Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Msn "Is This Your Picture?" [Virus] (https://www.trojaner-board.de/75372-msn-is-this-your-picture-virus.html)

Movement 16.07.2009 17:12
Msn "Is This Your Picture?" [Virus]
 
ich habe eben mit einer Freundinn geschrieben.

Aufeinmal schrieb sie einen Viruslink mit: Is This your picture? + 1 Link mit meiner E-Mail am ende.

Ich wollte ihr zeigen das sie den/ein Virus hat und wollte es kopieren dabei öffnete sich mein Browser mit ner komischen Seite wo auch nochmal Download hier usw. stand.

Ich hoffe ihr könnt mir helfen ob und wenn "Ja" was ich glaube vorallem "Wie" ich ihn wieder los werde.

Ich bitte euch wenn ich etwas falsch gemacht habe schickt mir ne PN und nicht direkt schließen, es ist mir so wichtig:(

Log:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:24:33, on 16.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSI\MSI.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ROCCAT\Kone Mouse\KoneHID.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ROCCAT\Kone Mouse\osd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\-User-\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go*microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go*microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go*microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go*microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = plimus*com;www*plimus*com;regnow*com;www*regnow*co m
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [MSI] C:\Programme\MSI\MSI.exe -nogui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Kone] "C:\Programme\ROCCAT\Kone Mouse\KoneHID.EXE"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - www.*update*microsoft*com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226838822468[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - www*update*microsoft*com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232405650500
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2*macromedia*com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: MSI Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 6493 bytes

john.doe 16.07.2009 17:43
Hallo und :hallo:

Hast du noch den Link auf den du geklickt hast? Das wäre sehr wichtig, damit ich herausbekomme, was du genau hast. Falls du ihn noch hast oder ihn besorgen kannst, dann schicke ihn mir als private Nachricht zu.

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Movement 16.07.2009 18:30
Hallöchen,

erstmal danke. Ich habe dir den Link via Pn geschrieben. Besteht überhaupt gefahr wenn ich nur auf dne Link geklickt habe? Weil auf der Homepage die folgt wird noch zum Downlaod aufgerufen was ich nicht gemacht habe.

( b ) Mit Punkt 2 meinste CCleaner bis RSIT?

Ich hasse es eigentlich Zusatzprogramme zu installieren bleibt mir nichts anderes übrig? :(

john.doe 16.07.2009 18:34
Habe den Link bekommen. Wenn man da draufklickt wird man auf eine Seite weitergeleitet. Das Klicken auf den Link ist nicht gefährlich. Auf der Seite steht
Welcome to MSN PHOTOS V4
We're sorry, your computer does not have ActiveX Photo Viewer!
To view this image you must download
ActiveX Photo Viewer. To download Click Here!

Erst wenn du auf der Seite auf etwas klickst, dann wird ein Programm heruntergeladen oder gestartet. Hast du das getan? Oder hast du nur auf den ersten Link geklickt?

ciao, andreas

Edit: Du musst CCleaner nicht laden. Wenn du die Windowsdatenträgerbereinigung benutzt, geht das auch.

Das Teil ist relativ neu:
Code:
Datei IMG009945-4-PHOTOBUCKET.exe empfangen 2009.07.16 17:39:24 (UTC)
Status:    Beendet
Ergebnis: 9/40 (22.5%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.07.16        Trojan-Spy.Win32.Flux!IK
AhnLab-V3        5.0.0.2        2009.07.16        -
AntiVir        7.9.0.220        2009.07.16        -
Antiy-AVL        2.0.3.7        2009.07.16        -
Authentium        5.1.2.4        2009.07.16        W32/Heuristic-THX!Eldorado
Avast        4.8.1335.0        2009.07.16        -
AVG        8.5.0.387        2009.07.16        -
BitDefender        7.2        2009.07.16        MemScan:Trojan.Loader.AZ
CAT-QuickHeal        10.00        2009.07.16        -
ClamAV        0.94.1        2009.07.16        -
Comodo        1672        2009.07.16        -
DrWeb        5.0.0.12182        2009.07.16        -
eSafe        7.0.17.0        2009.07.16        -
eTrust-Vet        31.6.6617        2009.07.15        -
F-Prot        4.4.4.56        2009.07.16        W32/Heuristic-THX!Eldorado
Fortinet        3.120.0.0        2009.07.16        -
GData        19        2009.07.16        MemScan:Trojan.Loader.AZ
Ikarus        T3.1.1.64.0        2009.07.16        Trojan-Spy.Win32.Flux
Jiangmin        11.0.800        2009.07.16        TrojanDropper.VB.eso
K7AntiVirus        7.10.794        2009.07.16        -
Kaspersky        7.0.0.125        2009.07.16        -
McAfee        5678        2009.07.16        -
McAfee+Artemis        5678        2009.07.16        -
McAfee-GW-Edition        6.8.5        2009.07.16        Heuristic.LooksLike.Win32.Suspicious.J
Microsoft        1.4803        2009.07.16        VirTool:Win32/VBInject.gen!Q
NOD32        4250        2009.07.16        -
Norman        6.01.09        2009.07.16        -
nProtect        2009.1.8.0        2009.07.16        -
Panda        10.0.0.14        2009.07.16        -
PCTools        4.4.2.0        2009.07.16        -
Prevx        3.0        2009.07.16        -
Rising        21.38.34.00        2009.07.16        -
Sophos        4.43.0        2009.07.16        -
Sunbelt        3.2.1858.2        2009.07.16        -
Symantec        1.4.4.12        2009.07.16        -
TheHacker        6.3.4.3.368        2009.07.15        -
TrendMicro        8.950.0.1094        2009.07.16        -
VBA32        3.12.10.8        2009.07.15        -
ViRobot        2009.7.16.1839        2009.07.16        -
VirusBuster        4.6.5.0        2009.07.16        -
weitere Informationen
File size: 498176 bytes
MD5...: 2d7d7afbd68f7b1d76327cc61c8efdd1
SHA1..: db5b828ac03218ef1277954ab211d0d40180f567
SHA256: 2ae4a5e82643c876ff9153e651b8f7a17845c69fae25e4c671bf9ff3983238e8
ssdeep: 12288:jkfkgUZr6+7xPUMhPh9+JWniNoerz0lRek2ovX/sRp:lZr6wPU8WJ1NokG
e2
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6b20
timedatestamp.....: 0x47918ef1 (Sat Jan 19 05:47:29 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa9e0 0xaa00 6.57 9ee0e124f68a3a1c8fa64ad51ff9fa45
.data 0xc000 0x2260 0x600 6.60 f3764284f4d25ed35f75b9c16e1ab608
.rsrc 0xf000 0x6e000 0x6d800 7.94 c2f869b3d33b2347e70f4d3caceba72f
.reloc 0x7d000 0xcd0 0xe00 4.82 6ecf5ec5c89c4b613322d7793c0bd979

