Backdoor BDC/Mosucker.07A auf PC. Was muß ich tun?

#0
25.09.2005, 00:42
...neu hier

Beiträge: 2
#1 Hallo,

mein Antivir-Programm zeigte mir vor knapp 2 Wochen den oben genannten Trojaner/Virus an. Der Versuch ihn zu blockieren oder zu löschen ignorierte er und der Hinweis kam an dem Tag ein paar mal. Er zeigte dabei an, dass er sich unter window/system in der datei momo.dll befand. Da ich ihn über antivir nicht löschen konnte, bin ich direkt in den ordner und habe die datei gelöscht.

Danach war Ruhe und ich habe nie mehr einen Hinweis bekommen. Habe mir ad-aware und a-squared runtergeladen und auch mit antivir immer wieder mal geprüft, aber nichts gefunden. Es läuft auch alles wieder ganz normal. Was ich bisher aber über backdoor-programme und mosucker gelesen habe, könnten die sich trotzdem noch auf dem pc befinden und wäre euch dankbar, wenn ihr euch vielleicht mal den untenstehenden logfile anschauen könntet und mir helften könntest was zu tun ist.

Vielen Dank schon mal im voraus!

Folgendes kam bei hijackthis raus:

Logfile of HijackThis v1.99.1
Scan saved at 00:37:52, on 25.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\A2\A2GUARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\FILZIP\FILZIP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [stefan] C:\WINDOWS\FONTS\lsassQ.exe
O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
O4 - HKLM\..\Run: [User] C:\WINDOWS\FONTS\lsassQ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 145.253.2.11
Dieser Beitrag wurde am 25.09.2005 um 00:45 Uhr von Steve007 editiert.
Seitenanfang Seitenende
26.09.2005, 23:43
Member
Avatar Gool

Beiträge: 4730
#2 Setze im HijackThis bei folgenden Einträgen ein Häkchen:

O4 - HKLM\..\Run: [stefan] C:\WINDOWS\FONTS\lsassQ.exe
O4 - HKLM\..\Run: [User] C:\WINDOWS\FONTS\lsassQ.exe

Klicke auf "fix checked"

Lade Killbox und verfahre wie unter folgenden Seite beschrieben:
http://managor.de/killbox.htm

Die zu löschenden Dateien sind:

C:\WINDOWS\FONTS\lsassQ.exe
c:\windows\system\momo.dll

Mache einen Scan mit eScanCheck und berichte:
http://managor.de/escan.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
28.09.2005, 22:29
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo,

danke für die Hilfe. Habs leider erst heute gesehen. Warum muß ich die isassQ.exe-einträge löschen? Sind die der Grund? was bewirken denn die? Komm ich danach problemlos ins internet wenn die weg sind?

gruß
steve
Seitenanfang Seitenende
28.09.2005, 23:02
Member
Avatar Gool

Beiträge: 4730
#4 Ja, für's Internet ist die Datei bestimmt nicht zuständig. Ich vermute eher, dass sie ein Virus ist.

Du kannst sie ja vorsichtshalber mal bei http://www.virustotal.com überprüfen lassen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende