ICQ Virus Hi, hab von ner Freundin in icq folgende Nachricht bekommen: Zitat:
Logfile of HijackThis v1.99.1 Scan saved at 21:07:04, on 16.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe C:\WINDOWS\system32\Fast.exe d:\perfect DISK\PDSched.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\taskswitch.exe C:\WINDOWS\system32\fast.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe D:\Roxio\Media Experience\DMXLauncher.exe C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\******\LOKALE~1\Temp\6.tmp C:\WINDOWS\System32\slbipsch.exe D:\ICQLite\ICQLite.exe D:\Programme\AVPersonal\AVWIN.EXE D:\FIREFOX2\FIREFOX.EXE C:\7-Zip\7zFMn.exe C:\DOKUME~1\******\LOKALE~1\Temp\7zO32.tmp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" O4 - HKLM\..\Run: [DMXLauncher] "D:\Roxio\Media Experience\DMXLauncher.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O20 - AppInit_DLLs: vb5dmspo.dll e1.dll O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDEngine - Raxco Software, Inc. - d:\perfectDISK\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - d:\perfectDISK\PDSched.exe O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe Kann man da noch was machen? Und hat sich meine Kiste jezz auch angesteckt? Schonmal im Vorraus vielen Dank fürs Anschaun! Gruß, malu [edit] link editiert GUA [/edit] |
mir ist dummerweise genau das selbe missgeschick passiert. auch bei mir hat sich sofort mein mcafee gemeldet, aber scheinbar zu spät, den einigen wurde scheinbar bereits eine solche nachricht über mein icq gesendet... gibt es denn irgendwelche möglichkeiten mein system noch zu retten oder muss ich schon wieder alles plattmachen? danke schonmal für die antwort... Gruß |
mein icq ht den link versendet obwohl ich selber nie einen derartigen link angeklickt habe..ich denke mal ich wurde gehackt, der virus selbst ist nicht auf meinem pc, zumindest finden sämtliche programme nichts. |
Ich vermute, das der Worm sich dann als slbipsch.exe in C:/Windows/System32/ (C:/ für eure Festplattenpartition auf der Windows läuft) befindet. Hab die beiden Dateien slbipsch.exe und slbipsch.dll erst nich löschen können, hab dann den Avenger zum Löschen benuzt. Zitat:
|
bei mir hat sich der virus nun auch eingeschlichen, krieg ihn auch net gelöscht, was ist denn der Avenger und wo krieg ich ihn her, würd die dateien auch gerne löschen, mfg bl4nk |
hab mir den virus auch eingefangen. einer von meinen benutzern hat mir nen link geschickt ohne das zu wollen ..der virus geht leider auch noch über 3 oder 4 dll dateien hier mein logfile : Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\LClock\LClock.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Xfire\Xfire.exe C:\Programme\TuneUp Utilities 2007\Integrator.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Lukas\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\ais32.exe s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4206D66E-B9D5-473B-BB49-48616CFF4D5B}: NameServer = 192.168.40.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{64E7FB34-72E7-48B4-939A-8950AD23361E}: NameServer = 192.168.40.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{2E8CE4BE-1E84-4FFF-BCAB-6B2662EEAF89}: NameServer = 192.168.40.1 O20 - AppInit_DLLs: , e1.dll vb5dmspo.dll O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Prime95 Service - Unknown owner - C:\Programme\Prime95\prime95.exe (file missing) O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe |
