Hallo, heute nachmittag hat mich das skype virus erwischt!
Ich habe eine Nachricht mit dem text:

moin kaum zu glauben was für schöne fotos auf deinem profil

zusammen mit einem link.
ich habe die datei heruntergeladen und geöffnet. Und danach bemerkt, dass ich über skype nun diesselbe nachtricht an alle kontakte verschicke.
Daraufhin habe ich begonnen zu googlen und tipps gefunden dass ich bei skype unter aktionen--erweitert---zugriff alle eingetragenen dateien löschen soll.
dort waren vier .exe dateien. diese habe ich entfernt und anschließend gespeichert.
allerdings hat sich nichts geändert.

Dann habe ich der Reihe nach folgendes gemacht:

1. Skype deinstalliert und neu installiert und mir einen neuen acoount gemacht. Nach 20 Minuten begann skype wieder die o.g Nachricht von meinem account an alle meine Kontakte zu verschicken.

2.Ich habe Avira laufen lassen. Ohne Ergebnis.

3. Ich habe Malwarebytes laufen lassen und es hat 4 infizierte Dateien gefunden. Hier die Logdatei:

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.12.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
pmueller :: PMUELLER-PC [Administrator]

12.10.2012 13:47:21
mbam-log-2012-10-12 (13-47-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 430431
Laufzeit: 1 Stunde(n), 33 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\pmueller\AppData\Roaming\3C57.exe (Spyware.Zbot.NBRS) -> 5896 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\pmueller\AppData\Roaming\3C57.exe (Spyware.Zbot.NBRS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\pmueller\AppData\Roaming\4EFA.exe (Spyware.Zbot.NBRS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\pmueller\AppData\Roaming\8931.exe (Spyware.Zbot.NBRS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


3. Ich habe Skype wieder installiert und mich auf meinem neuen account angemeldet. Skype hat sich anschließend 3 Mal selbst beendet nach ca. 2-3 Minuten. Bzw nicht richtig beendet, aber das Fenster wurde nicht mehr angezeigt und ich konnte nichts machen. Ich habe es dann jeweils beendet und wieder gestartet. Beim 3 Mal hat es sich nichtmehr "beendet", dafür aber wieder die o.g. Nachricht mit link an alle Kontakte verschickt.

4. Ich habe Microsoft security Essentials laufen lassen. Es hat eine Datei gefunden ....win32.worm.....leider weiß ich den Namen nicht mehr genau und finde keine Logdatei. Ich lasse es gerade nocheinmal laufe und hoffe wieder etwas zu finden. Werde es dann sofort nachreichen.

5. Ich habe Skype wieder deinstalliert. Diesmal hat es extrem lange gedauert bis es deinstalliet wurde. Systemsteuerung--Programme deinstallieren und dannn hatte ich bestimmt 10 Minuten ein Fenster mit dem Text:
preparing to remove...
schließlich hat es aber geklappt.

6. Ich habe Malwarebytes nochmal laufen lassen.
Logdatei:

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.12.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
pmueller :: PMUELLER-PC [Administrator]

12.10.2012 21:34:10
mbam-log-2012-10-12 (23-41-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 430103
Laufzeit: 2 Stunde(n), 6 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\pmueller\AppData\Roaming\6FD8.exe (Spyware.Zbot.NBRS) -> Keine Aktion durchgeführt.
C:\Users\pmueller\AppData\Roaming\851E.exe (Spyware.Zbot.NBRS) -> Keine Aktion durchgeführt.

(Ende)

Die Dateien die sich jetzt in Quarantäne befinden, sind im Anhang Malwarebytes_Quarantäne.

Ich habe noch einige Fragen:

1. Kann ich weiter mit meinem PC online gehen, um zum Beispiel hier zu posten oder gefährde ich damit andere?
2. Gibt es DInge die ich jetzt auf keinen Fall tun sollte um nichts schlimmer zu machen oder andere zu infizieren?
3. Ich habe bereits alle meine Kontakte benachrichtigt was es mit diesem Virus auf sich hat, dass es niemand öffnen soll und falls es jemand getan hat, dann habe ich einen link mit dieser Seite mitgeschickt.

