Hi, auf der Suche nach mitleidtragenden habe ich kein Forum o.ä. gefunden, was speziell diesen Trojaner/Virus erwähnt.
Ich hab mich bemüht einen Überblick über das Forum zu gewinnen und über die erste Seite dieser Sparte. Ich bin guter Hoffnung, dass das Thema so noch nicht aufgetreten ist, bzw nicht speziell der Fall. Wenn doch bitte ich um Nachsicht.

Ich habe einen Link von einem bekannten bekommen, der aber eigentlich off war, kann ich aber nicht 100% sagen:
es (11:29 PM) :
h**p://dsd322*ds*funpic*de/ich.exe //(ich hab die "." durch "*" ersetzt)//
ich (11:29 PM) :
ne exe?
es (11:29 PM) :
jo
ich (11:29 PM) :
gefahrlos zu öffnen?
es (11:29 PM) :
jo
ich (11:29 PM) :
kann ich dir trauen? ^^
es (11:29 PM) :
jo^^
ich (11:29 PM) :
ok
ich (11:31 PM) :
öhm ... habs gespeichert und dann öffnen wollen hat sich aber nix geöffnet
ich (11:31 PM) :
jetzt muss ich danach suchen xD
es (11:31 PM) :
iss normal ein icq style
ich (11:31 PM) :
wie hieß der name?
ich (11:31 PM) :
ich?
es (11:31 PM) :
jop
es (11:31 PM) :
ich.exe
ich (11:35 PM) :
das deaktiviert kurz meine firewall mehr nicht
---
es ist offline

Ein weiterer Dialog (einer von vielen) den angeblich ich geführt haben soll nach meiner Infizierung:
angeblich ich (23:46:57 26/08/2007)
h**p://dsd322*ds*funpic*de/ich.exe


der andere (23:47:05 26/08/2007)
virus?


angeblich ich (23:47:09 26/08/2007)
lol nee


der andere (23:47:18 26/08/2007)
ne exe start ich doch nich ^^


der andere (23:47:22 26/08/2007)
bin doch nich doof ^^


angeblich ich (23:47:24 26/08/2007)
dann halt nicht
---
Nachdem ich nun dem Sender "es" geglaubt hatte (ich kenne ihn vom Sehen und war mit ihm in der Grundschule; zur Zeit bin ich mit ihm in einem Kurs (Oberstufe), und kenne ihn als kein PC-Genie und traue ihm sowas auf keinem Fall zu) klickte ich auf den Link und erlaubte Internetzugang. Danach wurde meine Firewall (Die Standartf. vom Microsoft Servicepaket o.ä.) kurz deaktiviert. Danach gab es die Rückfrage wie im Verlauf beschrieben. Also suchte ich es, fand es und Installierte neu. Gleiches Spiel: Wieder kurze Deaktivierung. Danach kam eine Fehlermeldung, dass meine ICQ-Nr. Schon in Benutzung sei und ich wurde gekickt und offline. Nach einer Weile war ich wieder online und ich erhielt eine Reihe von beschwerden, was das sei. Einer hat bisher das gleiche gemacht und bei ihm das Gleiche. Die Dunkelziffer wird noch Steigen, da wir ja mitten in der Nacht sind. Danach wunderte ich mich, warum das nun kurz vorher bei meinem Bruder auch gesagt hatte (bevor ich auf den link klickte), dass die ICQ Nr. benutzt sei. Er benutzt aber nun mal Miranda, was ja eigentlich eine andere Routine als das normalo ICQ haben soll. Nur er hatte auf keinen Link geklickt. Nach meiner Infektion verbreitete sich (wahrscheinlich war das ziemlich zeitgleich, aber die Verbreitung funktionierte ein wenig anders, deshalb die Zeitunterschiede zu der Weiterverbreitung der exeLinks) der Virus/Trojaner an so ziemlich alle >100 Kontaktlistenleute. Oft antwortete jemand anderes, wobei die Antworten dermaßen realistisch sind, dass man meinen könnte, da sitzt eine reale Person dahinter.
Danach schickte ich eine RM, dass niemand, auch nicht auf etwaige Disskussionen mit mir, auf den Link klicken soll.
Dann startete ich AntiVir(Free edition) und brachte es auf den neuesten Stand.

