Hallo ich hab ein ernstes Problem hier.
Meine freundin hat sich einen MSN Virus eingefangen.
Ich habe noch keine ahnung was er macht ausser das er alle 10-15 Minuten an alle anderen User in der MSN Liste eine Nachricht schickt die etwa so aussiht:
haha foto http://msn-gallery.net/images.php?=xyz@xyz.com aber der Link war etwas anders ich habe ihn mir nich auswendig gelernt.
Ich hab die Dateien gefunden in dem system32 Ordner: "sysprint.sep" und "sysprtj.sep"
Löschen kan ich sie nicht! Nicht einmal im abgesicherten modus!
MSN habe ich bereits deinstalliert


Mein betriebssystem ist Windows Vista Home Premium

und hier ist ein HijackThis log :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:24:05, on 20.02.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Windows\system32\schtasks.exe
C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe
C:\Windows\system32\jusched.exe
C:\Users\Public\infocard.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Program Files\Power Video Converter\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [vmware-tray] C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Users\Coldpep\Documents\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [{F798CD1E-EF3E-4625-8858-EAC6AA6D6010}] C:\Users\Coldpep\AppData\Roaming\USB DRIVE\USBVISIBLE.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [Firewall Administrating] C:\Users\Public\infocard.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: WkCalRem.LNK = C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: WebEx Service Host for Support Center (atashost) - WebEx Communications, Inc. - C:\Windows\system32\atashost.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPTools - Unknown owner - C:\Users\Coldpep\Desktop\sniffer\iptools.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe

--
End of file - 7607 bytes

kennt sich einer damit aus?
hoffentlich kan mir jemand helfen! Danke im vorraus


MFG Coldpep

++++++++++++++++++++++++++++++++++++++++++++++++++

Hab genau die selben probleme

habe malware mal gedownlaodet und der hat 2 infizierte daten gefunden und sie gelöscht

schicke nicht mehr diese links ^^


also rate dir

malware + spybot zu downloaden


am ende machst du dann noch anti vir scan
und dein problem müsste gelöst werden

also bei mir ist das so

ich weiß aber nicht ob der virus dann 100% weg ist...

hmm danke ich mach das schon mal
vielleicht kommen ja noch antworten
meinst du mit maleware malewarebytes?

jo malwarebytes

hab ehm

hijack gerade gedownloade
und im internet findest du eine Online auswertung

hab gerade gemacht dermeinte alles ist inordnung^^

Also ich hab eine schlechte nachricht und



ich habe alle scans gemacht und alles mit den 2 programmen und scan mit antivir aber er schickt die nachrichten immernoch weiter
und ich werde jedes mal dabei rausgeschmissen
wie einen das aufregt >.<

Komisch


also bei mir funkte es o0


hat er bei dir den acuh infizierte daten gefunden?

hast du auch einen viren scan gemacht?

...


naja will auch halt wissen bei mir schickt er diese links nicht mehr

aber kann sein das ich trotzdem das virus hab,...

guck mal bei dir im system32 ordner op die beiden dateien da sind : "sysprint.sep" und "sysprtj.sep"
bei mir existiren sie immernoch und ich kan sie immer noch nicht löschen
das komische dadran istg wen ich den computer mit gesichertem modus starte kan ich sie trotztdem nicht löschen
uind ja er hat was gefunden bei maleware und das andere!

Hab die auch was machen die?

aber das ist kein virus

SYSPRINT.SEP: ist eine PostScript-Kompatibele Trenndatei. Es druckt also eine Trennseite an dem Anfang jedes Dokuments.
sysprtj.sep: Dies ist eine Variante der Datei sysprint.sep mit Unterstützung für japanische Schriftzeichen.



wenn du eine datei hast die sysprint.dll heißt dann ja

also hab es so verstanden^^


lies dir das mal durch
http://www.netzwelt.de/download/3759...messenger.html

okey.. ne die dll ist nich vorhanden
meinst du wen ich wieder zu miranda Hauptseite ? Miranda IM auf Deutsch wechseln würde währe er immernoch da?
ich meine miranda ist ja nicht msn aber es funktioniert vielleicht so ähnlich?

Würd aufjeden fall sagen

wenn du diese datei nicht hast sysprint.dll

wenn dein anti vir keine meldung von einem trojaner sagt

wenn malewarebytes sagt alles ist inordnung

wenn spybot keine probleme findet


müsste dein pc tip top sein =)

ich mein msn virus ist kein virus das die vielen programme austricksen kann...

ist einfach so ein virus von anfänger erstellt ^^

also
für mich siht er ganz gut aus
ich bin aber auch ein noob ich könte vielleicht mal ein taschenrechner in visual basic 6 erstellen mehr auch nicht.
also ich habe den virus gefunden
bei meinem vista pc war es so
ich ging auf start/systemsteuerung/autostartprogramme ändern
und dan da oben kan mana uf zur zeit ausgeführte programme gehen
da war so ein komisches
keine ahnung mehr wie es heisst
ich guck gleich nach
und dan hab ichs halt also den prozess beendet
rausgewordn wertd ich immernoch aber er verschickt keine links mehr!

Also ich dachte ich hab den virus auch los

aber irgendwie hat heute
anti vir ein trojaner gefunden -.-


infocard.exe


weiß aber nicht ob ich jetzt die viren los bin

wieso findet er die viren nicht wenn ich scanne??? -.-



ja und dann scanne ich wieder

gucke finde ein virus namens TR/Buzus.dgno


omg was soll das -.-

LoL
ich habs glaub ich wirklich geschafft :P
also avira meldet eine datei "C:\Users\Public\infocard.exe" die hab ich erst zugriff verweigert nachgekukt und die datei selber nicht gefunden versteckt ist sie auch nicht
dan meldet avira sie nochmal
dan habe ich quarantäne gemacht und ich werde weder rausgeworfen und schicke keine links ab
wofür ist eigentlich quarantäne das er sie immer verweigert oder ignoriert?
ignorieren steht da ja auch also denk ich mal das erste

LOL komisch guck mal

bei mir ist heute meldung gekommen

infocard.exe ok !! gelöscht


jetzt lass ich anti vir durchlaufen was komtm?

noch ein virus


TR/Buzus.dgno !!!!



was den los .,.