Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ICQ Virus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.12.2006, 21:21   #1
malu
 
ICQ Virus - Standard

ICQ Virus



Hi, hab von ner Freundin in icq folgende Nachricht bekommen:

Zitat:
my picture
h**p://****.seruijingandeshijinpos.com/2/1506/picture.pif{bitte-net-draufgehen}
Hab zu spät geschaltet, dass sie das sicher net selber abgeschickt hat, und draufgeklickt, er hat mich gefragt ob ich runterladen will (hab opera), und AntiVir ist angesprungen. habs gleich in quarantäne verschoben, hoffe mal, dass da jezz nix weiteres passiert ist. Hab der Freundin dann gesagt, dass sie mal nen Log von ihrem PC machen soll, weil ich davon ausgehe, dass da nicht nur der icq virus drauf ist:

Logfile of HijackThis v1.99.1
Scan saved at 21:07:04, on 16.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\WINDOWS\system32\Fast.exe
d:\perfect DISK\PDSched.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
D:\Roxio\Media Experience\DMXLauncher.exe
C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\******\LOKALE~1\Temp\6.tmp
C:\WINDOWS\System32\slbipsch.exe
D:\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVWIN.EXE
D:\FIREFOX2\FIREFOX.EXE
C:\7-Zip\7zFMn.exe
C:\DOKUME~1\******\LOKALE~1\Temp\7zO32.tmp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [DMXLauncher] "D:\Roxio\Media Experience\DMXLauncher.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - d:\perfectDISK\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - d:\perfectDISK\PDSched.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe


Kann man da noch was machen? Und hat sich meine Kiste jezz auch angesteckt? Schonmal im Vorraus vielen Dank fürs Anschaun!
Gruß, malu

[edit]
link editiert

GUA
[/edit]

Alt 17.12.2006, 14:47   #2
License2kilL
 
ICQ Virus - Standard

ICQ Virus



mir ist dummerweise genau das selbe missgeschick passiert. auch bei mir hat sich sofort mein mcafee gemeldet, aber scheinbar zu spät, den einigen wurde scheinbar bereits eine solche nachricht über mein icq gesendet...

gibt es denn irgendwelche möglichkeiten mein system noch zu retten oder muss ich schon wieder alles plattmachen?

danke schonmal für die antwort...

Gruß
__________________


Alt 17.12.2006, 16:34   #3
my_confession
 
ICQ Virus - Standard

ICQ Virus



mein icq ht den link versendet obwohl ich selber nie einen derartigen link angeklickt habe..ich denke mal ich wurde gehackt, der virus selbst ist nicht auf meinem pc, zumindest finden sämtliche programme nichts.
__________________

Alt 17.12.2006, 20:09   #4
f.air
 
ICQ Virus - Standard

ICQ Virus



Ich vermute, das der Worm sich dann als slbipsch.exe in C:/Windows/System32/ (C:/ für eure Festplattenpartition auf der Windows läuft) befindet.
Hab die beiden Dateien slbipsch.exe und slbipsch.dll erst nich löschen können, hab dann den Avenger zum Löschen benuzt.


Zitat:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\WINDOWS\system32\Fast.exe
d:\perfect DISK\PDSched.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
D:\Roxio\Media Experience\DMXLauncher.exe
C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\******\LOKALE~1\Temp\6.tmp
C:\WINDOWS\System32\slbipsch.exe
D:\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVWIN.EXE
D:\FIREFOX2\FIREFOX.EXE
C:\7-Zip\7zFMn.exe
C:\DOKUME~1\******\LOKALE~1\Temp\7zO32.tmp\HijackT his.exe

Geändert von f.air (17.12.2006 um 20:49 Uhr)

Alt 17.12.2006, 20:20   #5
bl4nk
 
ICQ Virus - Standard

ICQ Virus



bei mir hat sich der virus nun auch eingeschlichen, krieg ihn auch net gelöscht, was ist denn der Avenger und wo krieg ich ihn her, würd die dateien auch gerne löschen,

mfg
bl4nk


Alt 17.12.2006, 20:49   #6
I_Hate_Viren
 
ICQ Virus - Standard

ICQ Virus



hab mir den virus auch eingefangen. einer von meinen benutzern hat mir nen link geschickt ohne das zu wollen ..der virus geht leider auch noch über 3 oder 4 dll dateien
hier mein logfile :
Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\LClock\LClock.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\TuneUp Utilities 2007\Integrator.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Lukas\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\ais32.exe s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4206D66E-B9D5-473B-BB49-48616CFF4D5B}: NameServer = 192.168.40.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{64E7FB34-72E7-48B4-939A-8950AD23361E}: NameServer = 192.168.40.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E8CE4BE-1E84-4FFF-BCAB-6B2662EEAF89}: NameServer = 192.168.40.1
O20 - AppInit_DLLs: , e1.dll vb5dmspo.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Prime95 Service - Unknown owner - C:\Programme\Prime95\prime95.exe (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Alt 17.12.2006, 20:51   #7
f.air
 
ICQ Virus - Standard

ICQ Virus



Ich hab da mal ne Seite gemacht, hab die au schon allen geschickt, von denen ich den Link bekommen hab:
ICQ, Worm?
da hab ich das beschrieben.
Aber es gilt: Alle Angaben ohne Gewähr!

