Trojaner-Board - Skype-Problem (vmtl. ein "Wurm")

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Skype-Problem (vmtl. ein "Wurm") (https://www.trojaner-board.de/130583-skype-problem-vmtl-wurm.html)

Skype-Problem (vmtl. ein "Wurm")

So, hallo

Ich hab mich jetzt mal hier registriert, weil ich ein Problem habe, mit einem Skype Link. Und zwar hab ich es (in grenzenloser Dämlichkeit...) geschafft auf einen dieser "Kennst du dieses Bild...?"-Links zu klicken und mir somit nen Wurm o.ä. eingefangen. Bisher hab ich nur ein Problem:
Das Programm schickt auf Skype anderen Usern in meiner Friendlist dieselbe Nachricht. Da jedoch auch Antivir und meine Firewall anscheinend nicht mehr funktionieren führe ich derzeit einen Antimalware Scan aus (hier die der Link zur Datei: Malwarebytes-Anti-Malware Download).

Allerdings habe ich nicht die geringste Ahnung was ich danach machen soll, weshalb ich hier um Hilfe bitte.

PS: Der Scan ist abgeschlossen, es ist ein Trojaner der definitiv mit Skype in Verbindung steht..
Hier die Logdatei:
Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.03.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Simon :: SIMON-PC [Administrator]

Schutz: Aktiviert

03.02.2013 21:58:22
mbam-log-2013-02-03 (21-58-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 387786
Laufzeit: 33 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 2
C:\Users\Simon\M-10-3840-3940-6840\winsvc.exe (Trojan.Ransom.ED) -> 3644 -> Löschen bei Neustart.
C:\Users\Simon\AppData\Local\Temp\3977126651.EXE (Trojan.Ransom.ED) -> 4920 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Windows Service (Trojan.Ransom.ED) -> Daten: C:\Users\Simon\M-10-3840-3940-6840\winsvc.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 12
C:\Users\Simon\M-10-3840-3940-6840\winsvc.exe (Trojan.Ransom.ED) -> Löschen bei Neustart.
C:\Users\Simon\AppData\Local\Temp\3977126651.EXE (Trojan.Ransom.ED) -> Löschen bei Neustart.
C:\Users\Simon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1S6RY2YN\boss[1].exe (Rootkit.0Access.EPA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Simon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1S6RY2YN\b[1].exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Simon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UW0457EJ\bat[1].exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Simon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UW0457EJ\skaa[1].exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Simon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UW0457EJ\stget[1].exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Simon\AppData\Local\Temp\1336899329.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Simon\AppData\Local\Temp\544274.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Simon\AppData\Local\Temp\5948762347.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Simon\AppData\Local\Temp\6823330778.exe (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Downloads\IMG0540255-JPG.scr (Trojan.Ransom.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Ich habe, nach Anleitung eines Threads hier (http://www.trojaner-board.de/51187-a...i-malware.html) die gefundenen Dateien gelöscht und unter Quarantäne gestellt.

Grüße, Srynan

Hi,
1. schau mal deine Skype nachichten durch, sammle alle Links ein, die verdächtig sind, und sende sie mir als private Nachicht.
2. warne Freunde, Bekannte, Verwannte, jeder, der den Link geöffnet hatt, muss seine Freunde warnen und sollte hier ein Thema eröffnen

danke für den Link
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten

Gute Nachricht, hat nichts gefunden ;)

Was kommt als nächstes?

das log vom TDSS killer bitte, auch wenn nichts gefunden wurde, möchte ich alle Berichte sehen, die wir erstellen, danke.

Oh, sorry, kk ist im Anhang.

das ist das log vom update, bitte noch mal.

Uhm.. ich bekomme grad beim Versuch den Log hochzuladen dauernd die Meldung, die Datei sei zu groß.. was soll ich da machen?

na, was macht man wenn was zu groß ist?
- teilen
oder
- packen bitte

Sorry, hab wirklich kaum Ahnung von PCs... sollte jetzt gehen. Danke, dass du dir die Mühe machst ;)

passt
Combofix:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Sorry, dass ich schon wieder Frage... ich bekomm meine Anti-Spyware (Microsoft Security Essentials) nicht ausgeschaltet. Den Echtzeitvirenschutz kann ich deaktivieren, aber ComboFix sagt mir, auch nach beenden des Anti-Spyware-Prozesses per Task Manager, dass der immer noch aktiv ist. Google hilft auch nicht weiter... die schlagen nämlich genau das vor (Task Manager).

Soll ich das Programm trotzdem ausführen? Oder lieber weitersuchen ob ich ne Lösung finde?

jepp, kannst es ausführen :-)

Okay, die Datei ist wieder im Anhang :)

start programme zubehör editor, reinkopieren:

Killall::
Folder::
c:\users\Simon\M-10-3840-3940-6840

Datei speichern unter, Ort, dort wo sich Combofix.exe befindet, Typ, alle Dateien, Name,
cfscript.txt

ziehe cfscript.txt auf combofix, Programm startet, log posten