Ich hab da mal ne Seite gemacht, hab die au schon allen geschickt, von denen ich den Link bekommen hab: ICQ, Worm? da hab ich das beschrieben. Aber es gilt: Alle Angaben ohne Gewähr! Ich hoff, ich verstoß hiermit nich gegen irgendwelche Forenregeln, wenn doch, bitte per PN melden! @I-Hate-Viren: Hab da nich so ne Ahnung, kann sein, wie kommste denn da drauf? |
Ich habe diese PIF-Datei mal bei Jotti ausgewertet. Norman hat diese in einer Sandbox ausgeführt und ist zu folgendem Ergebnis gekommen: Zitat:
|
Ich war auch so schlau und hab auf den Link geklickt den ich bekommen habe mein Vieren Programm Norton hat sofort Alarm geschlagen hatt alle datein gelöscht alles durchsucht und Fertig also ich fin des Programm is gar ned mal schlecht der hatt mir gleich noch andere vieren eleminiert Was denkt ihr wer steckt hinter so drec*s icq vieren einfache hacker oda richtige hackerbanden...? |
ich hab mal mit dem security task manager geguckt und da stand bei 3 dll dateien dass die am 17.12 um 15.21 gestartet wurden...genau da als ich die exe datei ausgeführt hab edit: die betroffenen dateien müssten... : -vb5dmspo.dll -mcd3mscm.dll -slbipsch.exe ...sein |
danke an f.air, hat mir auf jedenfall geholfen, die slbipsch.exe im taskmanager ist nun weg, besten dank |
Hallo, habe Avenger versucht... hat das selbe problem wie allen anderen Proggis auch... die dateien können absolut nicht nix gelöscht werden. habe schon abgesicherter modus probiert, auch tune up shredder und ähnliches... also avenger hat folgendes gesagt: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\hfniseyn ******************* Script file located at: \??\C:\Program Files\ojvqwwsl.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Windows\System32\slbipsch.exe not found! Deletion of file C:\Windows\System32\slbipsch.exe failed! Could not process line: C:\Windows\System32\slbipsch.exe Status: 0xc0000034 File C:\Windows\System32\slbipsch.dll not found! Deletion of file C:\Windows\System32\slbipsch.dll failed! Could not process line: C:\Windows\System32\slbipsch.dll Status: 0xc0000034 File C:\Windows\System32\e1.dll deleted successfully. File C:\Windows\System32\vb5dmspo.dll deleted successfully. File C:\Windows\System32\brwmgr32.dll deleted successfully. File C:\Windows\System32\mcd3mscm.dll not found! Deletion of file C:\Windows\System32\mcd3mscm.dll failed! Could not process line: C:\Windows\System32\mcd3mscm.dll Status: 0xc0000034 File C:\Windows\System32\rdpwmsjt.exe not found! Deletion of file C:\Windows\System32\rdpwmsjt.exe failed! Could not process line: C:\Windows\System32\rdpwmsjt.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
so ich hab ne teilweise lösung. also bei mir hats auf jedenfall geklappt^^ als erstes müsst ihr die datei slbipsch.exe und die dazugehörige dll datei finden. bei beiden dateien hängt ihr am ende ein .virus an. dann ändert das system die datei automatisch zu einer virus datei. danach löscht ihr beide dateien -> system neustart und weg sind die dinger. wo des no net geklappt hat ist bei vdm...dll :koch: |
ok, hab alles gelöscht bekommen nur ist jetzt mein rechner abartig lahm und hat richtig böse laggs... vor allem beim spielen... hat jemand ne idee an was das liegen könnte ? |
