Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Über ICQ Virus eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.04.2010, 16:41   #1
apd90
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Hallo erst mal ich habe das gleiche Problem. Und hier mein Scan-Ergebnis. Und bei mit läuft RSIT nicht und hab daraufhin OTL instaliert und laufen lassen. Die beiden logs liegen im Anhang.
Schon mal ein danke schön

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3989

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15.04.2010 11:14:20
mbam-log-2010-04-15 (11-14-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 205911
Laufzeit: 36 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\An Pham Duc\AppData\Local\Temp\Upg.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\An Pham Duc\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\winsvncs.txt (Malware.Trace) -> Delete on reboot.
Angehängte Dateien
Dateityp: txt OTL.Txt (59,6 KB, 275x aufgerufen)
Dateityp: txt Extras.Txt (48,4 KB, 512x aufgerufen)

Alt 15.04.2010, 20:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Hallo und

Starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
Code:
ATTFilter
:OTL
PRC - C:\Users\Public\dlll.exe ()
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKLM..\Run: [Windows System Guard] C:\Users\Public\dlll.exe ()
O4 - HKCU..\Run: [Canaveral] C:\Windows\SysWow64\sshnas21.DLL ()
O4 - HKCU..\Run: [Windows System Guard] C:\Users\Public\dlll.exe ()
O4 - HKCU..\Run: [YVIBBBHA8C] C:\Users\ANPHAM~1\AppData\Local\Temp\Uqx.exe ()
[2010.04.15 15:42:49 | 000,000,000 | ---D | C] -- C:\32788R22FWJFW
[2010.04.15 16:22:30 | 000,000,304 | -H-- | M] () -- C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
[2010.04.15 15:46:17 | 000,216,064 | ---- | M] () -- C:\Windows\SysWow64\sshnas21.dll
[2010.04.15 15:33:01 | 000,013,936 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.04.15 15:33:01 | 000,013,936 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.04.15 15:24:58 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.04.15 14:12:45 | 000,160,256 | ---- | M] () -- C:\Windows\Uhefub.exe
[2010.04.15 00:28:40 | 000,162,816 | ---- | M] () -- C:\Windows\Uhefua.exe
:Commands
[emptytemp]
[resethosts]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte.
__________________

__________________

Alt 15.04.2010, 20:17   #3
apd90
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Hier der Logfile:

All processes killed
========== OTL ==========
No active process named dlll.exe was found!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows System Guard deleted successfully.
C:\Users\Public\dlll.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Canaveral deleted successfully.
C:\Windows\SysWOW64\sshnas21.dll moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Windows System Guard deleted successfully.
File C:\Users\Public\dlll.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\YVIBBBHA8C deleted successfully.
C:\Users\ANPHAM~1\AppData\Local\Temp\Uqx.exe moved successfully.
C:\32788R22FWJFW\N_ folder moved successfully.
C:\32788R22FWJFW\License folder moved successfully.
C:\32788R22FWJFW\EN-US folder moved successfully.
C:\32788R22FWJFW folder moved successfully.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job moved successfully.
File C:\Windows\SysWow64\sshnas21.dll not found.
C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 moved successfully.
C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 moved successfully.
C:\Windows\Tasks\SA.DAT moved successfully.
C:\Windows\Uhefub.exe moved successfully.
C:\Windows\Uhefua.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: An Pham Duc
->Temp folder emptied: 22711988 bytes
->Temporary Internet Files folder emptied: 2650121 bytes
->Java cache emptied: 13554269 bytes
->FireFox cache emptied: 65552091 bytes
->Flash cache emptied: 1995 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12112 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 66160 bytes
RecycleBin emptied: 871535 bytes

Total Files Cleaned = 101,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.1.1 log created on 04152010_201153

Files\Folders moved on Reboot...
C:\Users\An Pham Duc\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
__________________

Alt 15.04.2010, 20:20   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.04.2010, 21:20   #5
apd90
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Hier noch mal den Log von Malwarebytes, anscheinend hat er noch was gefunden.
Und seitdem ich den Fix Scan gemacht hab, ist ein Problem aufgetretten. Die Echtheit meines Windows wurde in Frage gestellt und ich muss mich erneut registrieren. Aber er erkennt leider den Produkt key nicht.
Ich weiß nciht ob es was mit dem Fix Scan zu tun hat, aber ich poste trotzdem mal.

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3992

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15.04.2010 21:14:25
mbam-log-2010-04-15 (21-14-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 205175
Laufzeit: 42 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\winsvncs.txt (Malware.Trace) -> Quarantined and deleted successfully.


Geändert von apd90 (15.04.2010 um 21:27 Uhr)

Alt 15.04.2010, 21:56   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Ups...

