Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   icq wurm (https://www.trojaner-board.de/38400-icq-wurm.html)

gruntig 27.04.2007 13:07
icq wurm
 
Hallo!
Diesmal geht es nicth um ein Problem auf meinem Pc, sonder um den von meinem Freund. Er hat sich wohl irgend so einen Icq Wurm eingefangen, der immer Links zu irgendwelchen schädlichen Websites an Leute aus seiner Kontaktliste verschickt. Hier der Hjt Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:03:57, on 27.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\wndtray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\sccsd32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\sccsd32.exe
O4 - HKLM\..\Run: [ifcdiag] C:\WINDOWS\System32\ifcconf.exe
O4 - HKLM\..\Run: [wndtray.exe] C:\WINDOWS\wndtray.exe s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: msjidpmo.dll confifc.dll ifcstat.dll e1.dll diagisr.dll
O20 - Winlogon Notify: dbgmgr - C:\WINDOWS\SYSTEM32\ifcmgr32.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\System32\msssmsda.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



hilfe pls :bussi:

Mobius07 27.04.2007 14:18
Ich tippe mal auf den hier : Warezov/Stration
Aber selber Schuld, ist nicht mal SP2 auf dem Rechner druff! Keine Sicherheit, solltest unbedingt den Rechner auf das neuste Update bringen !!!!

ICQ und SKYPE sind die Hauptwege diese Wurms. Eine Möglichkeit zur Entfernung währe diese Seite :
h**p://www.viry.cz/ :
(Der Wurm ist in vorher schon in Tschechien erschienen.) Könntest dann mit Stration-Remover säubern, wobei Du vorher musst Du alle Deine Antivirenprogramme anhalten musst.

Folgende Registry-Einträge müssten vorhanden sein:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "serv"="%Windir%\serv.exe s"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wupstlnt.dll e1.dll"

Sofern es der Wurm ist, würde ich aber neu aufsetzen weil der Wurm
schädliche Dateien herunter laden und erstellen kann, über eine e-mail Engine verfügt und Informationen stiehlt, und weiss was noch.

gruntig 27.04.2007 15:28
Tja das hab ich ihm auch schon öfter gesagt, aber es ist ihm egal gewesen....
Er musste auch schonmal wegen nem Virus neuinstallieren, hatte zwar nen Anti-Virus Programm drauf, das hat aber nix gebracht, also hat er neuinstalliert und dann keins drauf getan "weil es ja eh nix bringt". Werde ihm die "frohe" Botschaft überbringen, dann hat er einiges zu tun mit Daten sichern, weil sein Vater Fotograph ist :teufel3: .

Für das nächste Mal weiß er es besser.


thx ;)

Mobius07 27.04.2007 21:09
Seh ich jetzt erst: Watt hab ich für`n Deutsch?
Ist ja gruselig!
Sorry, ich tipp hier im Forum immer nur nebenher, möcht ja nur helfen.
Kann mir jemand nen HJ erstellen?
:lach:

gruntig 28.04.2007 10:39
Ach ist doch kein Problem, ist ja nur ein Forum :lach: . Solange man so halbwegs entziffern kann, was du willst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:16 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129