Okay, also ich gestern mal angefangen hab zu schaun was denn das sein könnte, hab ich ziemlich wenig gefunden, außer eine chinesische sicherheitsseite, die schonmal hilfreich war, weil ich dann wusste, dass das eben vermutlich ein worm ist. bis dahin wusste ich nur von mir selber,dass die slbipsch.exe bei mir neu drauf war, hab die ja dann wie schon genannt mit dem avenger entfernt. Weil das bei ner Freundin au net geklappt hat, hab ich mich dann mal umgeschaut, was es so für Progs gibts, um Dateien zu löschen, die sich eigentlich nich löschen lassen. Bin dann auf den Unlocker gestoßen, der auch anzeigt, was denn für Prozesse darauf zugreifen. Auf der Seite sind auch noch andere Programme für solche nicht löschbaren Dateien aufgelistet. Man sollte aber auf jedenfall aufpassen, wenn man solche Programm benuzt, dass man keine wichtigen Dateien löscht und so.... nun zum virus: also ich hab bei mir au erst nur die slbipsch.exe und .dll gelöscht, weil ich die nich in google gefunden hab, und die meisten gängigen prozesse sind auf irgendwelchen seiten schon beschrieben bzw. diskutiert. heißt, ich wusste, dass dieser prozess recht neu ist und hab darauf geschlossen, dass er mit dem virus zusammenhängt. was er sonst noch macht, weiß ich nicht. wie ich sehe, macht er wohl noch mehr dateien als ich erst gedacht hab. Ich selbst hab leider keine so Virenprogramme um zu schauen was der macht. Ich denke, wir können mal versuchen, möglichst alle dateien aufzulisten, die durch den virus erstellt werden. wie schon gesagt, bei der slbipsch.exe bin ich mir eig sicher. vb5dmspo.dll, mcd3mscm.dll, rdpwmsjt.exe, mcd3mscm und e1.dll hab ich bei mir au gefunden und ich find sie au nich auf irgendeiner seite beschrieben. Bis auf e1.dll! Das ist eben der schon bekannte Worm Warezov, heißt, das is wohl ne version von diesem Worm... Ich werd mal schaun, was ich noch wichtiges rausfinde. Helft wenn's geht mit, wie schon gesagt, ich hab da nich wirklich ahnung und hab au keine so programme, bis jetzt^^. |
Okay, also ich gestern mal angefangen hab zu schaun was denn das sein könnte, hab ich ziemlich wenig gefunden, außer eine chinesische sicherheitsseite, die schonmal hilfreich war, weil ich dann wusste, dass das eben vermutlich ein worm ist. bis dahin wusste ich nur von mir selber,dass die slbipsch.exe bei mir neu drauf war, hab die ja dann wie schon genannt mit dem avenger entfernt. Weil das bei ner Freundin au net geklappt hat, hab ich mich dann mal umgeschaut, was es so für Progs gibts, um Dateien zu löschen, die sich eigentlich nich löschen lassen. Bin dann auf den Unlocker gestoßen, der auch anzeigt, was denn für Prozesse darauf zugreifen. Auf der Seite sind auch noch andere Programme für solche nicht löschbaren Dateien aufgelistet. Man sollte aber auf jedenfall aufpassen, wenn man solche Programm benuzt, dass man keine wichtigen Dateien löscht und so.... @flo: haste mal im windows/system32/ ordner nachgeschaut ob da die dateien drin sind? nun zum virus: also ich hab bei mir au erst nur die slbipsch.exe und .dll gelöscht, weil ich die nich in google gefunden hab, und die meisten gängigen prozesse sind auf irgendwelchen seiten schon beschrieben bzw. diskutiert. heißt, ich wusste, dass dieser prozess recht neu ist und hab darauf geschlossen, dass er mit dem virus zusammenhängt. was er sonst noch macht, weiß ich nicht. wie ich sehe, macht er wohl noch mehr dateien als ich erst gedacht hab. Ich selbst hab leider keine so Virenprogramme um zu schauen was der macht. Ich denke, wir können mal versuchen, möglichst alle dateien aufzulisten, die durch den virus erstellt werden. wie schon gesagt, bei der slbipsch.exe bin ich mir eig sicher. vb5dmspo.dll, mcd3mscm.dll, rdpwmsjt.exe, mcd3mscm und e1.dll hab ich bei mir au gefunden und ich find sie au nich auf irgendeiner seite beschrieben. Bis auf e1.dll! Das ist eben der schon bekannte Worm Warezov, heißt, das is wohl ne version von diesem Worm... Ich werd mal schaun, was ich noch wichtiges rausfinde. Helft wenn's geht mit, wie schon gesagt, ich hab da nich wirklich ahnung und hab au keine so programme, bis jetzt^^. |
