protecus.de und installiere dir moeglichst schnell die Upadtes von www.windowsupdate.com! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.09.2004, 21:39
...neu hier
Themenstarter Beiträge: 5 |
#7
is zwar ne blöde frage, aber wie soll ich die denn umnennen??
und warum is spigel.de denn jetzt schlecht oder böse? |
|
|
||
25.09.2004, 05:47
Moderator
Beiträge: 7805 |
#8
SPiegel.de ist nicht "boese", naja vieleicht denkt der eine oder andere das schon...... Ich loesche lieber alle "R" Eintraege, wenn einer dabei ist, der "boese" ist.
Umbenennen deshalb, das die Datei nicht doch zufaellig noch irgendwo anders gestartet wird. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.09.2004, 10:20
Member
Beiträge: 890 |
#9
Zitat raman posteteIch glaube die Frage war nicht warum sondern wie Zitat binai posteteRechtsklick auf die Datei/Umbenennen => msiako.dll in msiako.dlll Gruß Ajax |
|
|
||
25.09.2004, 12:45
Moderator
Beiträge: 7805 |
||
|
||
25.09.2004, 14:03
...neu hier
Themenstarter Beiträge: 5 |
#11
super mensch...also ich denke jetzt dürfte alles wieder ok sein. vielen vielen dank vor allem an dich raman !!!!!!
|
|
|
||
ich hab eben mein norton gelöscht und Kaspersky Anti-Virus Personal draufgemacht. dann kamen paar warnmeldungen ich hätte irgendeinen backdoor isassV.exe und auch ein internet.exe oder so und auch noch mehrere trojaner oder so. wollte die löschen aber das prog meinte ich hätte nicht die rechte dazu.
jetzt siehts so aus: ich kann kein winamp, ie, nero, media player, icq, msn, das anti viren prog und einiges anderes anmachen, word kann ich aber z.B. anmachen und win dvd auch. bei den anderen wird gesagt das die exe nicht gefunden werden konnte obwohl sie da ist und auch wenn ich die exe selber starte kommt dasselbe.
hab mir eben dieses hijackthis runtergeladen, aber nicht mal das kann ich ausführen.
aktuell: wenn ich auf eine video datei gehe und "rechte maustaste -> öffnen mit -> windows media player" mache dann geht das. ich bin total verwirrt
außerdem konnte ich anscheinend Backdoor.MoSucker.07a und Trojan.Win32.ek löschen weil mein antivir prog wieder geht, aber super viele andere progs gehen nicht
bitte helft mir, ich glaub mein rechner steht dem untergang nahe