Icq-Bild-Virus
 

Guten Abend,

als ich mich vorhing in ICQ einloggte, versendete der Rechner automatisch lauter Nachrichten alá "wie findest du dieses Bild?". Habe dann durch meinen Bruder erfahren, dass er solch einen Link angeklickt hat.
Ich habe nun mit CCleaner System gereinigt, Avira Scan gemacht (1 Fund: 'JAVA/Dldr.Agent.D' [virus]. in Quarantäne gesetzt und dann gelöscht), Quick Scan mit MAB, morgen folgt Full-Scan. Keine Infektionen. Und ICQ deinstalliert:pfui:
-> Versendet immer noch Nachrichten, will mich nicht mehr einloggen, nicht, dass alle Freunde das auch noch anklicken.
->Habe nun mit RSIT gemacht (Anhang wäre zu groß-> Code)
Hoffe es findet sich ein Netter, der sich das mal anschaut und der Virus entfernt wird.
xxx

Du und dein bruder, ihr habt malware auf dem pc und versendet diese, sagt eueren kontakten bescheid, jeder der das geöffnet hat, sollte nen thread hier eröffnen.
kannst du mir mal als persönliche nachicht (pm) die links zukommen lassen, die ihr versendet, damit die dateien an die antivirus hersteller eingesendet werden können.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide, falls zu groß, teile sie auf.

So die Codes:
xxx

xxx

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
O2 - BHO: (XTTBPos00 Class) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - Reg Error: Value error. File not found
O2 - BHO: (PHPNukeDE Toolbar) - {c9508125-4747-4733-b048-e4b82dc9716d} - Reg Error: Value error. File not found
PRC - C:\Users\Public\winscdvn.exe ()
O3 - HKLM\..\Toolbar: (PHPNukeDE Toolbar) - {c9508125-4747-4733-b048-e4b82dc9716d} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-2172357726-1718783292-1392186010-1002\..\Toolbar\WebBrowser: (PHPNukeDE Toolbar) - {C9508125-4747-4733-B048-E4B82DC9716D} - Reg Error:
Value error. File not found
O4 - HKU\S-1-5-21-2172357726-1718783292-1392186010-1002..\Run: [Windows Firewall Updates] C:\Users\Public\winscdvn.exe ()
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:FA5F15C4
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:DFC5A2B2
:Files
C:\Users\Public\winscdvn.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[start explorer]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

Auf dem Destkop und in anderen Ordnern erschienen Destkop.ini Dateien. War das so gewollt, oder ist das nen schlechtes Omen? Wird es noch eine schwere Geburt?
Bin nun für heute mal weg, muss früh raus! Schonmal Danke bis hierher!

die kann man löschen.

erstelle und poste ein malwarebytes log.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4183

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

09.06.2010 15:37:43
mbam-log-2010-06-09 (15-37-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 336663
Laufzeit: 1 Stunde(n), 18 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

bitte erstelle und poste ein combofix log.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Combofix

öffne arbeitsplatz (mein computer)
c:
dort _otl rechtsklick wähle zu _otl.rar hinzufügen.
lad sie hier hoch.
http://www.trojaner-board.de/54791-a...ner-board.html


wie unter punkt 2
gib bescheid wenn fertig

Ich hab Vista.
Ich soll auf C:\_OTL mit Rechtsklick und dann? Erklär mal bitte etwas genauer.

Edit: Dort ist nur zu _OTL.zip hinzufügen

dort solltest du "zu _otl.rar" hinzufügen auswählen, dann packt er das und du hast eine _otl.rar
und die lädst du, wie in dem link geschrieben, zu uns hoch.

Ok hochgeladen. Hatte keinen Rar Entpacker!

nutze jetzt den ccleaner.
http://www.trojaner-board.de/51464-a...-ccleaner.html

wenn bereinigt, klicke extras, liste der instalierten programme, speichere die als txt ab.
öffnen, nun schreibst du hinter jedes benötigte programm, benötigt, hinter nicht benötigte unnötig und hinter unbekannte, unbekannt.
so sehen wir, was ein update braucht und was wir weg tun können. die liste posten.

Hey,
anbei die Liste.

deinstaliere:
Advanced SystemCare 3
Bonjour
Brain Workshop
DivX-Setup
DVDVideoSoft Toolbar
Eisenbahn.exe
Favorit
FujiFilm iX
FujiFilm iX
GNU Solfege 3.16.0
Google Toolbar verzichte besser drauf, macht den browser n bissel sicherer.
Internet Explorer Developer Toolbar
IObitCom Toolbar
Japanese Fonts Support
alles von java außer version 6 update 20

Picasa 3
Rome - Total War
Shop for HP Supplies
Stronghold
Video Creator
Worms 3D
reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools
um aktuell zu bleiben, nutze secunia.
http://www.trojaner-board.de/83959-secunia-personal-software-inspector-psi.html
endere alle passwörter, dann sind wir fertig

So alles deinstalliert, bis auf Favorit, da öffnet sich diese Start->Ausführen-Konsole.
Ist bei mir nun alles ok?

hast du otm und secunia verwendet? alle passwörter geendert?

Jap ich update jetzt alles.

danach bist dann fertig, ja.

Dann vielen Dank dir und dem kompletten Team! Ihr maacht echt Spitzenarbeit!