jaaaaaaaaaaa beim security task manager ( den ich nur empfehlen kann) wird keiner dieser schei* prozesse merh angezeigt.. achja ich hatte da noch ne exe datei brwconf.exe ihr könnt auch mal bei f-secure nen online check machen -> HILFT AUF JEDENFALL !!!!! hier die adresse F-Secure Support pages: F-Secure Online Virus Scanner und security task manager würd ich auch runterladen ( müsst halt mal in google gucken |
Hallo, ich bin heute aus Versehen auf diesen Link geklickt und mein Antivir hat sich sofort gemeldet und ließ mich diese Datei in die Quarantäne verschieben. Ich hab natürlich sofort Panik gemacht und jemand hat mit diese "ICQ,Wurm" Seite geschickt.Ich hab auch in meinem System32-Ordner gesucht doch keine Datei mit dem Namen "slbipsch" gefunden. Nun beschleicht mich das Gefühl ,dass ich den Virus trotzdem habe und er nur den Name gewechselt hat,oder hat vielleicht mein Browser Opera oder AntiVir "meinen Arsch gerettet" |
moin es tut mir echt leid wenn ich all eure hoffnungen wie eine seifenblase zerplatzen lassen muss :schmoll: es handelt sich definitiv um einen wurm den ihr nicht so leicht loswerdet. ihr könnt scannen soviel ihr wollt mit ka was für programmen... und es wird euch nichts nützen. um erstmal ein verständnis zu bekommen was überhaupt einen wurm ausmacht solltet ihr mal wikipedia oder ähnliches zu rate ziehen. der wurm hängt in eurer registry und läuft in form von prozessen im hg. euer rechner ist also infiziert und verbreitet den wurm weiter. zudem frisst er eine menge ressourcen. es ist fast (es sei denn man hat echt ahnung!) egal was ihr tut, ihr bekommt den müll nicht vollständig von eurem system. sogar antivirenprog hersteller empfehlen in solchen fällen eine neuinstall. also überlegt euch was ihr tut, ich kann nur eindringlich eine neuinstall empfehlen liebe grüße MaStAoFdIsAsTa |
nochmal moin ;) da sich ja nun öfter hier die frage nach vernünftigen progs gestellt hat, will ich nochmal meinen senf abgeben. die beste methode ist immernoch vorbeugung. geht nicht auf links, öffnet keine e-mail anhänge etc. und wenn es der beste freund geschickt hat (würmer modifizieren mail-proggs, messenger etc.) nun zu den proggis. ich liste mal extra nur freeware progs auf, die sind mindestens genauso gut wie teure software und ihr könnt eure Kohle für den nächsten dicoabend oder kneipenbesuch beiseite legen :) virenscanner: avast, antivir, avg (eins, nicht mehrere. ich empfehle avast) maleware etc: adaware, spybot search & destroy, ewido(!!) (könnt ihr alle 3 installen und auch ab und an mit allen scannen. auf jeden fall holt euch ewido) ab und an nen online scan, zb. bitdefender oder panda so, eine firewall wär auch noch sinnvoll, wie gehabt freeware: sygate oder kerio kann ich empfehlen noch ein sehr nützliches programm ist stinger von mcafee. es ist zwar nicht wirklich hilfreich zur vorbeugung, kann aber sehr viel helfen wenn euer system bereits infiziert ist. und nun noch ein kleiner tipp am rande: exe dateien die im hintergrund laufen, sprich prozess, kann man und wird man nie löschen können ohne den prozess zu beenden. ob mit nem prog oder manuell sei mal dahingestellt ;) ich hoffe ich konnte euch weiterhelfen mfg MaStAoFdIsAsTa |
