Guten Tag,

ich habe vor ca. 2 Stunden die Nachricht

Zitat:

Hi ein megageiles Spiel gefunden h**p://uploaded.to/?id=clq8ok mußte dir ma angucken

über ICQ erhalten. Der Absender war mir bestens bekannt und nach dem Download habe ich das Spiel auch erstmal getestet.
Nachdem ich es die Mission vollständig durchgespielt hatte, meldete mein ICQ 6-Client das sich ein Anderer in meinen ICQ Account eingeloggt hätte.
Nach dem reconnect fragte eine Freundin von mir was das für ein Spiel sei, das ich ihr da gesendet hatte.

Nunja nach "my party pictures", etc. sollte man meinen das man eigentlich so blöd gar nicht sein kann, einfach solche Sachen zu öffnen , aber nun wurde ich eines Besseren belehrt.

Ich hoffe es kann mir jemand sagen wie ich das Ding wieder loswerde. Die Dateien die erstellt wurden habe ich natürlich sofort gelöscht!

HJT-Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:30:18, on 21.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
J:\xampp\apache\bin\apache.exe
H:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
J:\xampp\apache\bin\apache.exe
J:\xampp\mysql\bin\mysqld-nt.exe
J:\Nero\Nero\Nero8\Nero BackItUp\NBService.exe
J:\Nero\Nero\Nero8\InCD\NBHRegInCDSrv.exe
H:\WINDOWS\system32\IoctlSvc.exe
H:\WINDOWS\system32\svchost.exe
J:\PROGRA~1\DAP\SPEEDB~1\VideoAcceleratorService.exe
H:\WINDOWS\system32\cmd.exe
J:\Subversion\bin\VisualSVNServer.exe
J:\Subversion\bin\VisualSVNServer.exe
H:\WINDOWS\Explorer.EXE
I:\Turtoise\bin\TSVNCache.exe
J:\PROGRA~1\DAP\SPEEDB~1\VideoAcceleratorEngine.exe
H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
J:\Razer\razerhid.exe
H:\Programme\Java\jre1.6.0_07\bin\jusched.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programme\D-Tools\daemon.exe
J:\Razer\razerofa.exe
J:\Spybot - Search & Destroy\TeaTimer.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\system32\wuauclt.exe
J:\Vidalia Bundle\Tor\tor.exe
J:\Firefox\firefox.exe
H:\WINDOWS\System32\svchost.exe
J:\ICQ6\ICQ.exe
J:\MICROS~1\Office\OUTLOOK.EXE
H:\WINDOWS\system32\notepad.exe
H:\Dokumente und Einstellungen\Jonas\Desktop\HiJackThis.exe

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - J:\Orbitdownloader\orbitcth.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - J:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - J:\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [Diamondback] J:\Razer\razerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "J:\Acrobat Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] J:\Nero\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] J:\Nero\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "J:\Nero\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] J:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ICQ] "J:\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Vidalia] "J:\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [AnyDVD] J:\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = J:\Programme\MagicDisc\MagicDisc.exe
O4 - Startup: Stardock ObjectDock.lnk = J:\ObjectDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = J:\Microsoft Office 2000\Office\OSA9.EXE
O4 - Global Startup: Orbit.lnk = J:\Orbitdownloader\orbitdm.exe
O4 - Global Startup: Privoxy.lnk = J:\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: &Clean Traces - J:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download by Orbit - res://J:\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Download with &DAP - J:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &Download with TrueDownloader! - J:\TrueDownloader\TrueDownloader.htm
O8 - Extra context menu item: &Grab video by Orbit - res://J:\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://J:\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://J:\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download &all with DAP - J:\Programme\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - J:\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - J:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - J:\ICQ6\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - J:\xampp\apache\bin\apache.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - I:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - J:\Nero\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: mysql - Unknown owner - J:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - J:\Nero\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - J:\Nero\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - H:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - J:\PROGRA~1\DAP\SPEEDB~1\VideoAcceleratorService.exe
O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - J:\Subversion\httpd-wrapper.bat.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 1: (no name) - http://www.ogame.de/

--
End of file - 8153 bytes
         

Hallo,
hast du die Datei etwa ausgeführt?
Scheint auf jedenfall etwas ganz Neues sein:
VirusTotal Ergebnis

Zitat:

Zitat von Silent sharK

Hallo,
hast du die Datei etwa ausgeführt?
Scheint auf jedenfall etwas ganz Neues sein:
VirusTotal Ergebnis

Jepp, ich habe mir nichts dabei gedacht die Datei zu öffnen.

Weder Spybot S&D noch Antivir haben etwas gemeldet. Die teilweise Firewall war aus, demnach könnte der Schadcode auch nachgeladen worden sein. Teilweise, weil ich sie erst an hatte weil ich dem Absender einen kleinen Scherz zugetraut hätte, aber den Trojaner hat er definitiv nicht absichtlich verschickt, dann hatte ich den Rechner aber heruntergefahren und nach dem Reboot die FW deaktiviert.

Okay,
dann bitte führe die folgenden Punkte zur Analyse aus:

1.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

2.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

3.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Ich hab endlich die Nachricht der Freundin bekommen:

Zitat:

Haha guck dir mal dieses geile game an xD h**p://uploaded.to/?id=clq8ok bin grad voll am rofln

Also eindeutig ein ICQ-Virus und kein simpler Passwortklau mit Falschinterpretationen.

Die Liste arbeite ich ab und editier gleich.

Soso,
gib deiner Freundin bescheid, dass sie ihre Logindaten von ICQ von einem sauberen Rechner aus ändern soll und bis zur Entfernung des Schädlings sich nicht einloggen soll - das Gleiche gilt für dich.

Zitat:

Zitat von Silent sharK

Soso,
gib deiner Freundin bescheid, dass sie ihre Logindaten von ICQ von einem sauberen Rechner aus ändern soll und bis zur Entfernung des Schädlings sich nicht einloggen soll - das Gleiche gilt für dich.

Die Freundin hat die Datei nicht geöffnet, demnach sollte da eigentlich keine Gefahr von ausgehen.

Blacklight meldet nichts.

Dann bleiben nur zwei Optionen:
- Sie macht es absichtlich
- Der Dropper variiert von Infektion zu Infektion

Zitat:

Zitat von Silent sharK

Dann bleiben nur zwei Optionen:
- Sie macht es absichtlich
- Der Dropper variiert von Infektion zu Infektion

Was meinst du damit? Das sie die Datei absichtlich öffnet? Warum sollte sie?

Malwarebytes ist leider immernoch am werkeln.

Nein.
Den Link dir schicken.

Zitat:

Zitat von Silent sharK

Nein.
Den Link dir schicken.

Woher sollte sie wissen welchen Link ich von meinem Freund bekommen habe? Denn den Link den ich angeklickt habe kam von nem Kumpel, die Nachfrage kam von einer Freundin, von der ich mir dann die Bestätigung geholt habe, dass das Virus Nachrichten verschickt.

Du hast im ersten Post erwähnt, das man dir die Nachricht schickt.
Woher sollte ich wissen, das es dein Kumpel war oder sonst wer?

Ist ja irrelevant jetzt.
MBAM schon fertig?

Hat auch nichts gefunden...

Dann gehts weiter mit ComboFix.

ComboFix schreckt mich irgendwie ab, was genau macht es?

Im übrigen scheint sich der Ersteller der Schadsoftware im kleineren Kreis zu bewegen, denn ein anderer Kontakt von mir meinte er hätte mit mir darüber diskutiert das Spiel herunterzuladen, was ich natürlich nie getan habe.