Virus über Icq!!!

schorschi92 · 18.10.2007, 16:09

Hallo,
aus meiner Klasse hat mir ein Mädchen im Icq ständig diese Troianer sonstwas Links geschickt. Nun hab ich sie darauf angesprochen, und sie meinte, dass sie ihr Icq nichtmehr verwenden kann da ihr Pw gehackt oder geknackt wurde und jemand anderst immer online kommt und diese Links verschickt. Deswegen hatte ich die Vermutung das sich das Pw ein Virus besorgt hat. Darauf habe ich für sie ein bischen gegoogelt und bin auf diese Seite gestoßen und hab ihr gesagt sie soll mir bitte einen HijackThis scan machen, damit ich das für sie hier in die Hand nehmen kann, da sie sich im www noch schlechter auskennt wie ich. Wäre nett wenn ihr mir anhand des HijackThis scans sagen könntet ob ein Virus sich eingeschlichen hat und wie man diesen verbannen könnte.
Ich danke schonmal für eure Mühe.
(Ich habe versucht alle Namensangaben mit User(geändert) zu anonymisiren^^)

MFG
schorschi92

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:09, on 18.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\wanmpsvc.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
D:\User(geändert)\Eigene Dateien\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\AOL\1183570491\ee\AOLSoftware.exe
C:\WINDOWS.0\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User(geändert)\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =h**p://google.icq.com]ICQ.com Suche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/]ICQ.com Suche
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aol.de/e60/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS.0\System32\ifcconf.exe
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS.0\svccc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS.0\svccc32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\User(geändert)\Eigene Dateien\iTunesHelper.exe"
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1183570491\ee\AOLSoftware.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aol.de/e60/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168074687812
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175846895639
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - h**p://85.118.2.11/activex/AMC.cab
O20 - AppInit_DLLs: wmplmspo.dll confifc.dll ifcstat.dll e1.dll
O20 - Winlogon Notify: crypmapi - C:\WINDOWS.0\System32\crypmapi.dll
O20 - Winlogon Notify: dbgmgr - C:\WINDOWS.0\SYSTEM32\ifcmgr32.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS.0\wanmpsvc.exe

--
End of file - 5779 bytes

cosinus · 18.10.2007, 20:13

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Völlig ungepatchtes System!

Code:

ATTFilter

O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS.0\System32\ifcconf.exe
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS.0\svccc32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS.0\svccc32.exe
O20 - AppInit_DLLs: wmplmspo.dll confifc.dll ifcstat.dll e1.dll
O20 - Winlogon Notify: crypmapi - C:\WINDOWS.0\System32\crypmapi.dll
O20 - Winlogon Notify: dbgmgr - C:\WINDOWS.0\SYSTEM32\ifcmgr32.dll

Schädlingseinträge!
Eine Bereinigung macht bei dem ungepatchten System keinen Sinn - du musst es neu aufsetzen. Festplatte formatieren, Windows neu machen und erst wieder abgesichert ins Internet, d.h. wenn zumindest das SP2 drin ist - das musst du offline für den Rechner einspielen. Mehr dazu findest du hier und hier.

Ihr ICQ-Konto kann sie vergessen, sie muss sich ein neues anlegen. Und am besten alle Bekannten über den Passwortklau ihres ICQ-Kontos informieren, damit diese den "gehijackten" Benutzer aus ihrer Liste löschen.

schorschi92 · 18.10.2007, 21:53

Ich danke dir für deine antwort!!!! Ich wies das sytsem is ohne sp2 ich hab mich auch gewundert is aber ned meins ^^ Trotzdem vielen dank!!! Noch eine Frage wenn ich die daten sichere vor ich formatier ist da eine gefahr das der mitkommt oder ist er nur im System also im windows selber und dessen ordner???

MFg
schorschi92

19.10.2007, 10:15

Bei dem ungepatchten System, und ich will noch nichtmal wissen was dass alles fürn Gezeugs ist, ist die Gefahr sehr, sehr hoch das irgendwas mitkommt. Das beste ist wenn du sowenig Dateien wie möglich sicherst, obwohl in z.B Videos, Bildern, usw. eigentlich nix passieren dürfte...Also auf keinem Fall .exe .com .bat, usw. sichern!

schorschi92 · 19.10.2007, 12:44

Ok danke!!! Ich werde schaun was sich machen lässt^^!!!

MFG
schorschi92

19.10.2007, 10:15	#4
-SkY- Gast	Virus über Icq!!! Bei dem ungepatchten System, und ich will noch nichtmal wissen was dass alles fürn Gezeugs ist, ist die Gefahr sehr, sehr hoch das irgendwas mitkommt. Das beste ist wenn du sowenig Dateien wie möglich sicherst, obwohl in z.B Videos, Bildern, usw. eigentlich nix passieren dürfte...Also auf keinem Fall .exe .com .bat, usw. sichern!

Virus über Icq!!!

Log-Analyse und Auswertung: Virus über Icq!!!

Virus über Icq!!!

Virus über Icq!!!

Virus über Icq!!!

Virus über Icq!!!

Virus über Icq!!!

Ähnliche Themen: Virus über Icq!!!

18.10.2007, 21:53	#3
schorschi92	Virus über Icq!!! Ich danke dir für deine antwort!!!! Ich wies das sytsem is ohne sp2 ich hab mich auch gewundert is aber ned meins ^^ Trotzdem vielen dank!!! Noch eine Frage wenn ich die daten sichere vor ich formatier ist da eine gefahr das der mitkommt oder ist er nur im System also im windows selber und dessen ordner??? MFg schorschi92 __________________

19.10.2007, 12:44	#5
schorschi92	Virus über Icq!!! Ok danke!!! Ich werde schaun was sich machen lässt^^!!! MFG schorschi92