danke für die guten programme. hab ewido gleich mal ausprobiert und es ist ziemlich gut ..hab adware in meiner registry gefunden und gleich gelöscht. was ich euch aber auch empfehl is tune up 2007 . des is zwar net umsonst aber man kann die trial version ausprobieren. da kann man z.B ne komplett neue registry erstellen und ein wirklich guter task manager usw |
tja zu früh gefreut =( .. trojan.qhosts , worm.warezov.et und .eq .....VERDAMMTE SCHEI**...ich bekomms ie einfach nich mehr weg..überall sind die drinne. ich hab noch dateien die zum virus gehören ich mach mal ne kleine übersicht : worm.warezov.et C:\Windows\system32\RDPWMSJT.OXE \mcd3mscm.dll \rdpwmsjt.exe \vb5dmspo.dll worm.warezov.eq C:\Windows\system32\SLBIPSCH.OXE \slbipsch.dll \slbipsch.exe trojan.qhosts C:\Windows\system32\drivers\etc\hosts sobald ich was neues weiß schreib ich s hier rein |
Hi, dass beschriebene Problem habe ich letztens lösen können. Folgendes ist notwendig: 1) Starte Win im "Abgesicherten Modus" (beim Starten F8 drücken) 2) Im Taskmananger den Prozess "slbipsch" finden und deaktivieren 3) Registrierungseditor starten (Win + R -> regedit) 4) Suche den Eintrag mit e1.dll Den solltest du eingentlich in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows --- AppInit_DLLs: vb5dmspo.dll e1.dll finden. Lösche beide verweise auf die dlls 5) In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify ist eine Knoten namens "slbipsch" . Diesen musst du löschen. 6) IN c:\windows\system32 findest du e1.dll vb5dmspo.dll slbipsch.dll slbipsch.exe Vermutlich kannst du die slbipsch.dll nicht löschen. Den Rest solltest du aber entfernen. 7) Nun den Rechner neu starten und deine Virenscanner updaten und komplett laufen lassen. Eigentlich sollte der Virenscanner nun die slbipsch.dll und die weiteren dlls identifizieren und für die Löschung beim Systemstart sorgen. Bei uns hat funktioniert (mit Antivir PE). Ich hoffe das es hilft. |
ich glaub da will irgendjemand mir nen virus aufn hals hetzen. ich hab grade schon wiede rne e-mail bekommen...betreef war meine fotos ....is das dann n virus |
Hi, ich habe das selbe Problem und habe seit gestern hier mit gelesen und es hat mir schon echt viel geholfen, auch der Tipp heute vom CaDo war gut, aber habe noch was gefunden und weiß nicht ob ich das in der Registrie löschen darf oder ändern muss. unter: HKEY_USERS\S-1-5-21-507921405-1563985344-725345543-1007\Software\Microsoft\Search Assistant\ACMru\5604 gibt es einen Eintrag namens : "000" und der hat den Wert "e1.dll" Soll ich "000" löschen oder brauch Windows die? Danke schonmal. ;) edit: unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft gibt es auch nen Knoten, der "slbipsch" heißt, den kann man doch auch gefahrlos löschen oder? |
Solltest du tun, gehört ebenfalls zum Komplettpaket ;) Ich kann euch nur nochmal das nahelegen was auch Hersteller von antivirenprogs tun: Bei einem Wurm System neu aufsetzen da nicht garantiert werden kann, dass man den wurm jemals wieder los wird. und zu I_hate_Viren: solange der wurm auf deinem rechner sitzt will er sich verbreiten, sozugen das primärziel des wurms. hierbei scant er zb alle deine E-Mail kontakte und schickt selbstständig ohne das du es merkst e-mails raus. schaut mal bei wikipedia nach würmern um mal zu wissen womit ihr es zu tun habt. die tipps mit der registry sind natürlich gut, ihr habt aber dennoch nicht die sicherheit den wurm wirklich vom system zu haben. Und selbstverständlich ist die registry mit vorsicht zu genießen ;) um die reg zu säubern (nur wenn ihr wisst was ihr tut!!!) empfehle ich regcleaner und xpclean 5 Ihr könnt mich ruhig ernst nehmen, ich hab ein bisschen ahnung würd ich mal behaupten ;) Liebe Grüße MaStAoFdIsAsTa |
