Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "myalbum2007.zip" MSN Virus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 01.07.2007, 13:47   #1
radiator1985
 
"myalbum2007.zip" MSN Virus - Standard

"myalbum2007.zip" MSN Virus



Hallo,
Eine Freundin hat Ihn sich eingehandelt, ich selber finde leider nichts durch HiJackThis, könntet ihr bitte auch mal drüber schauen?
vielen Dank schonmal:

------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 14:15:55, on 1.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Ge meinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\E-Color\True Internet Color\TICIcon.exe
C:\Programme\DTV\DTV\RC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Anne\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet E xplorer\Main,Search Bar = http://www.gusqeazembndfguujr.net/48Ss/Mcb7aqbzQZM1cHfqkCM41C/5RTW_RMY6nbMMD7ai6TlILSi8xPRD3kKVedi.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe ] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup : RC.lnk = C:\Programme\DTV\DTV\RC.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe
O4 - Global Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123610289450
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123610275434
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B 2CCF06D9A1B} (Zylom Games Player) - http://game17.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6BC0D63-2635-42E9-A16B-7E59B1673F46}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: system32 - {A2FEFA12-7E97-4A5C-A770-586274EC207E} - sysprinters.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.e xe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe

Alt 01.07.2007, 13:57   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"myalbum2007.zip" MSN Virus - Standard

"myalbum2007.zip" MSN Virus



Im System hat sich die sysprinters.dll eingenistet:
Zitat:
O21 - SSODL: system32 - {A2FEFA12-7E97-4A5C-A770-586274EC207E} - sysprinters.dll (file missing)
Dabei handeltes sich wahrscheinlich um Backdoor.Win32.IRCBot.acd - das System sollte neu aufgesetzt werden.

Beachte dazu auch diesen Thread => http://www.trojaner-board.de/31940-m...die-runde.html
__________________

__________________

Alt 01.07.2007, 14:02   #3
radiator1985
 
"myalbum2007.zip" MSN Virus - Standard

"myalbum2007.zip" MSN Virus



Ok, schade.
So wie's aussieht gibt's wohl keine andere Möglichkeit als Formatieren.
Hatte gehofft ihn einfacher loswerden zu können.

Danke für die Hilfe.
__________________

Alt 01.07.2007, 15:34   #4
Sunny
Administrator
> Competence Manager
 

"myalbum2007.zip" MSN Virus - Standard

"myalbum2007.zip" MSN Virus



Also nochmal an alle Hilfesuchenden in diesem Beitrag:


Wer diese DATEI (myalbum2007.zip) gleich gelöscht hat, sollte keinerlei Infektionen zu befürchten haben!



Wer die über den Messenger geschickte DATEI geöffnet haben sollte, muss leider eine Neuinstallation in Kauf nehmen!

Es wurde ein Backdoor-Trojaner von fast allen Antiviren-Scannern erkannt, wo er sich im System einnistet oder welche Veränderungen er am System durchführt sind gänzlich unbekannt.

Kompromittierung = Neuinstallation

Was auf jeden Fall sehr auffällig ist, ist dieser Eintrag im Hijacklog:


Zitat:
O21 - SSODL: system32 - {A2FEFA12-7E97-4A5C-A770-586274EC207E} - sysprinters.dll (file missing)
In den Beiträgen hier im Forum ist die CLSID immer anders, das deutet auch daraufhin das dieser Trojaner wahrscheinlich immer anders arbeitet und somit erst recht eine Bereinigung ausgeschlossen ist.

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 31.07.2007, 12:48   #5
assunta
 
"myalbum2007.zip" MSN Virus - Standard

"myalbum2007.zip" MSN Virus



Hallo!

ich bin hier neu, und ich hoff ich hab alles beachtet, habe brav gegoogelt und das forum durchsucht.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]


Alt 20.09.2007, 20:10   #6
.::|||::.
 

"myalbum2007.zip" MSN Virus - Standard

"myalbum2007.zip" MSN Virus



Zitat:
Zitat von Buchenberg Beitrag anzeigen
Habe es bereits an 2 PC's getestet und es hat funktioniert.
Kommt drauf an, was man unter "funktioniert" versteht!
Dass es die relevanten Files gelöscht hat, kann gut sein, eine Kompromittierung rückgängig machen kann es sicher nicht!
Ich zitiere den (aus meiner Sicht einzig richtigen) Lösungsansatz von [Gc]Sunny:
Mfg
__________________
--> "myalbum2007.zip" MSN Virus

Alt 20.09.2007, 20:12   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"myalbum2007.zip" MSN Virus - Standard

"myalbum2007.zip" MSN Virus



Zitat:
nach stundenlangem Suchen und Probieren habe ich ein kostenloses Tool gefunden um diesen MSN Trojaner zu beseitigen.
Hallo Buchenberg,

es sollte aus diesem Thread eigentlich klar geworden sein, dass du einen Schädling mit Backdoorfunktionen nicht sicher entfernen kannst. Okay, den Schädling an sich vllt., aber in der Zeit in der dieser aktiv war, konnten Unbefugte schon längst durch den erlangten Vollzugriff beliebige Bereiche des Systems verändern - es ist durchaus möglich, dass dir kein einziges Tool irgendwas Auffälliges anzeigt, die Kiste aber dennoch kompromittiert ist, der Angreifer also sich eine andere Hintertür als "Backup" eingebaut hat, falls die offensichtliche (nämlich die durch den MSN-Schädling) entfernt wurde.

