"myalbum2007.zip" MSN Virus
 

Hallo,
Eine Freundin hat Ihn sich eingehandelt, ich selber finde leider nichts durch HiJackThis, könntet ihr bitte auch mal drüber schauen?
vielen Dank schonmal:

------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 14:15:55, on 1.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Ge meinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\E-Color\True Internet Color\TICIcon.exe
C:\Programme\DTV\DTV\RC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Anne\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet E xplorer\Main,Search Bar = http://www.gusqeazembndfguujr.net/48Ss/Mcb7aqbzQZM1cHfqkCM41C/5RTW_RMY6nbMMD7ai6TlILSi8xPRD3kKVedi.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe ] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup : RC.lnk = C:\Programme\DTV\DTV\RC.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe
O4 - Global Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123610289450
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123610275434
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B 2CCF06D9A1B} (Zylom Games Player) - http://game17.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6BC0D63-2635-42E9-A16B-7E59B1673F46}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: system32 - {A2FEFA12-7E97-4A5C-A770-586274EC207E} - sysprinters.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.e xe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe

Im System hat sich die sysprinters.dll eingenistet:
Dabei handeltes sich wahrscheinlich um Backdoor.Win32.IRCBot.acd - das System sollte neu aufgesetzt werden.

Beachte dazu auch diesen Thread => http://www.trojaner-board.de/31940-m...die-runde.html

Ok, schade.
So wie's aussieht gibt's wohl keine andere Möglichkeit als Formatieren.
Hatte gehofft ihn einfacher loswerden zu können.

Danke für die Hilfe.

Also nochmal an alle Hilfesuchenden in diesem Beitrag:


Wer diese DATEI (myalbum2007.zip) gleich gelöscht hat, sollte keinerlei Infektionen zu befürchten haben!


Wer die über den Messenger geschickte DATEI geöffnet haben sollte, muss leider eine Neuinstallation in Kauf nehmen!

Es wurde ein Backdoor-Trojaner von fast allen Antiviren-Scannern erkannt, wo er sich im System einnistet oder welche Veränderungen er am System durchführt sind gänzlich unbekannt.

Kompromittierung = Neuinstallation

Was auf jeden Fall sehr auffällig ist, ist dieser Eintrag im Hijacklog:

In den Beiträgen hier im Forum ist die CLSID immer anders, das deutet auch daraufhin das dieser Trojaner wahrscheinlich immer anders arbeitet und somit erst recht eine Bereinigung ausgeschlossen ist.

Sunny

Hallo!

ich bin hier neu, und ich hoff ich hab alles beachtet, habe brav gegoogelt und das forum durchsucht.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Kommt drauf an, was man unter "funktioniert" versteht!
Dass es die relevanten Files gelöscht hat, kann gut sein, eine Kompromittierung rückgängig machen kann es sicher nicht!
Ich zitiere den (aus meiner Sicht einzig richtigen) Lösungsansatz von [Gc]Sunny:
Mfg

Hallo Buchenberg,

es sollte aus diesem Thread eigentlich klar geworden sein, dass du einen Schädling mit Backdoorfunktionen nicht sicher entfernen kannst. Okay, den Schädling an sich vllt., aber in der Zeit in der dieser aktiv war, konnten Unbefugte schon längst durch den erlangten Vollzugriff beliebige Bereiche des Systems verändern - es ist durchaus möglich, dass dir kein einziges Tool irgendwas Auffälliges anzeigt, die Kiste aber dennoch kompromittiert ist, der Angreifer also sich eine andere Hintertür als "Backup" eingebaut hat, falls die offensichtliche (nämlich die durch den MSN-Schädling) entfernt wurde.

Es muss nicht sein, dass der Angreifer sowas im System hinterlassen hat, aber falls doch, sitzt man da. IMO sollte man dieses Risiko nicht eingehen, deswegen ist ein Neuaufsetzen bei Backdoors angesagt.

Edit: Hallo .::|||::. :party:
Da war der GUA wieder schneller....schwupps ist das Posting weg! :rolleyes:

Hallo cosinus,

da gebe ich dir voll und ganz recht.
Ich wollte nur den Benutzern, die sich nicht zu einer Neuinstalltion durchringen, und glaube mir, da gibt es viele davon, ein Tool zeigen, mit dem die Verbreitung des Trojaners unterbunden wird zum Schutz der anderen MSN Benutzer.

Ich gebe dir Recht, das ich nicht erwähnt habe das ein möglicher Eindringling längst eine weitere "Hintertüre" eingebaut haben könnte.

Grüße

Buchenberg