Startseite
Hilfe-ForumFrageSuchenKontakt/Impressum

ForenForum
ICQ Virus... Was kann ich tun?
Von: Benrobot
am 30.03.2007
Hallo!

Hab am 27.03.2007 eine ICQ-Nachricht von meiner Freundin gekriegt. Der Anfang war aber nicht von ihr: "Schau Mal! Hier sind die Fotos von unserem letzten Treffen. Fotos sind sehr gut geworden! http://***.restructureinc.com/Terms/fotos.exe - Das ist ein selbstentpackendes Archiv mit den Fotos."

Naja... Hab jedenfalls zu spät geschaltet, dass die Nachricht mit dem Link nicht von ihr kommt. Jedenfalls verschick ich jetzt jedesmal, wenn ich jemanden das erste mal anschreibe die gleiche Nachricht und erst danach kommt das was ich geschrieben habe.

Ich hab mal hijackthis durchlaufen lassen:

Logfile of HijackThis v1.99.0
Scan saved at 23:00:24, on 29.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Phone\Skype.exe
D:\Programme\eMule.de\emule.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\PokerStars.NET\PokerStars.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myspace.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA15670} - C:\WINNT\system32\corpol32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [RPC] C:\WINNT\System32\23.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\eMule.de\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: concept/design's onlineTV - {04E0FE14-7A77-4F13-892A-C0B72B839114} - D:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE



Fänd ich super, wenn ihr mir da irgendwie helfen könntet.

Schonmal Danke im vorraus.

Ben 

Antwort 1 von nico *****
am 30.03.2007
Hallo Ben,

laut www.hijackthis.de sind diese beiden Prozesse "schädlich":

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
Sollte gefixt werden! Dieser Eintrag ist vermutlich schädlich.


O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA15670} - C:\WINNT\system32\corpol32.dll
Unbedingt fixen! comdlg3232.dll, compatUI32.dll, dbnmpntw32.dll, other file names - Nordex, http://vil.nai.com/vil/content/v_140856.htm trojan - also see here, http://www.sophos.com/security/analyses/trojnordexb.html[/i]


Ausserdem ist "C:\WINNT\System32\23.exe" ein unbekanntes Programm. Zumindest die ersten beiden würde ich angehen und dann vielleicht noch Ad-Aware laufen lassen (gibt es hier: http://www.computerhilfen.de/tipps-sicherheit-virus.php3)



Mehr Tipps zu dem ICQ Virus Stration.Gen findest du auch hier:
http://mobil.computerhilfen.de/mobil-hilfen-17-143002-0.html

Antwort 2 von Benrobot
am 30.03.2007
Hey. Hab den Virenscanner Avira AntiVir mal durchlaufen lassen. Die Dateien lassen sich nicht löschen, und wenn ich die in Quarantäne stecke, dann funktioniert mein Internet Explorer nicht mehr.

Was kann ich da tun? Hab irgendwo hier gelesen, dass man mal im abgesicherten Modus den Norman Malware Cleaner laufen lassen sollte. Meint ihr / du, dass das sinnvoll ist?

Danke
Ben

Antwort 3 von HELP
am 30.03.2007
Hallo Benrobot,
du hast dir offensichtlich eine Variante der Malware Stration, Alias Warezov auf dem Rechner eingefangen.
Scanne mit AntiVir im abgesicherten Modus von Windows  dein System und poste den Scanbericht hier.
Zuvor sollte unbedingt AntiVir noch aktualisiert werden!

Zusätzlich führe eine komplette Überprüfung des Systems mit dem folgenden Freeware Malware-Scanner aus.

1. AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,4 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 14 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php

Um eine optimale Überprüfung zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Poste bitte das ausführliche Scanergebniss hier !

2. Danach erstelle ein neues HijackThis-Log und poste den Log.

« zurück Antworten