MSN Virus/Trojaner 04.2008

HelloKitty · 24.04.2008, 14:07

Hallo,

ich habe seit gestern einen MSN Live Messenger Virus oder Trojaner.
Dieser versended nun an all meine Kontakte den folgenden Satz
(inkl link): "Hi....check this out...http://....brb...!! "

ich weiss leider den link nicht mehr genau und da ich meinen
messenger nicht mehr starten möchte bis der Virus gekillt ist,
kann ich den Link auch nicht mehr herausfinden.

Gestern hatte ich allerdings die exakte MSN Message gegoogelt
und überhaupt nichts gefunden. Ich denke es handelt sich um
einen brandneuen Virus/Trojaner.

Ich habe spybot search and destroy + Antivir mehrere male
durchlaufen lassen ohne ein Virus (o.ä.) zu finden.

Kann mir jemand helfen?

24.04.2008, 14:17

Hallo Kitty

Bitte erstelle als erstes ein HijackThis logfiel und poste es (link ist in meiner Signatur)

Bitte lass auch Malwarebytes laufen, lass alles gefundene löschen und poste auch diesen Report

Meldet dir AntiVir einen Virus oder vermutest du es nur?

HelloKitty · 24.04.2008, 14:29

Hallo,

danke für deine Antwort. Nein, AntiVir zeigt mir nur 2 Warnungen und zwar folgende: E:\hiberfil.sys und E:\pagefile.sys danach hatte ich gegoogelt und es scheint wohl kein Problem zu sein.

Hier die HijackThis infos:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:17:37, on 24.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\WINDOWS\system32\SearchIndexer.exe
E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
E:\Programme\Analog Devices\SoundMAX\Smax4.exe
E:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
E:\Programme\Skype\Phone\Skype.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
E:\Programme\Windows Desktop Search\WindowsSearch.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Skype\Plugin Manager\skypePM.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\system32\wuauclt.exe
e:\programme\avira\antivir personaledition classic\avcenter.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
e:\programme\avira\antivir personaledition classic\avscan.exe
E:\WINDOWS\explorer.exe
E:\PROGRA~1\Mozilla Firefox\firefox.exe
E:\WINDOWS\system32\notepad.exe
E:\WINDOWS\system32\SearchProtocolHost.exe
E:\Programme\WinRAR\WinRAR.exe
E:\DOKUME~1\steffi\LOKALE~1\Temp\Rar$EX00.281\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Programme\TechSmith\SnagIt 6\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Programme\TechSmith\SnagIt 6\SnagItIEAddin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] E:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "E:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] E:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SnagIt 6.lnk = E:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = E:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1196239018931
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FEFD734-5A5C-49D2-A93E-287B9CB30066}: NameServer = 15.1.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FEFD734-5A5C-49D2-A93E-287B9CB30066}: NameServer = 15.1.1.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{0FEFD734-5A5C-49D2-A93E-287B9CB30066}: NameServer = 15.1.1.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: (no name) - file:///E:/DOKUME~1/steffi/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///E:/DOKUME~1/steffi/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 7346 bytes

Ich denke da ist was im system, wen ich neustarte seh ich ganz kurz kleine DOS fenster aufblitzen und wieder verschwinden.

PS: Werde nun mal Malwarebytes downloaden und testen.

mfg

24.04.2008, 14:44

Hallo Kitty

Also in deinem Logfile ist nix zu sehen aber wie ich selber hätte merken sollen (wurde von Bosten darauf hingewiesen) ist beim Msn Wurm eine Neuaufsetzung fast unumgänglich----->Backdoor Funktionen

HelloKitty · 24.04.2008, 14:57

Danke Virus

fürs anschaun, meines problems, naja dann kann ich wohl nix machen, ausser ich kauf mir mal ein mac, da hab ich villeicht mehr ruhe vor diesen lästigen sachen.

hab noch einen schönen abend und nochmals 1000 dank

24.04.2008, 14:17	#2
virus Gast	MSN Virus/Trojaner 04.2008 Hallo Kitty Bitte erstelle als erstes ein HijackThis logfiel und poste es (link ist in meiner Signatur) Bitte lass auch Malwarebytes laufen, lass alles gefundene löschen und poste auch diesen Report Meldet dir AntiVir einen Virus oder vermutest du es nur? __________________

24.04.2008, 14:44	#4
virus Gast	MSN Virus/Trojaner 04.2008 Hallo Kitty Also in deinem Logfile ist nix zu sehen aber wie ich selber hätte merken sollen (wurde von Bosten darauf hingewiesen) ist beim Msn Wurm eine Neuaufsetzung fast unumgänglich----->Backdoor Funktionen

MSN Virus/Trojaner 04.2008

Plagegeister aller Art und deren Bekämpfung: MSN Virus/Trojaner 04.2008