Neuer MSN - Virus HELP !

Pa7riick · 08.08.2007, 21:43

HELP !

Eine Kollegin von mir hat einen Virus im Messenger sich eingefangen!

Sie schickt immer völlig ahnungslos:
http://membres.lycos.fr/newphoto/webcam-pics2007.zip my new cam pictures look !!

Hier das LOGfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:19:57, on 08.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Ahead\InCD\InCDsrv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Microsoft LifeCam\MSCamS32.exe
E:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
E:\WINDOWS\System32\svchost.exe
C:\Program Files\Venturi2\Client\ventc.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\Ahead\InCD\InCD.exe
E:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
E:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\vVX1000.exe
E:\Programme\Java\jre1.6.0_02\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\MSN Messenger\MsnMsgr.Exe
E:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
E:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
E:\Programme\Nokia\PC Suite for Nokia N-Gage\connmngmntbox.exe
E:\Programme\Nokia\PC Suite for Nokia N-Gage\ectaskscheduler.exe
E:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
E:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Program Files\Venturi2\Configurator\ventcfg.exe
E:\Dokumente und Einstellungen\Admin\Desktop\Schule\Mousometer\mousometer.exe
E:\WINDOWS\system32\wscntfy.exe
E:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
E:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
E:\Programme\T-Mobile\web 'n' walk Manager\web 'n' walk Manager.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programme\MSN Messenger\usnsvc.exe
E:\Programme\BearShare Applications\BearShare\BearShare.exe
E:\WINDOWS\system32\drwtsn32.exe
E:\WINDOWS\system32\drwtsn32.exe
E:\Dokumente und Einstellungen\Admin\ykgiwl.exe
E:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
E:\Programme\MSN Messenger\livecall.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\DOKUME~1\Admin\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis[1].zip\HijackThis.exe
E:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Search
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - E:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - E:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "E:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] E:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [jfdcd] C:\Playlisten\jfdcd.exe
O4 - HKLM\..\Run: [DataLayer] E:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [New.net Startup] rundll32 E:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [basepollchickeep] E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ball burn base poll\deaftest.exe
O4 - HKLM\..\Run: [LifeCam] "E:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] E:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [GplWeb] E:\DOKUME~1\Admin\ANWEND~1\mfcdhide\WinPlan.exe
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] E:\WINDOWS\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mousometer.lnk = E:\Dokumente und Einstellungen\Admin\Desktop\Schule\Mousometer\mousometer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PCSuiteForNokiaN-Gage Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokiaN-Gage TS.lnk = ?
O4 - Global Startup: Venturi 2.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{99F54A57-A33B-4E35-9D2D-AA7444F33C62}: NameServer = 172.31.254.13 172.31.254.14
O21 - SSODL: printers - {5300EEE1-97A7-40C7-B141-6087655AC3B7} - libmsns.dll (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - E:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - E:\WINDOWS\System32\ImapiRox.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - E:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - E:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - E:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Venturi2 Client (Venturi2) - Fourelle Systems, Inc - C:\Program Files\Venturi2\Client\ventc.exe

--
End of file - 11868 bytes

____________________________________________

wisst ihr wie man diesen Virus beseitigen kann ?!

bitte um hilfe !

mfg !

08.08.2007, 21:53

Hallo?!

Ich sehe hier kein MSN-Wurm nur anderes Zeug wie "New net" oder Adware ...

myrtille · 08.08.2007, 22:24

Ist das jetzt dein Log, oder das Log deiner Kollegin?

Bei ihr ist der MSN-Wurm sicher aktiv, da er sich von ihrem Rechner aus munter weiter verbreitet. Die einzig sichere Art und Weise den Rechner von solch einem Backdoorwurm wieder zu säubern ist das Neuaufsetzen. Am besten nach dieser Anleitung: klick

Dem Besitzer der Kiste auf der HJT ausgeführt wurde, möchte ich das auch anraten!

Zitat:

O21 - SSODL: printers - {5300EEE1-97A7-40C7-B141-6087655AC3B7} - libmsns.dll (file missing)

Das ist ein Backdoor, der böseren Art. Er liest Tastatureingaben mit, es sollten also unbedingt auch alle Passwörter geändert werden!

Des weiteren würde ich dem Besitzer des Logs unsere Sicherheitstips, die beim Neuaufsetzen sehr ans Herzen legen! Wie schon gesagt ist auf dem Rechner auch noch ne Menge Spy- und Adware (Swizzor, New.net) sowie ne Menge dubioser weiterer Dateien zu finden!
(Wäre er/sie zb nicht als Admin unterwegs gewesen, dann hätte der Backdoortrojaner sich gar nicht installieren können!)

Editiere unbedingt auch noch den Link in deiner Message. Hier soll nicht direkt auf Malware verlinkt werden!
Ist dies in 10 Minuten nicht geschehen, melde ich den Beitrag bei den Admins (denn dann kannst du nicht mehr editieren)

lg myrtille

Pa7riick · 08.08.2007, 22:38

das is kein link!
hab ich nur blau gefärbt, dass er aussieht wie ein link um zu zeigen wie es im messenger aussieht!

und JA es is ihr pc!
danke für die info, habe sie weitergeleitet! und sie setzt den pc neu auf nach eurer beschreibung !

danke!
mfg!!

08.08.2007, 21:53	#2
daalex Gast	Neuer MSN - Virus HELP ! Hallo?! Ich sehe hier kein MSN-Wurm nur anderes Zeug wie "New net" oder Adware ... __________________ Geändert von daalex (08.08.2007 um 21:58 Uhr)

Neuer MSN - Virus HELP !

Plagegeister aller Art und deren Bekämpfung: Neuer MSN - Virus HELP !