|
Plagegeister aller Art und deren Bekämpfung: ICQ Trojaner/virus der auf rückfragen antwortetWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.08.2007, 00:58 | #1 |
| ICQ Trojaner/virus der auf rückfragen antwortet Hi, auf der Suche nach mitleidtragenden habe ich kein Forum o.ä. gefunden, was speziell diesen Trojaner/Virus erwähnt. Ich hab mich bemüht einen Überblick über das Forum zu gewinnen und über die erste Seite dieser Sparte. Ich bin guter Hoffnung, dass das Thema so noch nicht aufgetreten ist, bzw nicht speziell der Fall. Wenn doch bitte ich um Nachsicht. Ich habe einen Link von einem bekannten bekommen, der aber eigentlich off war, kann ich aber nicht 100% sagen: es (11:29 PM) : h**p://dsd322*ds*funpic*de/ich.exe //(ich hab die "." durch "*" ersetzt)// ich (11:29 PM) : ne exe? es (11:29 PM) : jo ich (11:29 PM) : gefahrlos zu öffnen? es (11:29 PM) : jo ich (11:29 PM) : kann ich dir trauen? ^^ es (11:29 PM) : jo^^ ich (11:29 PM) : ok ich (11:31 PM) : öhm ... habs gespeichert und dann öffnen wollen hat sich aber nix geöffnet ich (11:31 PM) : jetzt muss ich danach suchen xD es (11:31 PM) : iss normal ein icq style ich (11:31 PM) : wie hieß der name? ich (11:31 PM) : ich? es (11:31 PM) : jop es (11:31 PM) : ich.exe ich (11:35 PM) : das deaktiviert kurz meine firewall mehr nicht --- es ist offline Ein weiterer Dialog (einer von vielen) den angeblich ich geführt haben soll nach meiner Infizierung: angeblich ich (23:46:57 26/08/2007) h**p://dsd322*ds*funpic*de/ich.exe der andere (23:47:05 26/08/2007) virus? angeblich ich (23:47:09 26/08/2007) lol nee der andere (23:47:18 26/08/2007) ne exe start ich doch nich ^^ der andere (23:47:22 26/08/2007) bin doch nich doof ^^ angeblich ich (23:47:24 26/08/2007) dann halt nicht --- Nachdem ich nun dem Sender "es" geglaubt hatte (ich kenne ihn vom Sehen und war mit ihm in der Grundschule; zur Zeit bin ich mit ihm in einem Kurs (Oberstufe), und kenne ihn als kein PC-Genie und traue ihm sowas auf keinem Fall zu) klickte ich auf den Link und erlaubte Internetzugang. Danach wurde meine Firewall (Die Standartf. vom Microsoft Servicepaket o.ä.) kurz deaktiviert. Danach gab es die Rückfrage wie im Verlauf beschrieben. Also suchte ich es, fand es und Installierte neu. Gleiches Spiel: Wieder kurze Deaktivierung. Danach kam eine Fehlermeldung, dass meine ICQ-Nr. Schon in Benutzung sei und ich wurde gekickt und offline. Nach einer Weile war ich wieder online und ich erhielt eine Reihe von beschwerden, was das sei. Einer hat bisher das gleiche gemacht und bei ihm das Gleiche. Die Dunkelziffer wird noch Steigen, da wir ja mitten in der Nacht sind. Danach wunderte ich mich, warum das nun kurz vorher bei meinem Bruder auch gesagt hatte (bevor ich auf den link klickte), dass die ICQ Nr. benutzt sei. Er benutzt aber nun mal Miranda, was ja eigentlich eine andere Routine als das normalo ICQ haben soll. Nur er hatte auf keinen Link geklickt. Nach meiner Infektion verbreitete sich (wahrscheinlich war das ziemlich zeitgleich, aber die Verbreitung funktionierte ein wenig anders, deshalb die Zeitunterschiede zu der Weiterverbreitung der exeLinks) der Virus/Trojaner an so ziemlich alle >100 Kontaktlistenleute. Oft antwortete jemand anderes, wobei die Antworten dermaßen realistisch sind, dass man meinen könnte, da sitzt eine reale Person dahinter. Danach schickte ich eine RM, dass niemand, auch nicht auf etwaige Disskussionen mit mir, auf den Link klicken soll. Dann startete ich AntiVir(Free edition) und brachte es auf den neuesten Stand. Davor löschte ich noch die gedownloadete exe (>1MB) und eine ICH.EXE-135031E9.pf (64KB) in einem anderen ordner, wo viele exe drin standen. ich nehm an regestry o.