Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Icq

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.10.2006, 12:02   #1
Twiety
 
Icq - Unglücklich

Icq



hi leutz
bin im mom total verzweifelt!!hba mir anscheinend ein virus oda nen wurm durch icq eingefangen!!hab den rechner schon 2mal neuformatiert aba es hat nix gebracht!!es kommen haufenweise fehlermeldungen!!und 2mal is der pc schon einfach runtergefahren weil sich der generic host oda so beendet hat!!ich hab voll kein plan was hier los is!!
HELP!!!!
thx im vorraus!

Alt 15.10.2006, 12:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Icq - Standard

Icq



Hört sich an, als wenn Du mit einem ungepatchten Windows XP ins Internet gegangen bist. Sowas macht man nicht.
Poste bitte mal ein vollständiges Hijackthis-Logfile.
__________________

__________________

Alt 15.10.2006, 12:26   #3
GUA
entlassen
 
Icq - Cool

Icq



@ Twiety
halte dich hier bitte an die nub/regeln


Zitat:
4. Schreibe in verständlichem Deutsch und in ganzen Sätzen. Vergiß nicht: Dies ist ein Forum, kein Chat. Du hast Zeit! Beseitige Fehler, bevor du Deinen Beitrag erstellst. Hältst Du Dich nicht an diese Regel, kannst Du keine hilfreichen Antworten erwarten.

danke
GUA
__________________

Alt 15.10.2006, 14:47   #4
Twiety
 
Icq - Standard

Icq



Tut mir leid.Hab ich nicht gewusst!
was meinst du mit Logfile?ich bin erst seit 1monat im Internet unterwegs.
Deswegen bitte ich um das Verständnis.Danke.
Ich hab jetzt mittlerweile Kaspersky durchlaufen lassen.Der hat einige Trojaner gefunden und gelöscht!Aber es kommen immer noc diese Fehlermeldungen.
Naja sag mir was ich raussuchen soll (Logfile) bzw was das ist und wo cih das finde.
thx

Ungepatchtes XP?Du meinst ein gefälschtes?Wenn du das meinst dann hast du aber nicht recht!denn ich hab ein Original.

Alt 15.10.2006, 15:13   #5
samiel
 
Icq - Standard

Icq



Also, ich fang mal an.

Mit "ungepatchtes Windows" meint Cosinus bestimmt keine illegale Kopie deiner XP Version sondern, dass du die aktuellen Updates (wie z.B. SP2) nicht drauf hast. Das hat Microsoft sogar mal kostenlos auf CD verschickt, aber ich hab keine Ahnung ob man das immer noch anfordern kann.

Das Logfile das du posten sollst wird durch das Programm HijackThis erstellt und wenn du mal in die Signatur von Cosinus schaust (unter seinem Beitrag) findest du dafür ne Anleitung mit Downloadlink. Folge einfach den Anweisungen und kopier den Text des Logfiles in deinen nächsten Post.

Ich würde dir raten, dass du - bevor du deinen PC wieder platt machst - dir erst mal ein paar Programme für die Sicherheit deines Systems ziehst, also einen Virenkiller, Firewall und ein Malware Such Programm. Da gibts einige kostenlos im Netz. Ich benutze z.b. Avast, Commodo Firewall, Spybot Search and Destroy und Spybot Blaster.

Bevor du dann nach Neuinstallation ins Netz gehst solltest du diese Programme schon mal am laufen haben, da die Wahrscheinlichkeit, dass du dir was mit einem ungesicherten System einfängst eifach sehr hoch ist.

Aber poste erst mal das Logfile, hier sind versiertere User als ich online die dir das auswerten können und vielleicht dadurch genau sagen können wo das Problem liegt.

VG
samiel


Alt 15.10.2006, 18:11   #6
Twiety
 
Icq - Standard

Icq



Nene ich hab SP2 drauf gehabt!Ich weiß zwar nicht ob es noch eine neuere Version gibt aber sp2 hatte ich drauf!!
also die datei die ich bekommen hab hieß goodday_movi.exe.
Aber ich hab grade 3 verschiedene Virenprogs durchlaufen lassen.
a-squared guard
Kaspersky Internet Security
SpybotSD resident
Bei jedem wurde was gefunden.Ist das normal dass ein viren prog nicht alles findet?nja auf jeden fall sind seitdem keine fehlermeldungen mehr aufgetreten.
Aber es hat sich vorhin jemand versucht bei mir einzuhacken!das hat mir kaspersky gemeldet.aber zum glück wurden die beiden angriffe abgeblockt.
kann man i-wie dagegen vorbeugen das der gar net mehr die möglichkeit hat sich einzuklinken bei mir?Oder könnt ihr mir überhaupt i-welche tips geben und prog tips geben gegen Viren Würmer(wo auch immer der unterschied ist).

