Trojaner-Board - Facebook Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Facebook Virus (https://www.trojaner-board.de/104492-facebook-virus.html)

Hi,

scheint ja grade total abzugehen mit dem Facebook Virus. Nun hat es mich auch erwischt, denn meine Freundin hat dummerweise bei Facebook ein "Bild" runtergeladen, dass in Wirklichkeit eine ausführbare Datei war. Dies habe ich vorhin festgestellt, als ich den Firefox Download Verlauf gesehen habe. :stirn:
Wie dem auch sei, ein MalwareByte Scan hat ergeben, dass es sich um den backdoor.IRCBot handelt, den ich daraufhin entfernt habe. Ein anschließender FullScan ergab folgendes Ergebnis:

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 8018
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

25.10.2011 19:40:45

mbam-log-2011-10-25 (19-40-41).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 337903

Laufzeit: 8 Minute(n), 35 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\Users\christoph\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\GR7G1VUA\ok[1].exe (Backdoor.IRCBot) -> No action taken.

Zur Zeit lasse ich noch den ESET Online Scanner laufen. Wäre toll, wenn mir jemand von euch helfen könnte das System wieder frei zu bekommen.

1. ihr müsst mal den absender des links informieren, dieser ist ebenfalls mit malware befallen.
2. muss dieser alle seine kontakte informieren, und jeder der das geöffnet hatt, seine kontakte.
3. also müsst ihr auch eure kontakte informieren, jeder kann sich hier melden.
4. sende mir den link als private nachicht, falls ihr bereits links weiter versendet, sende sie mir alle.
5. alle malwarebytes logs bitte und den eset log auch.

Wurden schon alle informiert!

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8018

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

25.10.2011 19:16:00
mbam-log-2011-10-25 (19-16-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 187801
Laufzeit: 57 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> 1932 -> Unloaded process successfully.
c:\Users\christoph\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> 876 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Backdoor.IRCBot) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Users\christoph\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\christoph\AppData\Local\Temp\12986.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\christoph\downloads\img078327342.jpg.scr (Trojan.Fakealert) -> Quarantined and deleted successfully.

Das war der zweite Log und ESET Log schicke ich dir wenns durchgelaufen ist (dauert noch was).

ich möchte alle malwarebytes logs.
und weist du was das beschi...ene für dich ist, die seite hab ich vor 1,5 stunden durch die abuse abteilung des hosters vom netz nehmen lassen :-(
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
wie ich grad hier sehe, du hast hier irgendwass illegal aktiviert, office nehme ich an, das unterstützen wir nicht, da gibts nur hilfe beim neu aufsetzen

Achso.. Ja der eine Scan hatte halt nix mehr ergeben...

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 8018
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

25.10.2011 19:24:17

mbam-log-2011-10-25 (19-24-17).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 187262

Laufzeit: 1 Minute(n), 0 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Und der ESET Log:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=7977568b5b193a4dbfa0e7d0c8ac0685

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-10-25 07:12:49

# local_time=2011-10-25 09:12:49 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1797 16775165 100 94 702731 56101832 89387 0

# compatibility_mode=5893 16776574 100 94 14511057 71194861 0 0

# compatibility_mode=8192 67108863 100 0 115 115 0 0

# scanned=165880

# found=0

# cleaned=0

# scan_time=4958

aber wie gesagt, der fund von mbam ist ein illegaler aktivator für office programme oder ähnliches und deswegen gibts hier keine hilfe beim reinigen des pcs.

:wtf: Nee eigentlich nicht...

naja, die erkennung, der dateiname und dass es ein laufender prozess ist zeigt mir aber was anderes, genauso sehen die programme aus mit denen man office illegal aktiviert.
deshalb, wie gesagt, kann ich nichts weiter tun :-(