Ich hoff, ich verstoß hiermit nich gegen irgendwelche Forenregeln, wenn doch, bitte per PN melden!

@I-Hate-Viren: Hab da nich so ne Ahnung, kann sein, wie kommste denn da drauf?

Alt 17.12.2006, 21:03   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ICQ Virus - Standard

ICQ Virus



Ich habe diese PIF-Datei mal bei Jotti ausgewertet. Norman hat diese in einer Sandbox ausgeführt und ist zu folgendem Ergebnis gekommen:

Zitat:
Found Sandbox: W32/Malware; [ General information ]

* Decompressing UPX.
* Creating several executable files on hard-drive.
* File length: 64512 bytes.

[ Changes to filesystem ]
* Creates file C:\windows\system32\mspradme.exe.
* Creates file C:\WINDOWS\SYSTEM32\vb5dmspo.dll.
* Creates file C:\WINDOWS\SYSTEM32\rdpwmsjt.exe.
* Creates file C:\WINDOWS\SYSTEM32\mcd3mscm.dll.
* Creates file C:\WINDOWS\SYSTEM32\e1.dll.

[ Changes to registry ]
* Creates value "mspradme"="c:\windows\system32\mspradme.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Changes to system settings ]
* Creates WindowsHook monitoring cbt activity.

[ Process/window information ]
* Creates an event called ZAAllowEvent.
* Creates an event called SGAllowEvent.
* Creates an event called NISAllowEvent.
* Creates an event called OPAllowEvent.
* Creates an event called MAAllowEvent2.
* Attempts to access service "vsmon".
* Creates an event called ActiveZA.
* Attempts to access service "SmcService".
* Creates an event called ActiveSG.
* Attempts to access service "wscsvc".
* Attempts to access service "SharedAccess".
* Attempts to access service "Symantec Core LC".
* Creates an event called ActiveNIS.
* Attempts to access service "OutpostFirewall".
* Creates an event called ActiveOP.
* Attempts to access service "MpfService".
* Creates an event called ActiveMA.
* Attempts to access service "WinRoute".
* Will automatically restart after boot (I'll be back...).
* Enumerates running processes.
* Modifies other process memory.
* Creates a remote thread.
Schaut mal nach, ob diese Änderungen bei euch im System auch zutreffen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.12.2006, 21:24   #9
Darth Messiah
 
ICQ Virus - Standard

ICQ Virus



Ich war auch so schlau und hab auf den Link geklickt den ich bekommen habe mein Vieren Programm Norton hat sofort Alarm geschlagen hatt alle datein gelöscht alles durchsucht und Fertig also ich fin des Programm is gar ned mal schlecht der hatt mir gleich noch andere vieren eleminiert


Was denkt ihr wer steckt hinter so drec*s icq vieren einfache hacker oda richtige hackerbanden...?

Alt 17.12.2006, 21:27   #10
I_Hate_Viren
 
ICQ Virus - Standard

ICQ Virus



ich hab mal mit dem security task manager geguckt und da stand bei 3 dll dateien dass die am 17.12 um 15.21 gestartet wurden...genau da als ich die exe datei ausgeführt hab
edit: die betroffenen dateien müssten... :
-vb5dmspo.dll
-mcd3mscm.dll
-slbipsch.exe
...sein

Geändert von I_Hate_Viren (17.12.2006 um 21:45 Uhr)

Alt 17.12.2006, 22:20   #11
bl4nk
 
ICQ Virus - Standard

ICQ Virus



danke an f.air, hat mir auf jedenfall geholfen, die slbipsch.exe im taskmanager ist nun weg, besten dank

Alt 18.12.2006, 16:32   #12
Flo89
 
ICQ Virus - Standard

ICQ Virus



Hallo,

habe Avenger versucht... hat das selbe problem wie allen anderen Proggis auch... die dateien können absolut nicht nix gelöscht werden. habe schon abgesicherter modus probiert, auch tune up shredder und ähnliches...

also avenger hat folgendes gesagt:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hfniseyn

*******************

Script file located at: \??\C:\Program Files\ojvqwwsl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Windows\System32\slbipsch.exe not found!
Deletion of file C:\Windows\System32\slbipsch.exe failed!

Could not process line:
C:\Windows\System32\slbipsch.exe
Status: 0xc0000034



File C:\Windows\System32\slbipsch.dll not found!
Deletion of file C:\Windows\System32\slbipsch.dll failed!