Davor löschte ich noch die gedownloadete exe (>1MB) und eine ICH.EXE-135031E9.pf (64KB) in einem anderen ordner, wo viele exe drin standen. ich nehm an regestry o.ä.; vorsichtshalber löschte ich die Datei, ließ sie aber im Papierkorb.
Ich durchsuchte mein PC fand zwei Warnhinweise im System (windows ... sollte eigentlich c heißen, ist aber durch eine vermurkste partitionierung nun unter D:\windows...):
Beginne mit der Suche in 'D:\WINDOWS\system32'
D:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Keine Ahnung was ich damit anfangen soll.

Bei der Überprüfung von den beiden Festplatten(teilen ... ist ja nur eine am Ende) fand ich drei Viren und bekam drei Warnungen:
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Temp\9yngs1r2.wm
[FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF
[INFO] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Temp\mh0xxh5o.wm
[FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF
[INFO] Die Datei wurde gelöscht.
D:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Temp\swcwghae.wm
[FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF
[INFO] Die Datei wurde gelöscht.
D:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ich bitte um Hilfe. Wie kann man sich gegen diesen Trojaner/Virus schützen. Die Virensoftware war bei so ziemlich allen Betroffenen die ich nun kenne, auf dem neuesten Stand. Und in einigen Fällen wurde der Link nicht einmal angeklickt (ich laß, dass das über ICQ wohl möglich ist, aber über miranda unwahrscheinlich; nun ist der fall dennoch eingetreten). Wie kann ich meinen Freunden sagen, was sie dagegen tun sollen. Gibt es außer PW wechsel (der bei mir nicht möglich ist, da ich mein pw durch automatisch anmelden vergaß und das mit der e-mail nicht richtig funktioniert) noch Mittel und Wege sowas in Zukunft zu verhindern, zumindest zu reagieren?

EDIT: ich vergaß zu sagen, dass ich Win XP verwende

Zitat:

Wie kann man sich gegen diesen Trojaner/Virus schützen.

Nicht mehr starten!

Ansonsten empfehle ich, PC formatieren und neu installieren, da du nicht weißt was die Malware angerichtet hat.
Und deinen "besten" Freund aus der Freundesliste löschen und ignorieren.

Lucky

war er also nicht unter den drei warnungen? wird nicht mein virusprogramm nach einiger zeit, die signatur des trojaners haben und ihn erkennen können? pc nicht mehr starten ist irgendwie keine alternative. den freund zu löschen wäre auch ziemlich sinnfrei, da ich eigentlich alle löschen müsste, da unabhängig von meinem bruder und mir auch andere fälle bei freunden aufgetreten sind, die u.a. gar nichtmal in der kontaktliste waren oder schon vor meinem befall das gleiche problem hatten.

Hi,

ich hab mal einen kurzen Blick auf "deine" Malware getan und festgestellt, dass das ein Dropper ist, der mindestens 6 EXE-Dateien in Gepäck hat, also nicht nur ein Trojaner. Das meiste davon Dateien, die darauf spezialisiert sind, alle möglichen Arten von Passwörtern und Zugangsdaten aus deinem Computer abzufischen, die müssen auf jeden Fall schon mal alle von einem sauberen Computer aus geändert werden. Bei einer der Dateien gibt es folgendes Ergebnis, beachte VirusBuster:

Code: Alles auswählenAufklappen

ATTFilter

AhnLab-V3	2007.8.28.0	2007.08.27	-
AntiVir	7.4.1.63	2007.08.27	TR/PSW.Steam.M.31
Authentium	4.93.8	2007.08.26	W32/PWStealer.IIG
Avast	4.7.1029.0	2007.08.27	Win32:Steam-AB
AVG	7.5.0.484	2007.08.27	PSW.Proxy.BN
BitDefender	7.2	2007.08.27	Trojan.Pws.Steam.F
CAT-QuickHeal	9.00	2007.08.25	-
ClamAV	0.91	2007.08.27	-
DrWeb	4.33	2007.08.27	-
eSafe	7.0.15.0	2007.08.26	suspicious Trojan/Worm
eTrust-Vet	31.1.5088	2007.08.27	-
Ewido	4.0	2007.08.27	Trojan.Steam.f
FileAdvisor	1	2007.08.27	-
Fortinet	2.91.0.0	2007.08.27	-
F-Prot	4.3.2.48	2007.08.26	W32/PWStealer.IIG
F-Secure	6.70.13030.0	2007.08.27	Trojan-PSW.Win32.Steam.m
Ikarus	T3.1.1.12	2007.08.27	Trojan-PWS.Win32.Steam.m
Kaspersky	4.0.2.24	2007.08.27	Trojan-PSW.Win32.Steam.m
McAfee	5105	2007.08.24	-
Microsoft	1.2803	2007.08.27	-
NOD32v2	2485	2007.08.26	-
Norman	5.80.02	2007.08.27	-
Panda	9.0.0.4	2007.08.27	-
Prevx1	V2	2007.08.27	-
Rising	19.38.02.00	2007.08.27	-
Sophos	4.21.0	2007.08.27	Troj/Steam-AJ
Sunbelt	2.2.907.0	2007.08.25	-
Symantec	10	2007.08.27	-
TheHacker	6.1.9.173	2007.08.27	-
VBA32	3.12.2.3	2007.08.27	Trojan-PSW.Win32.Steam.f
VirusBuster	4.3.26:9	2007.08.27	Backdoor.Bifrose.UW
Webwasher-Gateway	6.0.1	2007.08.27	Trojan.PSW.Steam.M.31
weitere Informationen
File size: 1148416 bytes
MD5: 8f2e321469610b14779645b84549ee51
SHA1: 0636c255eda2563e391cb461a4ce299ac34b722b
packers: UPX
packers: UPX
packers: UPX, BINARYRES
packers: UPX
         

Andere zielen auf den "Geschützten Speicher" von Windows:

Zitat:

Bietet geschützten Speicherplatz für private Daten, wie z. B. private Schlüssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.

Dann habe ich da noch Funktionen zum, Versandt von Mails entdeckt (und bestimmt eine Menge übersehen, da ich nicht viel Zeit dafür hatte).

Wie üblich: Deine Daten, dein Konto, deine Accounts, dein Risiko, deine Entscheidung. Auf jeden Fall solltest Du aber mal deinen Messenger darauf ansehen, ob er sich nicht so konfigurieren lässt, das er Links und Dateien gleich löscht.

Gruß, Karl

uff, (meine "malware" ist der link und dessen inhalt oder?) also gibs für mich nur die wahl der formatierung? kein manuelle rettung? weil ich hab hier zB mein icq acc ein autospeicherung vom pw und kenn es nicht mehr und ohne sichherheitsfrage komm ich nimmer ran. ich weiß nur noch die anzahl, meine email und die icqnummer ...aber die antwort auf die icqsicherheitsfrage nicht mehr. ich wollte jetzt auf miranda umsteigen, aber mein bruder hat das gleiche problem.
nun ich hab das dingl installiert aber mein bruder nicht, aber er hat trz solche links automatisch rumgeschickt. was muss ich posten damit man erkennen kann, ob er auch infiziert ist?
sollte ich da lieber trillian nehmen?

danke für die effizienten antworten bis her und die folgen, auch wenn ich nur die hälfte versteh ^^

edit:

D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Dokumente und Einstellungen\Benjamin\Lokale Einstellungen\Temp\~~0mong355.tmp
[FUND] Ist das Trojanische Pferd TR/PSW.Steam.M.31
[INFO] Die Datei wurde gelöscht.
D:\WINDOWS\system32\kdmvj.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

eins der trojaner die du genannt hast hat mein system jetzt gefunden

entschuldigt den doppelpost, aber eine gewisse aufregung und nervosität veranlasst mich dazu.

das protokoll hat noch keiner der helfer gefordert, da aber sunny das häufiger anfordert wollte ich dem schon mal vorkommen (allerdings ging kein link, weder der in der signatur, noch die google links das combofix tool runterzuladen):

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo.

