Virus Problem ( Backdoor.MoSucker.07a und Trojan.Win32.ek und andere)

24.09.2004, 16:17

binai

...neu hier

Beiträge: 5

#1 hallo zusammen,

ich hab eben mein norton gelöscht und Kaspersky Anti-Virus Personal draufgemacht. dann kamen paar warnmeldungen ich hätte irgendeinen backdoor isassV.exe und auch ein internet.exe oder so und auch noch mehrere trojaner oder so. wollte die löschen aber das prog meinte ich hätte nicht die rechte dazu.

jetzt siehts so aus: ich kann kein winamp, ie, nero, media player, icq, msn, das anti viren prog und einiges anderes anmachen, word kann ich aber z.B. anmachen und win dvd auch. bei den anderen wird gesagt das die exe nicht gefunden werden konnte obwohl sie da ist und auch wenn ich die exe selber starte kommt dasselbe.

hab mir eben dieses hijackthis runtergeladen, aber nicht mal das kann ich ausführen.

aktuell: wenn ich auf eine video datei gehe und "rechte maustaste -> öffnen mit -> windows media player" mache dann geht das. ich bin total verwirrt
außerdem konnte ich anscheinend Backdoor.MoSucker.07a und Trojan.Win32.ek löschen weil mein antivir prog wieder geht, aber super viele andere progs gehen nicht

bitte helft mir, ich glaub mein rechner steht dem untergang nahe

24.09.2004, 17:21

raman

Moderator

Beiträge: 7805

#2 Im abgesicherten Modus sollte es gehen. Kaspersky hat dir wohl einen Trojaner geloescht, der sich im Exe Aufruf einhaengt. BEnenne Hijackthisexe in hijackthis.com um, dann koennte es funktionieren. Im abgesicherten Modus sollte es eh funktionieren. Wenn du die Moeglichkeit hast, nutze mal escan:
http://www.trojaner-info.de/hijacker/escan.shtml , das koennte dir unter Umstaenden die Registrierungsinformationen wieder auf Standard setzen. Aber bei dem Befall, waere ein neu aufsetzen wohl das sinnvollste.
__________
MfG Ralf
SEO-Spam Hunter

24.09.2004, 21:04

binai

...neu hier

Themenstarter

Beiträge: 5

#3 also ich glaube das alles wieder in ordnung ist, bin mir aber nicht sicher. hab mal escan oder so laufen lassen:

Fri Sep 24 20:41:39 2004 => ***** Scanning Memory Files *****
Fri Sep 24 20:41:39 2004 => Scanning File C:\WINDOWS\system32\services.exe
Fri Sep 24 20:41:40 2004 => Scanning File C:\WINDOWS\system32\lsass.exe
Fri Sep 24 20:41:40 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Fri Sep 24 20:41:40 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Fri Sep 24 20:41:40 2004 => Scanning File C:\WINDOWS\system32\LEXBCES.EXE
Fri Sep 24 20:41:41 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe
Fri Sep 24 20:41:42 2004 => Scanning File C:\WINDOWS\system32\LEXPPS.EXE
Fri Sep 24 20:41:42 2004 => Scanning File C:\WINDOWS\Explorer.EXE
Fri Sep 24 20:41:42 2004 => Scanning File C:\PROGRA~1\GEMEIN~1\SYMANT~1\ccEvtMgr.exe
Fri Sep 24 20:41:43 2004 => Scanning File D:\PROGRA~1\NORTON~1\NORTON~1\navapsvc.exe
Fri Sep 24 20:41:44 2004 => Scanning File C:\Programme\Messenger\msmsgs.exe
Fri Sep 24 20:41:44 2004 => Scanning File C:\PROGRA~1\INTERN~1\iexplore.exe
Fri Sep 24 20:41:44 2004 => Scanning File C:\bases\mwavscan.com
Fri Sep 24 20:41:45 2004 => Scanning File C:\bases\kavss.exe

Fri Sep 24 20:41:45 2004 => ***** Scanning Registry Files *****
Fri Sep 24 20:41:45 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Fri Sep 24 20:41:45 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Fri Sep 24 20:41:46 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Fri Sep 24 20:41:47 2004 => Scanning HKCU\Control Panel\Desktop
Fri Sep 24 20:41:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri Sep 24 20:41:51 2004 => ERROR!!! Invalid Entry iexplore.exe = C:\WINDOWS\winlogon.exe. Removing it.
Fri Sep 24 20:41:51 2004 => ERROR!!! Invalid Entry Babak = c:\WINDOWS\Fonts\lsass.exe. Removing it.
Fri Sep 24 20:41:52 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Fri Sep 24 20:41:52 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Fri Sep 24 20:41:52 2004 => ERROR!!! Invalid Entry Babak = c:\WINDOWS\Fonts\lsass.exe. Removing it.
Fri Sep 24 20:41:52 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Fri Sep 24 20:41:52 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri Sep 24 20:41:52 2004 => ERROR!!! Invalid Entry windllsys32.exe = C:\WINDOWS\System32\windllsys32.exe. Removing it.
Fri Sep 24 20:41:52 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Fri Sep 24 20:41:52 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Fri Sep 24 20:41:52 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Fri Sep 24 20:41:52 2004 => Scanning HKCR\txtfile\shell\open\command
Fri Sep 24 20:41:52 2004 => Scanning HKCR\comfile\shell\open\command
Fri Sep 24 20:41:52 2004 => Scanning HKCR\exefile\shell\open\command
Fri Sep 24 20:41:52 2004 => Replacing Registry Value
Fri Sep 24 20:41:52 2004 => Scanning HKCR\dllfile\shell\open\command
Fri Sep 24 20:41:52 2004 => Scanning HKCR\batfile\shell\open\command
Fri Sep 24 20:41:52 2004 => Scanning HKCR\piffile\shell\open\command
Fri Sep 24 20:41:52 2004 => Scanning HKCR\scrfile\shell\open\command
Fri Sep 24 20:41:52 2004 => Scanning HKCR\scrfile\shell\config\command
Fri Sep 24 20:41:52 2004 => Scanning HKCR\regfile\shell\open\command
Fri Sep 24 20:41:52 2004 => Regvalue DisableRegistryTools Reset. This could be part of a worm!!!