ä.; vorsichtshalber löschte ich die Datei, ließ sie aber im Papierkorb. Ich durchsuchte mein PC fand zwei Warnhinweise im System (windows ... sollte eigentlich c heißen, ist aber durch eine vermurkste partitionierung nun unter D:\windows...): Beginne mit der Suche in 'D:\WINDOWS\system32' D:\WINDOWS\system32\drivers\atapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Keine Ahnung was ich damit anfangen soll. Bei der Überprüfung von den beiden Festplatten(teilen ... ist ja nur eine am Ende) fand ich drei Viren und bekam drei Warnungen: D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Temp\9yngs1r2.wm [FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF [INFO] Die Datei wurde gelöscht. D:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Temp\mh0xxh5o.wm [FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF [INFO] Die Datei wurde gelöscht. D:\Dokumente und Einstellungen\Mustermann\Lokale Einstellungen\Temp\swcwghae.wm [FUND] Enthält Signatur des Exploits EXP/MS06-001.WMF [INFO] Die Datei wurde gelöscht. D:\WINDOWS\system32\drivers\atapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ich bitte um Hilfe. Wie kann man sich gegen diesen Trojaner/Virus schützen. Die Virensoftware war bei so ziemlich allen Betroffenen die ich nun kenne, auf dem neuesten Stand. Und in einigen Fällen wurde der Link nicht einmal angeklickt (ich laß, dass das über ICQ wohl möglich ist, aber über miranda unwahrscheinlich; nun ist der fall dennoch eingetreten). Wie kann ich meinen Freunden sagen, was sie dagegen tun sollen. Gibt es außer PW wechsel (der bei mir nicht möglich ist, da ich mein pw durch automatisch anmelden vergaß und das mit der e-mail nicht richtig funktioniert) noch Mittel und Wege sowas in Zukunft zu verhindern, zumindest zu reagieren? EDIT: ich vergaß zu sagen, dass ich Win XP verwende Geändert von Sturmi (27.08.2007 um 01:01 Uhr) Grund: schädlichen link nicht richtig verändert |
27.08.2007, 06:25 | #2 | |
/// Helfer-Team | ICQ Trojaner/virus der auf rückfragen antwortetZitat:
Ansonsten empfehle ich, PC formatieren und neu installieren, da du nicht weißt was die Malware angerichtet hat. Und deinen "besten" Freund aus der Freundesliste löschen und ignorieren. Lucky
__________________ |
27.08.2007, 07:18 | #3 |
| ICQ Trojaner/virus der auf rückfragen antwortet war er also nicht unter den drei warnungen? wird nicht mein virusprogramm nach einiger zeit, die signatur des trojaners haben und ihn erkennen können? pc nicht mehr starten ist irgendwie keine alternative. den freund zu löschen wäre auch ziemlich sinnfrei, da ich eigentlich alle löschen müsste, da unabhängig von meinem bruder und mir auch andere fälle bei freunden aufgetreten sind, die u.a. gar nichtmal in der kontaktliste waren oder schon vor meinem befall das gleiche problem hatten.
__________________Geändert von Sturmi (27.08.2007 um 07:28 Uhr) Grund: n exploit is nun mal kein trojaner/virus |
27.08.2007, 14:15 | #4 | |
/// Helfer-Team | ICQ Trojaner/virus der auf rückfragen antwortet Hi, ich hab mal einen kurzen Blick auf "deine" Malware getan und festgestellt, dass das ein Dropper ist, der mindestens 6 EXE-Dateien in Gepäck hat, also nicht nur ein Trojaner. Das meiste davon Dateien, die darauf spezialisiert sind, alle möglichen Arten von Passwörtern und Zugangsdaten aus deinem Computer abzufischen, die müssen auf jeden Fall schon mal alle von einem sauberen Computer aus geändert werden. Bei einer der Dateien gibt es folgendes Ergebnis, beachte VirusBuster: Code:
ATTFilter AhnLab-V3 2007.8.28.0 2007.08.27 - AntiVir 7.4.1.63 2007.08.27 TR/PSW.Steam.M.31 Authentium 4.93.8 2007.08.26 W32/PWStealer.IIG Avast 4.7.1029.0 2007.08.27 Win32:Steam-AB AVG 7.5.0.484 2007.08.27 PSW.Proxy.BN BitDefender 7.2 2007.08.27 Trojan.Pws.Steam.F CAT-QuickHeal 9.00 2007.08.25 - ClamAV 0.91 2007.08.27 - DrWeb 4.33 2007.08.27 - eSafe 7.0.15.0 2007.08.26 suspicious Trojan/Worm eTrust-Vet 31.1.5088 2007.08.27 - Ewido 4.0 2007.08.27 Trojan.Steam.f FileAdvisor 1 2007.08.27 - Fortinet 2.91.0.0 2007.08.27 - F-Prot 4.3.2.48 2007.08.26 W32/PWStealer.IIG F-Secure 6.70.13030.0 2007.08.27 Trojan-PSW.Win32.Steam.m Ikarus T3.1.1.12 2007.08.27 Trojan-PWS.Win32.Steam.m