Du hast nun schon mehrere Erklärungen erhalten was du nun machen sollst!

Eine andere Lösung als eine Neuinstallation des Betriebssystems ist leider nicht mehr in Aussicht.

Diesen Link durchlesen und abarbeiten:

http://www.trojaner-board.de/12154-a...sicherung.html

Eine andere Möglichkeit gibt es für dich nicht mehr, trenne den Rechner so schnell wie möglich vom Internet, und installiere dein System neu.


Sorry,
Sunny

hm, ok aber die frage nach dem pc von meinem bruder habt ihr noch nicht beantwortet, da er zwar die links weitergeschickt hat (automatisch) aber nichts angeklickt und nichts installiert hat. muss er auch so ein hijack dings machen? oder kann er beruhigt weiter machen wie bisher?

ps:entschuldigt wenn ich leicht anstrengend bin

Zitat:

Zitat von Sturmi

hm, ok aber die frage nach dem pc von meinem bruder habt ihr noch nicht beantwortet, da er zwar die links weitergeschickt hat (automatisch) aber nichts angeklickt und nichts installiert hat. muss er auch so ein hijack dings machen? oder kann er beruhigt weiter machen wie bisher?

Hat dein Bruder denn die zugesandte Datei angeklickt/ausgeführt?
Wenn nicht, dann kann er nochmal Glück haben.

Er soll aber auf jeden Fall sein System mit einem Antivirenprogramm untersuchen, vorher natürlich die neusten Virensignaturen einspielen.

Zitat:

ps:entschuldigt wenn ich leicht anstrengend bin

Das macht doch nichts, das sind wir gewohnt.

SCNR

Sunny

nun wie ich schon mehrfach erwähnte hat mein bruder nichts angeklickt, gespeichert oder ausgeführt, dennoch schickte sich der link automatisch weiter.
ein weiterer freund hat allerdings ausgeführt, der pc ist neu, aber außer dass er auch links weiterschickte konnte man nichts finden (weder antivir noch ad aware). nach deiner aussage haben beide glück gehabt, nur letzterer ist bedingt gefährdet. richtig?

Zitat:

Zitat von Sturmi

(weder antivir noch ad aware). nach deiner aussage haben beide glück gehabt, nur letzterer ist bedingt gefährdet. richtig?

Richtig, so würde ich es vorerst sehen und auch bestreiten.
Sollten sich da aber bei deinem Bruder doch noch Probleme auftun, soll er sich selbst hier mal melden.

Sunny

ok bin grad drüber mein system nach der anleitung neu aufzusetzen und bin erwartungsgemäß total überfordert.
bevor ich alle fehler begehe die möglich sind, eine frage zur formatierung: ich hatte schon einmal das problem, dass mein rechner ständig abstürzte. ich fand aber nichts, wie ich die werkeinstellung wiederherstellen konnte. also zog ich windows xp neu drauf, was eine vertauschung der partitionen (c=d d=c) und den verlust der bootdateien zur folge hatte.
Ich habe wirklich lange gebraucht, um wieder annähernd mit dem rechner arbeiten zu können. zB hatte ich microsoft word vorinstalliert, aber keine software dazu bekommen. war aber durch meine aufgaben gezwungener maßen darauf angewiesen, nur um eins meiner probleme zu schildern, die mich vorsichtiger an die sache rantreten lassen.
nun ist empfohlen, dassbeide teile der festplatte formatiert werden sollen. ich möchte aber nicht wieder alles neu zusammenkramen, erbetteln oder gar kaufen. wie kann ich meine daten und spezielle programme sichern ohne das risiko einzugehen ein trojaner und co mitzunehmen?
anschließend stellt sich die frage, ob ich da nicht noch einmal windows xp drüber spielen soll.