Ich bin ein bisschen verzweifelt, weil ich gerade in Montréal, Kanada bin zum studieren und meinen Rechner eigentlich jeden Tag brauche.

Falls ich noch irgendetwas genauer beschreiben soll, oder andere Daten liefern muss, bitte einfach bescheid geben...ich versuche mein möglichstes, bin aber nicht sehr versiert mit computern.

Vielen lieben Dank im Voraus. Grüße aus dem kalten Kanada

Philipp

So jetzt hat Microsoft Security Essentials seinen Suchlauf abgeschlosen.
Es hat 3 dateien mit dem Namen:
Worm:Win/Floppier.A

gefunden. Screenshot hänge ich an (MSE_Verlauf)
Solll ich diese nun entfernen wie es MSE vorschlägt?

MSE schöägt dann vor meinen PC zu bereinigen. Dabei wird folgendes angezeigt.

HackTool:Win32/keygen


Kategorie: Tool

Beschreibung: Das Verhalten dieses Programms ist potenziell unerwünscht.

Empfohlene Aktion: Lassen Sie dieses entdeckte Element nur zu, wenn Sie dem Programm oder dem Softwareherausgeber vertrauen.

Elemente:
containerfile:C:\$Recycle.Bin\S-1-5-21-3607658048-1446400765-462191070-1000\$R3ACGP7.zip
containerfile:C:\$Recycle.Bin\S-1-5-21-3607658048-1446400765-462191070-1000\$RP0ZYXS\DVD1\cyg-aaa1.iso
file:C:\$Recycle.Bin\S-1-5-21-3607658048-1446400765-462191070-1000\$R3ACGP7.zip->Autocad Architecture 2008 German/Crack_Acad2008/AutoCAD_2008_keygen.exe
file:C:\$Recycle.Bin\S-1-5-21-3607658048-1446400765-462191070-1000\$RP0ZYXS\DVD1\cyg-aaa1.iso->CYGiSO\xf-a2011-32bits.exe


Das ganze ist aber von einer gecrackten AutoCAD Datei die mir ein "gute"r Freund mal gegeben hat....das habe ich aber nie installiert und eigentlich auch die Datei komplett von der Festplatte geschmissen.
Kann das eine mit dem anderen etwas zu tun haben?

Nochmal Danke

Philipp

Zitat:

ontainerfile:C:\$Recycle.Bin\S-1-5-21-3607658048-1446400765-462191070-1000\$RP0ZYXS\DVD1\cyg-aaa1.iso
file:C:\$Recycle.Bin\S-1-5-21-3607658048-1446400765-462191070-1000\$R3ACGP7.zip->Autocad Architecture 2008 German/Crack_Acad2008/AutoCAD_2008_keygen.exe
file:C:\$Recycle.Bin\S-1-5-21-3607658048-1446400765-462191070-1000\$RP0ZYXS\DVD1\cyg-aaa1.iso->CYGiSO\xf-a2011-32bits.exe

Hier sieht man sehr schön, dass du dir das System selbst mit illegalem Dreck zerlegt hast!
Ob es ausgeführt wurde oder nicht, kann man jetzt nicht mehr nachvollziehen, da aber Cracks/Keygens anwesend sind, wird die Kiste von uns nicht mehr bereinigt

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

OK,
Danke trotzdem fuer die schnelle Antwort. Nur eine Frage noch:

Kann ich irgendwem schaden, wenn ich jetzt mit dem infizierten rechner online gehe?

Wuerde ungerne irgendetwas weiterverbreiten.....wenn ich selber schuld bin dann will ich wenigstens auch selber leiden und niemandem sonst schaden.

Danke fuer die Hilfe....das wird mir eine Lehre sein!

Zitat:

Kann ich irgendwem schaden, wenn ich jetzt mit dem infizierten rechner online gehe?

Ja, infizierte Rechner sind immer eine Gefahr - du kannst in einem Botnetz sein mit diesem Rechner und dieses Botnetz schickt zB weiteren Spam an alle möglichen E-Mail-Adressen oder sorgt durch ddos Attacken für zusammenbrechende Server!