Alt 15.10.2006, 18:14   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Icq - Standard

Icq



Du möchtest noch ein Hijackthis-Logfile posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.10.2006, 18:17   #8
Twiety
 
Icq - Standard

Icq



Logfile of HijackThis v1.99.1
Scan saved at 19:14:33, on 15.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\WINDOWS\system32\RunDll32.exe
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
E:\WINDOWS\System32\alg.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\a-squared Anti-Malware\a2guard.exe
E:\Programme\ArcorOnline\Arcor.exe
E:\WINDOWS\System32\svchost.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Programme\Winamp\winamp.exe
F:\setup.exe
E:\WINDOWS\System32\msiexec.exe
E:\WINDOWS\system32\msiexec.exe
E:\WINDOWS\System32\MsiExec.exe
E:\DOKUME~1\Twiety\LOKALE~1\Temp\MSI25E.tmp
E:\WINDOWS\System32\MsiExec.exe
E:\Dokumente und Einstellungen\Twiety\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Update] Windowsupfixer.exe
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [kis] "E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [a-squared] "E:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "E:\Programme\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] E:\WINDOWS\inf\unregmp2.exe /Fixups
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DF90E83-6B41-48F7-83C9-B20F7B86B5E1}: NameServer = 195.50.140.114 195.50.140.252
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - E:\WINDOWS\System32\klogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

eben grade nachdem ich HijackThis durchgeführt habe sind neue trojaner aufgetreten.

Alt 15.10.2006, 18:24   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Icq - Standard

Icq



Werte folgende Dateien bei Jotti oder Virustotal aus und poste die Ergebnisse (komplett!):

Windowsupfixer.exe
E:\WINDOWS\inf\unregmp2.exe


Die erste Datei musst du mit der Dateisuche ausfindig machen. Stell sicher, dass Windows alle Dateien (auch die versteckten und die Systemdateien) anzeigen lässt.
Zitat:
F:\setup.exe
Was fürn Setup läuft denn da im Hintergrund?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.10.2006, 18:26   #10
Twiety
 
Icq - Standard

Icq



ich benutze jetzt virustotal.ich hab nebenbei den steam neu installiert.

Alt 15.10.2006, 18:28   #11
Twiety
 
Icq - Standard

Icq



dumme frage aber wie benutze ich den virus total?ich veruschs jetzt erstmal schnell mit jotti!

kannst du mich vielleicht bei icq adden??dann dürfte das doch alles schneller gehen!wäre nett!
245 364 996 ist meine nr!

Alt 15.10.2006, 18:50   #12
Twiety
 
Icq - Standard

Icq



Complete scanning result of "unregmp2.exe", received in VirusTotal at 10.15.2006, 19:44:20 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.30 10.14.2006 no virus found
Authentium 4.93.8 10.13.2006 no virus found
Avast 4.7.892.0 10.13.2006 no virus found
AVG 386 10.14.2006 no virus found
BitDefender 7.2 10.15.2006 no virus found
CAT-QuickHeal 8.00 10.14.2006 no virus found
ClamAV devel-20060426 10.15.2006 no virus found
DrWeb 4.33 10.15.2006 no virus found
eTrust-InoculateIT 23.73.22 10.13.2006 no virus found
eTrust-Vet 30.3.3131 10.13.2006 no virus found
Ewido 4.0 10.15.2006 no virus found
Fortinet 2.82.0.0 10.15.2006 no virus found
F-Prot 3.16f 10.13.2006 no virus found
F-Prot4 4.2.1.29 10.13.2006 no virus found
Ikarus 0.2.65.0 10.13.2006 no virus found
Kaspersky 4.0.2.24 10.15.2006 no virus found
McAfee 4873 10.13.2006 no virus found
Microsoft 1.1603 10.15.2006 no virus found
NOD32v2 1.1804 10.15.2006 no virus found
Norman 5.80.02 10.13.2006 no virus found
Panda 9.0.0.4 10.15.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.098 10.14.2006 no virus found
UNA 1.83 10.13.2006 no virus found
VBA32 3.11.1 10.15.2006 no virus found
VirusBuster 4.3.7:9 10.15.2006 no virus found

Aditional Information
File size: 212992 bytes
MD5: 78fe7329260efa519dac2b73f7e29cb1
SHA1: e9947b06db4a6cff76a4c8117297c81ca1ae9f93

Alt 15.10.2006, 20:53   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Icq - Standard

Icq



Okay, wie siehts mit der anderen Datei aus?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.10.2006, 22:14   #14
Twiety
 
Icq - Standard

Icq



komm bitte bie icq online.die andere datei hab ich bei mir auf dem rehcner nicht gefunden.also die Windowsupfixer.exe.habe auch in den versteckten dateien geguckt!

Alt 15.10.2006, 22:28   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Icq - Standard

Icq



Nochmal als Hinweis, hab Twiety das schon per ICQ mitgeteilt, das er Neuaufsetzen muss, da die eine ominöse Datei Windowsupfixer.exe ein RBot-Abkömmling ist. Die Kaspersky-Berichtdatei (im Anhang) hat da weitergeholfen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Icq
beendet, einfach, eingefangen, fehlermeldungen, gefangen, gen, generic, generic host, haufenweise, icq, kein plan, rechner, schei, total, verzweifel, verzweifelt, virus, voll, wurm



Zum Thema Icq - hi leutz bin im mom total verzweifelt!!hba mir anscheinend ein virus oda nen wurm durch icq eingefangen!!hab den rechner schon 2mal neuformatiert aba es hat nix gebracht!!es kommen haufenweise fehlermeldungen!!und - Icq...
Archiv
Du betrachtest: Icq auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.