Schau mal in C:\_OTL nach diesen Ordner:
Zitat:
C:\32788R22FWJFW\N_ folder moved successfully.
C:\32788R22FWJFW\License folder moved successfully.
C:\32788R22FWJFW\EN-US folder moved successfully.
C:\32788R22FWJFW folder moved successfully.
bitte wieder zurückkopieren...
__________________
--> Über ICQ Virus eingefangen

Alt 15.04.2010, 22:03   #7
apd90
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Sorry ich hab nicht viel Ahnung von PC. Die Ordner habe ich gefunden aber was meinst du mit zurückkoppieren ?

Alt 15.04.2010, 22:36   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Dieser Ordner => 32788R22FWJFW
zurück nach C:
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.04.2010, 23:18   #9
apd90
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Und hier der SuperAntiSypware hat auch noch was gefunden

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/15/2010 at 11:08 PM

Application Version : 4.35.1000

Core Rules Database Version : 4810
Trace Rules Database Version: 2622

Scan type : Complete Scan
Total Scan Time : 01:23:43

Memory items scanned : 724
Memory threats detected : 0
Registry items scanned : 6242
Registry threats detected : 0
File items scanned : 106748
File threats detected : 4

Adware.Tracking Cookie
C:\Users\An Pham Duc\AppData\Roaming\Microsoft\Windows\Cookies\an_pham_duc@atdmt[2].txt

Trojan.Agent/Gen-SVC[Fake]
C:\PROGRAM FILES (X86)\VAIO SCREENSAVERS\VAIO_GENERIC_SCREENSAVER.EXE

Trojan.Agent/Gen-FakeAlert
C:\_OTL\MOVEDFILES\04152010_201153\C_USERS\PUBLIC\DLLL.EXE

Trojan.Agent/Gen-SSHNas[FakeAlert]
C:\_OTL\MOVEDFILES\04152010_201153\C_WINDOWS\SYSWOW64\SSHNAS21.DLL

Alt 16.04.2010, 11:13   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Zitat:
VAIO_GENERIC_SCREENSAVER.EXE
Bis auf den mit SUPERAntiSpyware alles entfernen.
Wie verhält sich Dein Rechner jetzt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.04.2010, 17:27   #11
apd90
 
Über ICQ Virus eingefangen - Standard

Über ICQ Virus eingefangen



Noch mal danke für die Bemühungen, ich denke ich setze mein System lieber noch mal neu auf. Es geht echt schneller. Danach weiß ich auch genau, dass mein System wirklich sauber ist.

Antwort

Themen zu Über ICQ Virus eingefangen
local\temp, trojan.downloader, virus eingefangen



Ähnliche Themen: Über ICQ Virus eingefangen


  1. Über pdf-creator Qvo6 Virus eingefangen :(
    Plagegeister aller Art und deren Bekämpfung - 26.08.2013 (13)
  2. virus/trojaner über skype eingefangen "sie ist auf diesem foto?"
    Log-Analyse und Auswertung - 25.04.2013 (22)
  3. virus/trojaner über skype eingefangen "sie ist auf diesem foto?"
    Plagegeister aller Art und deren Bekämpfung - 23.04.2013 (21)
  4. 3x | habe mir virus/trojaner über skype eingefangen "sie ist auf diesem foto?"
    Mülltonne - 23.04.2013 (1)
  5. 2x | virus/trojaner über skype eingefangen "sie ist auf diesem foto?"
    Mülltonne - 23.04.2013 (1)
  6. Virus über .js-Datei eingefangen?
    Log-Analyse und Auswertung - 24.02.2013 (6)
  7. Trojaner/Virus über malwarebyte gefunden; Infizierung über Link - was nun?
    Log-Analyse und Auswertung - 14.09.2012 (5)
  8. Über E-mail der Post Virus eingefangen
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (13)
  9. Virus/Trojaner über Facebook eingefangen oder nicht?
    Log-Analyse und Auswertung - 14.04.2011 (11)
  10. Virus/Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (1)
  11. Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (16)
  12. Trojaner über ICQ eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (23)
  13. Fz1.exe Fz5.exe über ICQ-Link eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.04.2010 (7)
  14. Trojaner über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 17.04.2010 (3)
  15. Virus über Programmdownload eingefangen, kann ihn aber nicht finden
    Mülltonne - 28.09.2008 (0)
  16. Virus über ICQ eingefangen
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (6)
  17. Virus oder trojaner über codec eingefangen
    Log-Analyse und Auswertung - 12.10.2006 (2)

Zum Thema Über ICQ Virus eingefangen - Hallo erst mal ich habe das gleiche Problem. Und hier mein Scan-Ergebnis. Und bei mit läuft RSIT nicht und hab daraufhin OTL instaliert und laufen lassen. Die beiden logs liegen - Über ICQ Virus eingefangen...
Archiv
Du betrachtest: Über ICQ Virus eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.