Could not process line:
C:\Windows\System32\slbipsch.dll
Status: 0xc0000034

File C:\Windows\System32\e1.dll deleted successfully.
File C:\Windows\System32\vb5dmspo.dll deleted successfully.
File C:\Windows\System32\brwmgr32.dll deleted successfully.


File C:\Windows\System32\mcd3mscm.dll not found!
Deletion of file C:\Windows\System32\mcd3mscm.dll failed!

Could not process line:
C:\Windows\System32\mcd3mscm.dll
Status: 0xc0000034



File C:\Windows\System32\rdpwmsjt.exe not found!
Deletion of file C:\Windows\System32\rdpwmsjt.exe failed!

Could not process line:
C:\Windows\System32\rdpwmsjt.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Alt 18.12.2006, 18:03   #13
I_Hate_Viren
 
ICQ Virus - Standard

ICQ Virus



so ich hab ne teilweise lösung. also bei mir hats auf jedenfall geklappt^^
als erstes müsst ihr die datei slbipsch.exe und die dazugehörige dll datei finden. bei beiden dateien hängt ihr am ende ein .virus an. dann ändert das system die datei automatisch zu einer virus datei. danach löscht ihr beide dateien -> system neustart und weg sind die dinger. wo des no net geklappt hat ist bei vdm...dll

Alt 18.12.2006, 19:48   #14
Flo89
 
ICQ Virus - Standard

ICQ Virus



ok, hab alles gelöscht bekommen nur ist jetzt mein rechner abartig lahm und hat richtig böse laggs... vor allem beim spielen...
hat jemand ne idee an was das liegen könnte ?

Alt 18.12.2006, 19:51   #15
f.air
 
ICQ Virus - Standard

ICQ Virus



Okay, also ich gestern mal angefangen hab zu schaun was denn das sein könnte, hab ich ziemlich wenig gefunden, außer eine chinesische sicherheitsseite, die schonmal hilfreich war, weil ich dann wusste, dass das eben vermutlich ein worm ist.
bis dahin wusste ich nur von mir selber,dass die slbipsch.exe bei mir neu drauf war, hab die ja dann wie schon genannt mit dem avenger entfernt.
Weil das bei ner Freundin au net geklappt hat, hab ich mich dann mal umgeschaut, was es so für Progs gibts, um Dateien zu löschen, die sich eigentlich nich löschen lassen.
Bin dann auf den Unlocker gestoßen, der auch anzeigt, was denn für Prozesse darauf zugreifen. Auf der Seite sind auch noch andere Programme für solche nicht löschbaren Dateien aufgelistet. Man sollte aber auf jedenfall aufpassen, wenn man solche Programm benuzt, dass man keine wichtigen Dateien löscht und so....

nun zum virus: also ich hab bei mir au erst nur die slbipsch.exe und .dll gelöscht, weil ich die nich in google gefunden hab, und die meisten gängigen prozesse sind auf irgendwelchen seiten schon beschrieben bzw. diskutiert. heißt, ich wusste, dass dieser prozess recht neu ist und hab darauf geschlossen, dass er mit dem virus zusammenhängt. was er sonst noch macht, weiß ich nicht. wie ich sehe, macht er wohl noch mehr dateien als ich erst gedacht hab.

Ich selbst hab leider keine so Virenprogramme um zu schauen was der macht. Ich denke, wir können mal versuchen, möglichst alle dateien aufzulisten, die durch den virus erstellt werden. wie schon gesagt, bei der slbipsch.exe bin ich mir eig sicher.
vb5dmspo.dll, mcd3mscm.dll, rdpwmsjt.exe, mcd3mscm und e1.dll hab ich bei mir au gefunden und ich find sie au nich auf irgendeiner seite beschrieben. Bis auf e1.dll! Das ist eben der schon bekannte Worm Warezov, heißt, das is wohl ne version von diesem Worm...

Ich werd mal schaun, was ich noch wichtiges rausfinde. Helft wenn's geht mit, wie schon gesagt, ich hab da nich wirklich ahnung und hab au keine so programme, bis jetzt^^.

Geändert von f.air (18.12.2006 um 20:00 Uhr)

Antwort

Themen zu ICQ Virus
7-zip, antivir, appinit_dlls, bho, dll, explorer, firefox, hijack, hijackthis, icqtoolbar, internet, internet explorer, kis, log, microsoft, nvidia, opera, programme, quara, rundll, server, software, system, temp, urlsearchhook, usb, vielen dank, virus, windows, windows xp, wlan




Zum Thema ICQ Virus - Hi, hab von ner Freundin in icq folgende Nachricht bekommen: Zitat: my picture h**p://****.seruijingandeshijinpos.com/2/1506/picture.pif {bitte-net-draufgehen } Hab zu spät geschaltet, dass sie das sicher net selber abgeschickt hat, und draufgeklickt, - ICQ Virus...
Archiv
Du betrachtest: ICQ Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.