Kaspersky 4.0.2.24 2007.08.27 Trojan-PSW.Win32.Steam.m McAfee 5105 2007.08.24 - Microsoft 1.2803 2007.08.27 - NOD32v2 2485 2007.08.26 - Norman 5.80.02 2007.08.27 - Panda 9.0.0.4 2007.08.27 - Prevx1 V2 2007.08.27 - Rising 19.38.02.00 2007.08.27 - Sophos 4.21.0 2007.08.27 Troj/Steam-AJ Sunbelt 2.2.907.0 2007.08.25 - Symantec 10 2007.08.27 - TheHacker 6.1.9.173 2007.08.27 - VBA32 3.12.2.3 2007.08.27 Trojan-PSW.Win32.Steam.f VirusBuster 4.3.26:9 2007.08.27 Backdoor.Bifrose.UW Webwasher-Gateway 6.0.1 2007.08.27 Trojan.PSW.Steam.M.31 weitere Informationen File size: 1148416 bytes MD5: 8f2e321469610b14779645b84549ee51 SHA1: 0636c255eda2563e391cb461a4ce299ac34b722b packers: UPX packers: UPX packers: UPX, BINARYRES packers: UPX Zitat:
Wie üblich: Deine Daten, dein Konto, deine Accounts, dein Risiko, deine Entscheidung. Auf jeden Fall solltest Du aber mal deinen Messenger darauf ansehen, ob er sich nicht so konfigurieren lässt, das er Links und Dateien gleich löscht. Gruß, Karl |
27.08.2007, 14:41 | #5 |
| ICQ Trojaner/virus der auf rückfragen antwortet uff, (meine "malware" ist der link und dessen inhalt oder?) also gibs für mich nur die wahl der formatierung? kein manuelle rettung? weil ich hab hier zB mein icq acc ein autospeicherung vom pw und kenn es nicht mehr und ohne sichherheitsfrage komm ich nimmer ran. ich weiß nur noch die anzahl, meine email und die icqnummer ...aber die antwort auf die icqsicherheitsfrage nicht mehr. ich wollte jetzt auf miranda umsteigen, aber mein bruder hat das gleiche problem. nun ich hab das dingl installiert aber mein bruder nicht, aber er hat trz solche links automatisch rumgeschickt. was muss ich posten damit man erkennen kann, ob er auch infiziert ist? sollte ich da lieber trillian nehmen? danke für die effizienten antworten bis her und die folgen, auch wenn ich nur die hälfte versteh ^^ edit: D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\Benjamin\Lokale Einstellungen\Temp\~~0mong355.tmp [FUND] Ist das Trojanische Pferd TR/PSW.Steam.M.31 [INFO] Die Datei wurde gelöscht. D:\WINDOWS\system32\kdmvj.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\drivers\atapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! eins der trojaner die du genannt hast hat mein system jetzt gefunden Geändert von Sturmi (27.08.2007 um 15:40 Uhr) Grund: nachtrag |
27.08.2007, 16:16 | #6 |
| ICQ Trojaner/virus der auf rückfragen antwortet entschuldigt den doppelpost, aber eine gewisse aufregung und nervosität veranlasst mich dazu. das protokoll hat noch keiner der helfer gefordert, da aber sunny das häufiger anfordert wollte ich dem schon mal vorkommen (allerdings ging kein link, weder der in der signatur, noch die google links das combofix tool runterzuladen): Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
27.08.2007, 16:21 | #7 |
Administrator > Competence Manager | ICQ Trojaner/virus der auf rückfragen antwortet Hallo. Du hast nun schon mehrere Erklärungen erhalten was du nun machen sollst! Eine andere Lösung als eine Neuinstallation des Betriebssystems ist leider nicht mehr in Aussicht. Diesen Link durchlesen und abarbeiten: http://www.trojaner-board.de/12154-a...sicherung.html Eine andere Möglichkeit gibt es für dich nicht mehr, trenne den Rechner so schnell wie möglich vom Internet, und installiere dein System neu. Sorry, Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.08.2007, 16:32 | #8 |
| ICQ Trojaner/virus der auf rückfragen antwortet hm, ok aber die frage nach dem pc von meinem bruder habt ihr noch nicht beantwortet, da er zwar die links weitergeschickt hat (automatisch) aber nichts angeklickt und nichts installiert hat. muss er auch so ein hijack dings machen? oder kann er beruhigt weiter machen wie bisher? ps:entschuldigt wenn ich leicht anstrengend bin |
27.08.2007, 16:35 | #9 | ||
Administrator > Competence Manager | ICQ Trojaner/virus der auf rückfragen antwortetZitat:
