Backdoor BDC/Mosucker.07A auf PC. Was muß ich tun? |
||
---|---|---|
#0
| ||
25.09.2005, 00:42
...neu hier
Beiträge: 2 |
||
|
||
26.09.2005, 23:43
Member
Beiträge: 4730 |
#2
Setze im HijackThis bei folgenden Einträgen ein Häkchen:
O4 - HKLM\..\Run: [stefan] C:\WINDOWS\FONTS\lsassQ.exe O4 - HKLM\..\Run: [User] C:\WINDOWS\FONTS\lsassQ.exe Klicke auf "fix checked" Lade Killbox und verfahre wie unter folgenden Seite beschrieben: http://managor.de/killbox.htm Die zu löschenden Dateien sind: C:\WINDOWS\FONTS\lsassQ.exe c:\windows\system\momo.dll Mache einen Scan mit eScanCheck und berichte: http://managor.de/escan.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
28.09.2005, 22:29
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo,
danke für die Hilfe. Habs leider erst heute gesehen. Warum muß ich die isassQ.exe-einträge löschen? Sind die der Grund? was bewirken denn die? Komm ich danach problemlos ins internet wenn die weg sind? gruß steve |
|
|
||
28.09.2005, 23:02
Member
Beiträge: 4730 |
#4
Ja, für's Internet ist die Datei bestimmt nicht zuständig. Ich vermute eher, dass sie ein Virus ist.
Du kannst sie ja vorsichtshalber mal bei http://www.virustotal.com überprüfen lassen. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
mein Antivir-Programm zeigte mir vor knapp 2 Wochen den oben genannten Trojaner/Virus an. Der Versuch ihn zu blockieren oder zu löschen ignorierte er und der Hinweis kam an dem Tag ein paar mal. Er zeigte dabei an, dass er sich unter window/system in der datei momo.dll befand. Da ich ihn über antivir nicht löschen konnte, bin ich direkt in den ordner und habe die datei gelöscht.
Danach war Ruhe und ich habe nie mehr einen Hinweis bekommen. Habe mir ad-aware und a-squared runtergeladen und auch mit antivir immer wieder mal geprüft, aber nichts gefunden. Es läuft auch alles wieder ganz normal. Was ich bisher aber über backdoor-programme und mosucker gelesen habe, könnten die sich trotzdem noch auf dem pc befinden und wäre euch dankbar, wenn ihr euch vielleicht mal den untenstehenden logfile anschauen könntet und mir helften könntest was zu tun ist.
Vielen Dank schon mal im voraus!
Folgendes kam bei hijackthis raus:
Logfile of HijackThis v1.99.1
Scan saved at 00:37:52, on 25.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\A2\A2GUARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\FILZIP\FILZIP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [stefan] C:\WINDOWS\FONTS\lsassQ.exe
O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
O4 - HKLM\..\Run: [User] C:\WINDOWS\FONTS\lsassQ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 145.253.2.11