Es muss nicht sein, dass der Angreifer sowas im System hinterlassen hat, aber falls doch, sitzt man da. IMO sollte man dieses Risiko nicht eingehen, deswegen ist ein Neuaufsetzen bei Backdoors angesagt.

Edit: Hallo .::|||::.
Da war der GUA wieder schneller....schwupps ist das Posting weg!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.09.2007, 20:22   #8
Buchenberg
 
"myalbum2007.zip" MSN Virus - Standard

"myalbum2007.zip" MSN Virus



Hallo cosinus,

da gebe ich dir voll und ganz recht.
Ich wollte nur den Benutzern, die sich nicht zu einer Neuinstalltion durchringen, und glaube mir, da gibt es viele davon, ein Tool zeigen, mit dem die Verbreitung des Trojaners unterbunden wird zum Schutz der anderen MSN Benutzer.

Ich gebe dir Recht, das ich nicht erwähnt habe das ein möglicher Eindringling längst eine weitere "Hintertüre" eingebaut haben könnte.

Grüße

Buchenberg

Antwort

Themen zu "myalbum2007.zip" MSN Virus
ad-aware, adobe, antivir, asus, avg, avira, bho, dateien, einstellungen, excel, explorer, hijack, hijackthis, icq, internet, internet explorer, messenger, microsoft, msn, programme, software, system, trend micro, virus, windows, windows xp



Ähnliche Themen: "myalbum2007.zip" MSN Virus


  1. "Suspicious.Cloud.9" (Trojaner) und "SAPE.DnwldSponsor.2" (Virus?, vielleicht False Positive)
    Plagegeister aller Art und deren Bekämpfung - 22.08.2015 (23)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. Sicherheitscenter deaktiviert und Virus "ADWARE/InstallCo.HA" "ADWARE/bProtect.D" "TR/Mevade.A.95" gefunden
    Log-Analyse und Auswertung - 10.09.2013 (10)
  5. Diverse "Buren" "Lamar" sowie ein Exploit Virus entdeckt
    Plagegeister aller Art und deren Bekämpfung - 04.09.2013 (13)
  6. "Redirect-Virus" unter Windows 8 / "document has moved redirecting..."
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (11)
  7. Diverse Fehlermeldungen bei Start des Systems nach "Entfernen" des "Polizei-Virus"
    Log-Analyse und Auswertung - 27.10.2012 (10)
  8. "Falsche" E-Mail von Freund mit Link ins Netz -> Virus oder nur "Werbung"?
    Log-Analyse und Auswertung - 30.07.2012 (1)
  9. Vermehrtes Virenvrkommen nach "50€-Virus" unteranderem "TR/injetor569344.5"
    Plagegeister aller Art und deren Bekämpfung - 04.02.2012 (1)
  10. "a5uyh54usr5u" verursacht "beinahe" Whitescreen? Virus?
    Plagegeister aller Art und deren Bekämpfung - 10.01.2012 (6)
  11. Verspätetes "Xmas-geschenk": 50€-Virus mit Text "System wird aus sicherheitsgründen blockiert"
    Log-Analyse und Auswertung - 02.01.2012 (5)
  12. Virus "Suela-1042" in "Pagefile.sys" der Win XP-Partition
    Alles rund um Mac OSX & Linux - 02.12.2010 (2)
  13. Virus oder Wurm " Perflib_Perfdata_1cc " & " Perflib_Perfdata_228 "
    Log-Analyse und Auswertung - 23.08.2010 (23)
  14. Trojaner/Virus lähmt das Internet "extrem". "TR/Cospet.EO.1" !
    Plagegeister aller Art und deren Bekämpfung - 10.06.2010 (11)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  17. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)

Zum Thema "myalbum2007.zip" MSN Virus - Hallo, Eine Freundin hat Ihn sich eingehandelt, ich selber finde leider nichts durch HiJackThis, könntet ihr bitte auch mal drüber schauen? vielen Dank schonmal: ------------------------------------------------------------------------ Logfile of HijackThis v1.99.1 Scan - "myalbum2007.zip" MSN Virus...
Archiv
Du betrachtest: "myalbum2007.zip" MSN Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.