Wenn nicht, dann kann er nochmal Glück haben. Er soll aber auf jeden Fall sein System mit einem Antivirenprogramm untersuchen, vorher natürlich die neusten Virensignaturen einspielen. Zitat:
SCNR Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.08.2007, 16:43 | #10 |
| ICQ Trojaner/virus der auf rückfragen antwortet nun wie ich schon mehrfach erwähnte hat mein bruder nichts angeklickt, gespeichert oder ausgeführt, dennoch schickte sich der link automatisch weiter. ein weiterer freund hat allerdings ausgeführt, der pc ist neu, aber außer dass er auch links weiterschickte konnte man nichts finden (weder antivir noch ad aware). nach deiner aussage haben beide glück gehabt, nur letzterer ist bedingt gefährdet. richtig? |
27.08.2007, 16:51 | #11 | |
Administrator > Competence Manager | ICQ Trojaner/virus der auf rückfragen antwortetZitat:
Sollten sich da aber bei deinem Bruder doch noch Probleme auftun, soll er sich selbst hier mal melden. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.08.2007, 17:17 | #12 |
| ICQ Trojaner/virus der auf rückfragen antwortet ok bin grad drüber mein system nach der anleitung neu aufzusetzen und bin erwartungsgemäß total überfordert. bevor ich alle fehler begehe die möglich sind, eine frage zur formatierung: ich hatte schon einmal das problem, dass mein rechner ständig abstürzte. ich fand aber nichts, wie ich die werkeinstellung wiederherstellen konnte. also zog ich windows xp neu drauf, was eine vertauschung der partitionen (c=d d=c) und den verlust der bootdateien zur folge hatte. Ich habe wirklich lange gebraucht, um wieder annähernd mit dem rechner arbeiten zu können. zB hatte ich microsoft word vorinstalliert, aber keine software dazu bekommen. war aber durch meine aufgaben gezwungener maßen darauf angewiesen, nur um eins meiner probleme zu schildern, die mich vorsichtiger an die sache rantreten lassen. nun ist empfohlen, dassbeide teile der festplatte formatiert werden sollen. ich möchte aber nicht wieder alles neu zusammenkramen, erbetteln oder gar kaufen. wie kann ich meine daten und spezielle programme sichern ohne das risiko einzugehen ein trojaner und co mitzunehmen? anschließend stellt sich die frage, ob ich da nicht noch einmal windows xp drüber spielen soll. zweiter punkt ist punkt 9: ich weiß man sollte irgendwo ein administratorpasswort o.ä. besitzen, wo standartmäßig in den einstellungen keins drin ist. muss ich denn nun auf bestimmte passwörter speziell achten? ich meine von internetaccounts wie dieser forumsacc das pw zu ändern ist kein problem. allerdings in meinem system habe ich eigentlich keins, was ich irgendwie mal gebraucht habe, bzw kann mich nicht erinnern. ist da was wo ich eins einrichten sollte? (dass ich ein account extra fürs serven mit eingeschränkten rechten haben soll hab ich mir schon verinnerlicht, da gehört natürlich eins hin, aber sonst noch?) seid gnädig obwegen meiner unwissenheit :S |
27.08.2007, 17:54 | #13 | ||||||
Administrator > Competence Manager | ICQ Trojaner/virus der auf rückfragen antwortetZitat:
Es sollte ausschließlich das Formatieren der Systempartition ausreichen! Zitat:
Zitat:
Zitat:
(z.B. 12345 oder windows etc.) Zitat:
Zitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.08.2007, 18:19 | #14 | |
| ICQ Trojaner/virus der auf rückfragen antwortetZitat:
danke |
27.08.2007, 18:21 | #15 |
Administrator > Competence Manager | ICQ Trojaner/virus der auf rückfragen antwortet Das wird schon klappen ... mit 'Sicherheit' auf jeden Fall ..
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu ICQ Trojaner/virus der auf rückfragen antwortet |
100%, anmelden, antivir, drivers, e-mail, einstellungen, fehlermeldung, festplatte, firewall, forum, free, gewinnen, icq, link, microsoft, nicht möglich, ordner, routine, seite, sender, software, suche, system, system32, temp, trojaner/virus, unterschiede, viren, virensoftware, virus/trojaner, warnung, warum, win xp, windows, windows\system32\drivers, über icq |