( 7 imports )
> ADVAPI32.dll: FreeSid, AllocateAndInitializeSid, EqualSid, GetTokenInformation, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegQueryInfoKeyA, RegSetValueExA, RegCreateKeyExA
> KERNEL32.dll: LocalFree, LocalAlloc, GetLastError, GetCurrentProcess, lstrlenA, _lclose, _llseek, _lopen, WritePrivateProfileStringA, GetWindowsDirectoryA, CreateDirectoryA, GetFileAttributesA, GetModuleFileNameA, GetSystemDirectoryA, RemoveDirectoryA, FindClose, FindNextFileA, DeleteFileA, SetFileAttributesA, lstrcmpA, FindFirstFileA, ExpandEnvironmentStringsA, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, IsDBCSLeadByte, GetShortPathNameA, GetPrivateProfileStringA, GetPrivateProfileIntA, CompareStringA, GetVersion, GetModuleHandleW, FreeResource, LockResource, LoadResource, SizeofResource, CloseHandle, ReadFile, WriteFile, SetFilePointer, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, CreateFileA, SetCurrentDirectoryA, GetTempFileNameA, GetVolumeInformationA, FormatMessageA, GetCurrentDirectoryA, ExitProcess, LoadLibraryExA, GetVersionExA, GetExitCodeProcess, GetProcAddress, CreateProcessA, GetTempPathA, GetSystemInfo, CreateMutexA, SetEvent, CreateEventA, CreateThread, ResetEvent, TerminateThread, GetDriveTypeA, FindResourceA, LoadLibraryA, FreeLibrary, InterlockedExchange, Sleep, InterlockedCompareExchange, GetStartupInfoA, RtlUnwind, SetUnhandledExceptionFilter, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, EnumResourceLanguagesA, MulDiv, GetDiskFreeSpaceA, WaitForSingleObject
> GDI32.dll: GetDeviceCaps
> USER32.dll: SendDlgItemMessageA, GetDlgItem, SetForegroundWindow, SetWindowTextA, MessageBoxA, DialogBoxIndirectParamA, ShowWindow, EnableWindow, GetDlgItemTextA, GetDC, ReleaseDC, SetWindowPos, SendMessageA, PeekMessageA, MsgWaitForMultipleObjects, DispatchMessageA, CallWindowProcA, GetWindowLongA, SetWindowLongA, CharPrevA, CharUpperA, CharNextA, ExitWindowsEx, EndDialog, GetDesktopWindow, LoadStringA, SetDlgItemTextA, MessageBeep, GetWindowRect, GetSystemMetrics
> msvcrt.dll: _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _terminate@@YAXXZ, _controlfp, __getmainargs, memcpy, memset, _vsnprintf
> COMCTL32.dll: -
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): CAB, Themida
packers (Authentium): CAB, Themida

Movement 16.07.2009 18:37
Hallöchen,

Ich habe nur auf den Link geklickt(Im MSN Fenster) sonst nichts...-> Wurde weitergeleitet auf die genannte Seite.

john.doe 16.07.2009 19:36
Dann ist deinem Rechner auch nichts passiert. Log ist sauber.

Du bist entlassen. :)

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132