Also, habe die Regiestry bereinigt und auch die dll und exe Dateien gelöscht und er lief super schnell.:daumenhoc Doch dann nach 10 Minuten kam die Ernüchterung, plötzlich blopen in der Stunde 30 Antivir wahrnungen auf. :teufel1: Wie und was muss\kann man eigentlich einstellen um Antivir die Quarantäne Dateien zu schicken, den trotz neuesten Update kommt ständig, dass in Dateien Heumetrische Codes oder so gefunden werden, die unbekannt aber auffällig sind und das man die zur untersuchung dahin schicken soll, was aber natürlich nicht geht. :headbang: Würde mich über hilfe freuen. P.S.: Der infizierte Rechner ist auf der Arbeit, ausserhalb des Firmen-Netzes, also keine Gefahr für den Rest und kein plan, wer schuld daran ist, dass das Ding hier drauf ist, aber habe in einer Stunde eh Urlaub und bin danach wo anders im Einsatz, bis ich dann im April wieder komme hat sich sicher schon ein anderer drum gekümmert oder Antivir hat ein Update rausgebracht, also kann ich entspannen. :Boogie: Viel Erfolg den anderen und wenn ihr ne Lösung habt, dann sagt hier bescheid, dann kann ich nem Kollegen das sagen. ;) |
Lösung! Wenn die Virenscanner streiken, probiert es mal auf die alte, manuelle Tour:
Viel Erfolg! |
alles sehr nett, bis auf das es sich weder um einen trojaner noch einen virus handelt ;) es ist ein wurm. deine anleitung ist echt gut, wird wohl auch einiges bringen. nur sind noch andere dll etc angelegt. ais32.exe ist zb auch noch möglich. nur als tipp: wenn euer arbeitsspeicher wieder auf normal niveau ist, richtet er zumindest keinen schaden mehr an... und wenn er KOMPLETT (was keiner garantieren kann) aus der registry entfernt wurde kann er sich auich nicht wieder regenerieren. aber: die nächste neuinstall kommt bestimmt... spätestens da seit ihr ihn los :D mfg MaStAoFdIsAsTa |
@ MaStAoFdIsAsTa Kannst du deine Theorie genauer erklären? Welche Dateien werden wohin kopiert - und werden sie auch in den Autostart der registry geladen? Genauere, möglichst fundierte Angaben......dann sollten diese auf der help-site hinzugefügt werden...! Eine Neuinstall kommt in jedem Fall bestimmt, bei den meisten, jedoch sollte nicht dieser blöde Wurm die Ursache dafür sein.... Wäre doch gelacht, wenn diesem Ding nicht Paroli geboten werden könnte...! :pfui: |
okay, recht hast du ja. also... ein scan mit ewido wirkt wunder, der findet die dinger. aufschreiben wo die sitzen. dann mit dem prog regcleaner den autostart durchforsten, eig sollte man wissen was da reingehört... ansonsten hilft google. wenn man dann mal alles tut was in diesem Thema schon beschrieben ist, die genannten registryeinträge löscht usw kommt man dem endergebnis schon sehr nah. wenn sich eine datei nicht löschen lässt ist meißtens der grund das er als prozess ausgeführt wird. prozessmanager sind hier sehr gut, da man gleich sieht welches prog die exe ausführt. wenn der wurm dann aus der registry raus is können sich die würmer nicht wiederherstellen. nur gibt es keine 100 %ige sicherheit !!! alle laufenden prozesse, die man nicht kennt googlen. dann nochmal mit xpclean oder regcleaner nach verwaisten einträgen in der reg suchen. und bevor ihr neustartet leert den windows prefetch ordner!!! dort sind die dateien auch noch drin, zumindest verknüpfungen. jezz könnt ihr neustarten und wieder eure prozesse durchgucken und ewido (AVG anti-spyware) nochmal checken lassen. wenn