Trojaner-Board - Virus über MSN

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus über MSN (https://www.trojaner-board.de/80897-virus-msn.html)

Hallo!
Meine Freundin hat am 25.12. über MSN mit einem Bekannten gechattet und von ihm folgenden Link bekommen:
h**p://www.studiosaha.com/facebook.php?=PICT24122009.JPG

Darüber stand: "Schau mal dies Foto"

Sie hat draufgeklickt und auch die nachfolgende Anfrage nach einem Download positiv bestätigt.

(Ich hab den Link auch bekommen ... von ihr, wurde aber mißtrauisch, als ich gesehen habe, daß sich da was downloaden wollte und das nur wegen einem Bild und habe die Anwendung abgebrochen ... bin also verschont geblieben).

Es gibt hier doch einige Experten, die austesten können, welcher Virus sich dahinter verbirgt, oder?
Ihr PC hat sie an dem Tag mehrmals aus MSN rausgeschmissen und seitdem traut sie sich nicht mehr ins Netz.
Antivir hat auch was gefunden und in Quarantäne verschoben.
Da ihr PC urig langsam geworden ist, wollen wir das System mithilfe einer Recovery-CD neu aufsetzen.

Mich interessiert nur, was das für ein Virus (ich vermute Trojaner) ist.

Danke!

Gruß Minksi

Hallo,
also direkt helfen kann ich dir nicht.
Aber es gibt sehr viele Viren in MSN.
Immer wieder wird ein Link an andere geschickt, den man eigentlich nicht schicken will. Es öffnen sich Seiten, wo man wirklich Angstzustände bekommt.
Was hat AntiVir den in Quarantäne gesetzt ?

Danke für Deine Antwort :)

Angezeigt wurde 'TR/Dropper.Gen' (dabei stand: Ist ein trojanisches Pferd).

Wie gesagt - ins Internet geht sie vorerst nicht ... Netzkabel ist gezogen (vorsichtshalber).

Steht auch ien Pfad dabei ?
Was sagt Hijack This ?
Wird es von Hijack This erkannt ?
Wie ist es im Abgesicherten Modus ? WIrds da auch von Hijack This erkannt ?

Den Pfad kann ich Dir derzeit nicht sagen ... bin ja bei mir zuhause - nicht bei ihr :)

Aber ich hab gestern nach verschieben in Quarantäne ein Hijackthis gemacht und auf USB-Stick gespeichert.

Bitteschön :)

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:26:01, on 27.12.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

C:\windows\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\windows\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Linksys\Linksys Updater\bin\LinksysUpdater.exe

C:\windows\System32\svchost.exe

C:\PROGRA~1\Bandoo\Bandoo.exe

C:\WINDOWS\System32\hkcmd.exe

C:\windows\SOUNDMAN.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\SweetIM\Messenger\SweetIM.exe

C:\windows\vsnpstd.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Programme\MSN Messenger\msnmsgr.exe

C:\windows\system32\java.exe

C:\windows\system32\wuauclt.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Programme\TClock.exe

C:\windows\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

c:\programme\avira\antivir desktop\avcenter.exe

C:\Programme\Avira\AntiVir Desktop\avscan.exe

C:\Programme\HiJackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll

R3 - URLSearchHook: (no name) -  - (no file)

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Programme\Bandoo\Plugins\IE\ieplugin.dll

O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe

O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe

O4 - HKLM\..\Run: [snpstd] C:\windows\vsnpstd.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: T-online.lnk = ?

O4 - Startup: Verknüpfung mit TClock.exe.lnk = C:\Programme\TClock.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O20 - AppInit_DLLs: c:\progra~1\bandoo\bndhook.dll 

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bandoo Coordinator - Discordia Limited - C:\PROGRA~1\Bandoo\Bandoo.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Linksys Updater (LinksysUpdater) - Unknown owner - C:\Programme\Linksys\Linksys Updater\bin\LinksysUpdater.exe

O23 - Service: Pure Networks Platform Service (nmservice) - Pure Networks, Inc. - C:\Programme\Gemeinsame Dateien\Pure Networks Shared\Platform\nmsrvc.exe
 

--

End of file - 5803 bytes

Dieses SweetIM hat sie sich schon vor einiger Zeit runtergeladen für MSN ...

Und was zum Geier ist "Bandoo.exe"?

Danke für Deine Hilfe :)

Könntest du deine Freundin oder wer auch befallen ist, beten, dass sie noch eine Hijack This Auswertung im Abgesicherten Modus macht ?
Wäre nett.
Mfg Tim

Wie geht das?
Hab ich noch nie gemacht (und sie hat da absolut überhaupt keine Ahnung von ...)
Kann ich mich denn über ihren PC ins Internet einloggen trotz des Virus'?
Kann da nix passieren?

Fahre nachher hin ... dauert also etwas, bis das Logfile kommt.

Über welches Betriebs-System reden wir denn ?
Naja, bei einem Virus, dessen Auswirkung man bisher noch nicht kennt, sollte man erstaml nicht ins Netz.
Vorallem nicht in Msn.
Denn:
Es ist kein Problem (auch für mich) einfach den Link automatisch zu senden.
Es kann sein:
Du bzw. Sie geht in Msn und ihre Freundin oder wer auch immer schreibt einfach nur "Hi". Dann klickt sie auf das Textfeld, um ihr etwas zu schreiben. Beim Booten also beim Starten hat sich aber ein verstecktes Programm gestartet. Dises sendet sofort den Link. Sie klickt druaf und hat den Virus.
Dann wirt deine Freundin wieder von jemand angeschrieben usw. und so verbreitet sich ein Virus von Kontakt zu Kontakt rasend schnell.....
Außerdem gibt es auch Schädlinge, die Internet Seiten aufrufen. Auf dieser Seite ist wieder ein Schädling, der sich dann auch auf dem Systemeinpflanzt. Und wenn man nihct viel Ahnung von Prozessen etc. hat kann sich so das ganze System abknalle :snyper: Also sicherheitshalber offline bleiben.
Mfg Tim

Betriebssystem ist Win XP (weiß aber grad nicht, ob Prof. oder Home ... glaube ersteres).

Okay - wenn sie offline bleiben soll, dann kann ich es nur so machen, wie jetzt auch. Hijackthis durchlaufen lassen und den Editor auf Stick abspeichern.
Wenn ich dann Abends wieder hier bin (zuhause), kann ich ihn einstellen.

Wir werden nachher aber dennoch über die Recovery-CD neu machen. Sie will unbedingt wieder Internetfähig sein (kann ich gut verstehen).

Wie geht das HiJackthis im abgesicherten Modus? Wie komm ich da rein?

Mit Xp kenne ich mich da nicht so gut aus.
Doch ich sage dir jetzt mal waszu tun ist.
Mach doch mal die Logfile auswertung also das Hijack This ergebniss mal auf HijackThis.de eingeben.
Ich sehe schwarze Wolken.
Schau mal was dort steht :"Es existiert bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit Ihres Systems. Besuchen Sie Microsoft's Windowsupdate Seite um sich das neuste Service Pack herunterzuladen."
Also geh nochmal mkt dem Pc online aber nicht in Msn oder so Installiere alle Xp Updates die der Pc automatisch gibt.
Außerdem:
Sweetim De-Installieren schau dir mal die Logfile Auswertung an.
4 Rote Kreuze. Kümmer dich mal drum.
Und kauft euch Cd's oder Sticks und speichert alle Daten. Man kann nie wissen ob das System das überlebt.
Also erstmal schauen Ob Xp auf neustem stand ist.
Und lass mal MalwareBytes durchlaufen !!!
Wird alles wieder gut :daumenhoc