|
ICQ Virus "Schau dir mal das Foto an :D" Ja, ich hab mir auch diesen blöden Virus eingefangen. Malwarebytes hab ich schon durchlaufen lassen und alles entfernt und beim zweiten Fullscan hat er nix mehr gefunden. Mit OTL kenn ich mich nicht aus und poste euch mal die 2 LOG-Files und hoffe, ihr könnt mir sagen, wie ich weiter vorgehen kann, um alles zu entfernen. Hab nachdem Malwarebytes nix mehr gefunden hat, nichtmehr ausprobiert ob mein ICQ den Link noch verschickt. Wollte erstmal euer OK ;) Schonmal Danke für eure Mühe! |
Zitat:
|
Hier beim ersten Mal: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4309 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 14.07.2010 01:25:04 mbam-log-2010-07-14 (01-25-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 301259 Laufzeit: 1 Stunde(n), 38 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 11 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\Miggan\Anwendungsdaten\winsvrcn.exe (Backdoor.Bot) -> Unloaded process successfully. Infizierte Speichermodule: C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\xbtb01621.ietoolbar (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{4388b5c4-830a-42ad-94f6-487b6aa05767} (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xbtb01621.ietoolbar.1 (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xbtb01621.xbtb01621 (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xbtb01621.xbtb01621.1 (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\JDK5SWFMZY (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windowssyscontrol (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.Softomate) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jdk5swfmzy (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Miggan\Anwendungsdaten\winsvrcn.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Programme\BearShare MediaBar\MediaBar.dll (Adware.Softomate) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Miggan\Eigene Dateien\Downloads\DSC0013599489.JPG.scr (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Miggan\Lokale Einstellungen\Temp\qog.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Miggan\Lokale Einstellungen\Temp\Oxz.exe (Trojan.FraudPack) -> Quarantined and deleted successfully. C:\MAGIX\DFM2006_SE\Firebird\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\recover\MAGIX\DFM2006_SE\Firebird\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Miggan\Lokale Einstellungen\Temp\Ox1.exe (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully. |
Hier nachdem alles entfernt wurde: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4312 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 14.07.2010 11:35:56 mbam-log-2010-07-14 (11-35-56).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 298929 Laufzeit: 1 Stunde(n), 21 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
All processes killed ========== OTL ========== Service XDva208 stopped successfully! Service XDva208 deleted successfully! File C:\WINDOWS\System32\XDva208.sys File not found not found. File C:\WINDOWS\Oqanya.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Besitzer User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Miggan ->Temp folder emptied: 596019 bytes ->Temporary Internet Files folder emptied: 204150 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 90202506 bytes ->Flash cache emptied: 1208 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 17714 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 87,00 mb OTL by OldTimer - Version 3.2.9.0 log created on 07142010_220538 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Combofix Logfile: Code: ComboFix 10-07-14.01 - Miggan 14.07.2010 22:24:12.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
GMER stürzt, wie du gesagt hast, immer ab. Und beim remover hab ich auch nen Problem. Es öffnet sich immer kurz nen kleines schwarze Fenster, schließt sich wieder un dann passiert garnix. Ist das normal und ich muss einfach warten? Hier mal der OSAM-Log: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Kopier die Datei remover.exe bitte mal nach c:\windows\system32 Öffne dann die Konsole über start, ausführen, cmd eintippen => ok In der Kommandozeile dann remover eintippen und mit Enter ausführen. Die Ausgabe bitte kopieren und hier posten. |
Liste der Anhänge anzeigen (Anzahl: 1) Was mach ich falsch? Es passiert weiterhin nix bei dem remover! Siehe Bildanhang, ob ich was Falsch mache! |
Naja gut, ich muss nun in meinen Wohnort fahren und bin bis Montag nicht mehr hier in meinem Studienort am PC! Machen wir hier am Montag an der Stelle weiter oder bin ich deiner Meinung nach inzwischen Befreit von dem ICQ-Virus? Grüße |
Welche Dateigröße hat die remover.exe in system32? Notfalls den BottkitRemover bitte neu runterladen, entpacken und die remover.exe nach system32 kopieren, alte Datei überschreiben. |
So, bin wieder da! Habs nochmal runtergeladen. Geht weiterhin net. Die Dateigröße von der remover.exe ist 488 kb. Grüße |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board