er wieder was finden sollte nochmal mit nem registry cleaner nach verwaisten dateien suchen. wenn ihr das alles macht sollte alles wieder normal sein. ich kann es natürlich nicht garantieren und wie gesagt: antivirenprog hersteller raten sogar zu einer neuinstall. was ihr dann noch machen könnt ist die bekannten dateien auf den letzten seiten hier, manuel in der registry zu suchen... möglich das da noch was is. ob euer system befreit ist erkennt ihr wie gesagt am besten am arbeitsspeicher. der wurm brauch ressourcen um sich zu verbreiten ... ich hoffe das hilft weiter Viel Glück |
hab schon wieder ne datei gefunden ...dc218.exe. und danke nochmal für die programme ...des beste is auf jedenfall ewido ...hab damit schon etliche adware und gefährliche cookies gelöscht |
Hi, gleichmal vorweg cookies sind nie gefährlich Es macht sich nur einfach besser wenn 300 Bedrohungen erfolgreich entfernt wurden und nicht nur da steht "der eine vorhandene Wurm konnte nicht entfernt werden". Die bei dir neuauftauchenden Dateien sind der Beweis, dass du dein System immer noch nicht unter Kontrolle hast. In diesem Fall wäre es also nicht nur sicherer sondern auch noch schneller gewesen an einem Nachmittag mal die Kiste neuzumachen. Was ich hiermit nochmal allen nahelegen möchte. In dem Zusammenhang empfehle ich auch immer für die Zukunft sämtliche Freeware-Setupdateien auf eine "Programm"-CD zu brennen. So ist man dann auch gewappnet, falls irgendein Treiber auf einmal Windows total zerstört. \unschöne Erinnerung :schmoll: Dank dieser CD bin ich jetzt in der Lage meinen Rechner innerhalb von 3 Stunden komplett neu zu bespielen mit Programmen und Wiedererstellung der Eigenen Dateien und iim Allgemeinen ist dann das Neuaufsetzen schneller als die Bereinigung und sauberer. lg myrtille |
ja das problem ist halt dass ich die windows cd net hab und kein bock hab alle meine gespeicherten sachen zu löschen. wenn ich mir vllt bald ne externe festplatte hol dann kopier ich alles mal rüber und mach ne windoof neuinstallation |
Ja und da kommt dann wieder die bewährte Frage: Und was machst du bei einem Plattencrash? Wenn jetzt kein Wurm draufgewesen wäre, sondern die Platte kaputtgegangen wäre, hättest du alt ausgesehen. :blabla: Es ist nie falsch seine Daten schon vor der Katastrophe zu sichern. :blabla: Wenn du zwei Platten im Rechner hast, würde es ja auch schon reichen, alle sicherbaren Dateien (sprich nichts ausführbares, also .exe .com .dll etc) auf die nicht Windows/Programmeplatte zu spielen und nur die Windowsplatte zu formatieren. Damit wäre dein Rechner schon um einiges sicherer und damit all deine Freunde und Bekannten auch, der Wurm wird nämlich von dir aus versuchen alle dir bekannten Adressen zu infizieren. Es ist natürlich deine Entscheidung was du zuletzt tust, zumal ich nicht weiß welchen ICQ-Wurm du aufm Rechner hast und ob jetzt nur deine Paßwörter ausspioniert werden, du als Spamserver herhältst oder sich derzeit nen Server für Kinderpornographie uÄ auf deinem Rechner befindet. Für dich sind das natürlich solange keine Einschränkungen, wie dir dein Anbieter die Leitung nicht kappt oder die Polizei vor deiner Haustür steht, für mich wäre es aber zb toll mal wieder weniger Spam zu empfangen. ;) lg myrtille |