zweiter punkt ist punkt 9: ich weiß man sollte irgendwo ein administratorpasswort o.ä. besitzen, wo standartmäßig in den einstellungen keins drin ist. muss ich denn nun auf bestimmte passwörter speziell achten? ich meine von internetaccounts wie dieser forumsacc das pw zu ändern ist kein problem. allerdings in meinem system habe ich eigentlich keins, was ich irgendwie mal gebraucht habe, bzw kann mich nicht erinnern. ist da was wo ich eins einrichten sollte? (dass ich ein account extra fürs serven mit eingeschränkten rechten haben soll hab ich mir schon verinnerlicht, da gehört natürlich eins hin, aber sonst noch?)

seid gnädig obwegen meiner unwissenheit :S

Zitat:

Zitat von Sturmi

nun ist empfohlen, dassbeide teile der festplatte formatiert werden sollen. ich möchte aber nicht wieder alles neu zusammenkramen, erbetteln oder gar kaufen.

Es sollte ausschließlich das Formatieren der Systempartition ausreichen!

Zitat:

wie kann ich meine daten und spezielle programme sichern ohne das risiko einzugehen ein trojaner und co mitzunehmen?

Indem du einfach diese Partition - ich denke D: - mit deinen Daten die du mitnehmen willst "füllst", und danach einen Virenscan durchführst.

Zitat:

anschließend stellt sich die frage, ob ich da nicht noch einmal windows xp drüber spielen soll.

Nein, wenn du die Systempartition richtig formatierst, brauchst du dies kein zweites mal wiederholen.

Zitat:

zweiter punkt ist punkt 9: ich weiß man sollte irgendwo ein administratorpasswort o.ä. besitzen, wo standartmäßig in den einstellungen keins drin ist. muss ich denn nun auf bestimmte passwörter speziell achten?

Also du solltest schon kein Passwort nutzen was leicht zu "knacken" ist.
(z.B. 12345 oder windows etc.)

Zitat:

ich meine von internetaccounts wie dieser forumsacc das pw zu ändern ist kein problem. allerdings in meinem system habe ich eigentlich keins, was ich irgendwie mal gebraucht habe, bzw kann mich nicht erinnern. ist da was wo ich eins einrichten sollte? (dass ich ein account extra fürs serven mit eingeschränkten rechten haben soll hab ich mir schon verinnerlicht, da gehört natürlich eins hin, aber sonst noch?)

Es reicht völlig aus und dient als Unterstütztung der gesamten Systemsicherheit wenn du mit eingeschränkten Rechten surfst und für jedes Profil - also einmal das des Admins, als auch deines "Surfaccounts" - ein Passwort vergibst. Schaden kann es auch bei dem eingeschränkten Konto nicht.

Zitat:

seid gnädig obwegen meiner unwissenheit :S

Das sind wir ...

Zitat:

Es reicht völlig aus und dient als Unterstütztung der gesamten Systemsicherheit wenn du mit eingeschränkten Rechten surfst und für jedes Profil - also einmal das des Admins, als auch deines "Surfaccounts" - ein Passwort vergibst. Schaden kann es auch bei dem eingeschränkten Konto nicht.

also reichen die normalen profilpws bei der anmeldung aus. meine frage kommt daher, weil ich mal gehört habe, dass irgendwie irgendwer auf irgendeine art und weise übers internet zugreifen könnte und da ein pw zu umgehen ist, allerdings nur wenn man das vorher eingibt. dem scheint ja nicht so zu sein, von daher stürz ich mich mal in die materie und hoffe das es klappt...
danke

Zitat:

Zitat von Sturmi

von daher stürz ich mich mal in die materie und hoffe das es klappt...
danke

Das wird schon klappen ... mit 'Sicherheit' auf jeden Fall ..