Fri Sep 24 20:41:52 2004 => ***** Scanning StartUp Folders *****

Fri Sep 24 20:41:52 2004 => ***** Scanning C:\Dokumente und Einstellungen\Babak\Startmenü\Programme\Autostart Folder *****
Fri Sep 24 20:41:52 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Babak\Startmenü\Programme\Autostart\*.*

Fri Sep 24 20:41:53 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Fri Sep 24 20:41:53 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*

Fri Sep 24 20:41:53 2004 => ***** Scanning Service Files *****
Fri Sep 24 20:41:53 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services

Fri Sep 24 20:42:29 2004 => ***** Scanning System32 Folders *****
Fri Sep 24 20:42:29 2004 => Scanning C:\WINDOWS Directory
Fri Sep 24 20:42:29 2004 => Scanning Folder: C:\WINDOWS\*.*
Fri Sep 24 20:42:53 2004 => Scanning C:\WINDOWS\System32 Directory
Fri Sep 24 20:42:54 2004 => Scanning Folder: C:\WINDOWS\System32\*.*

Fri Sep 24 20:53:06 2004 => ***** Checking for specific ITW Viruses *****
Fri Sep 24 20:53:07 2004 => Checking for Welchia Virus...
Fri Sep 24 20:53:07 2004 => Checking for LovGate Virus...
Fri Sep 24 20:53:07 2004 => Checking for CodeRed Virus...
Fri Sep 24 20:53:07 2004 => Checking for OpaServ Virus...
Fri Sep 24 20:53:07 2004 => Checking for Sobig.e Virus...
Fri Sep 24 20:53:07 2004 => Checking for Winupie Virus...
Fri Sep 24 20:53:07 2004 => Checking for Swen Virus...
Fri Sep 24 20:53:07 2004 => Checking for JS.Fortnight Virus...
Fri Sep 24 20:53:07 2004 => Checking for Novarg Virus...
Fri Sep 24 20:53:07 2004 => Checking for Pagabot Virus...
Fri Sep 24 20:53:07 2004 => Checking for Parite.b Virus...
Fri Sep 24 20:53:07 2004 => Checking for Parite.a Virus...

Fri Sep 24 20:53:07 2004 => ***** Scanning complete. *****
Fri Sep 24 20:53:07 2004 => Total Number of Files Scanned: 2252
Fri Sep 24 20:53:07 2004 => Total Number of Virus(es) Found: 0
Fri Sep 24 20:53:07 2004 => Total Number of Disinfected Files: 0
Fri Sep 24 20:53:07 2004 => Total Number of Files Renamed: 0
Fri Sep 24 20:53:07 2004 => Total Number of Deleted Files: 0
Fri Sep 24 20:53:07 2004 => Total Number of Errors: 4
Fri Sep 24 20:53:07 2004 => Time Elapsed: 00:11:27
Fri Sep 24 20:53:08 2004 => Virus Database Date: 2004/09/24
Fri Sep 24 20:53:08 2004 => Virus Database Count: 99649

Fri Sep 24 20:53:08 2004 => Scan Completed.

kann mir jeman da was zu sagen oder muss ich hijackthis mal ran lassen?

24.09.2004, 21:11

raman

Moderator

Beiträge: 7805

#4 Wenn du das Problem ohne Neuinstallation loesen moechtest, waere ein Hijackthis log nicht falsch. Du solltest aber so oder so alle deine Passworte aendern!
__________
MfG Ralf
SEO-Spam Hunter

24.09.2004, 21:18

binai

...neu hier

Themenstarter

Beiträge: 5

#5 Logfile of HijackThis v1.98.2
Scan saved at 21:16:35, on 24.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
E:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fastlook.net/sb.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fastlook.net/sb.php
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Programme\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: FFB2 - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\msiako.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?xdat=&url=http://66.117.38.54:80/dexDE500.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F939C325-F94D-4E88-8F4B-BE902687C3A5}: NameServer = 217.237.150.97 217.237.149.161

24.09.2004, 21:25

raman

Moderator

Beiträge: 7805

#6 Benenne diese DAtei bitte um: C:\WINDOWS\msiako.dll
FIx bitte noch das:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fastlook.net/sb.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fastlook.net/sb.php
O2 - BHO: FFB2 - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\msiako.dll
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?xdat=&url=http://66.117.38.54:80/dexDE500.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

starte neu und schicke die umbenannte Datei bitte an virus@protecus.de und installiere dir moeglichst schnell die Upadtes von www.windowsupdate.com!
__________
MfG Ralf
SEO-Spam Hunter

24.09.2004, 21:39

binai

...neu hier

Themenstarter

Beiträge: 5

#7 is zwar ne blöde frage, aber wie soll ich die denn umnennen??
und warum is spigel.de denn jetzt schlecht oder böse?

25.09.2004, 05:47

raman

Moderator

Beiträge: 7805

#8 SPiegel.de ist nicht "boese", naja vieleicht denkt der eine oder andere das schon...... Ich loesche lieber alle "R" Eintraege, wenn einer dabei ist, der "boese" ist.
Umbenennen deshalb, das die Datei nicht doch zufaellig noch irgendwo anders gestartet wird.
__________
MfG Ralf
SEO-Spam Hunter

25.09.2004, 10:20

Ajax

Member