Hi, Ich habe diesen Link von einem Foren Kollegen bekommen, und habe das gleiche Prob. Nur habe ich garkeine Ahnung von Rechnern. Habe ebenfalls dieses ICQ Fenster von einem Freund bekommen, und auf den link geklickt, Antivir hat sofort gewarnt, und ich habe den Zugriff verweigert. Der Rechner läuft nun nach "bitdefender" "Stinger" und "Antivir" recht normal. Allerdings machen mich diese Logfiles sorgen die Ihr Beschreibt. Wie kann ich das Logfile aus dem taskmangager kopieren?? wie, und wo genau finde ich den wurm oder anzeichen davon?? Mein Rechner ist ein IBM Laptop mit Windows 2000 offizielle Version Für eure Hilfe wäre ich Dankbar, es ist ein Geschäfts rechner, den ich eigentlich Jeden Tag nutze. Gruss Rainer 0172/5349618 |
|
Auf diesen Link hab ich auch geklickt....bei mir is AntiVir sofort angesrpungen...den wurm hab ich gelöscht. Für mich war es eher ein Test für mein "Sicherungssystem" ;) Bin mir aber ziemlich sicher das noch viele diesen Wurm auf der Festplatte haben, wer weiß was das ding noch so alles anstellt. |
hi leute, ich fürchte ich hab diesen virus auch, [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] |
hmm, ich hab ma ne frage: Ich hatte auch so eine sache, die ich per ocq verschickt habe, ohne das ich etwas gemacht hab (aber was auf deutsch). Leute haben diesen link geöffnet. Ich hab jetzt angst, das ich vllt andere mit viren angesteckt hab. Auf der seite stand "Objekt nicht gefunden". also funzt der link eigendlich nicht. Können trotzdem viren übertragen werden? Was ja auch nix mit speichern oder so. lg. Grey |
bei mir kam der link und ich hab den dummerweise geöffnet da kam dann nur kurz ein dl und der war da. hab ihn dann wegbekommen weil ich den prozess beenden konnte und die datei gelöscht hab. ich hoffe der spuck is nu vorbei. aber dummerweise geh ic hdavon aus das sic hder virus weiter verbreitet hat. da mich einer aus meiner kontakt liste angeschreiben hat und mich gefragt hat ob ich viren verschicke. bin nic hder erste bei ihm :headbang: |
Tach miteinander... Mich hat gestern Abend eine in ICQ nur angeschrieben. Hab mir erst nix dabei gedacht und angeklickt dass ich die nachricht lesen möchte.(hatte die nichtmal adden müssen oder so) Dann standen in der Nachricht nur so komische Zeichen wie ein ~ überm A und so shice. Naja und als ich das Fnster schließen wollte kam ne Anzeige von FireFox ob ich denn den Download trozdem weitermachen möchte...:eek: Kam aber nix von wegen Download starten oder so wie gesagt ich musste den weder adden noch irgendeinen download starten Hab natürlich auf NEIN geklickt. Najoo...kurz danach wollt ich wieder weiterchatten (www.ednetz.de) Hab aber schon längere Wochen auf FireFox das Auto. Speichern drin. Musste mih plötzlich wieder neu einloggen... hab ich dann auch gemacht und dann war der PC aus! einfach runtergefahren... Ich mach Ihn natürlich wieder an und es kommt Automatisch des BIOS. Mein CPU Lüfter hat auch auf voller Drehzahl geröhrt (macht er sonst nie) Naja dann hab ich erstmal die Uhrzeit ändern müssen, Floppy ausschalten, CPU Fan einstellen und hochgefahren. Bis jetz noch nichts weiter auffälliges passiert...kann mir einer sagen ob des mit ICQ zusammenhängen könnte?? Schonmal vielen dank, und sorry für die etwas komisch Formulierte beschreibung ;) mfg no.oB |
Es kann ja auch sein, dass der Verlauf von ICQ, in HTML gespeichert wird. Heißt also bei automatischem öffnen, startet der Download. Ist bei MSN genauso. Wenn du sowas bekommst immer Spam melden und Blockieren. Auch wenn dort steht: "Hi, warum rufts du nicht an? :(". Solche Spam-Nachrichten nie ernst nehmen, auch bei Drohungen mit denen Ihr nichts zu tun habt, auch wenn Ihr nichts getan habt. Direkt löschen! |
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board