MSN Messenger Virus

#0
03.09.2006, 14:29
...neu hier

Beiträge: 1
#1 hallo leudde bin ein chatter...^^ toll nich ? ^^ bis ich von einer freundin mal nen doofen link bekommen hab ... ich glaub sie hat es net mit absicht geschrieben sondern sie wurde auch mit nem virus infiziert wie ich jetzt auch ... der virus schickt einfach einen link weiter der andere leute wiederum infiziert und alle kontakte in der liste den link weitergibt usw usw ^^
hier der link:
http:/photos.ofre.nl/photo3321.PIF

------------>nicht rauf gehen der lädt nen virus runter ^^"<-------------

nachdem ich es runtergeladen hab ohne zu wissen dass es ein virus is
erschien auf meinem windows desktop 2 dateien
sprdu.exe
alfa.exe
die lösche ich immer aber nach ein paar minuten schicke ich automatisch (virus) den link weiter ohne es zu wollen -.-"" und die dateien erscheinen schon wieder auf dem desktop
hier mein logtext von "hijackthis"
bitte helft mir den virus zu löschen ^^

danke leute ...

Logfile of HijackThis v1.99.1
Scan saved at 14:26:02, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WinTools\System Tools\FreeMex v1.6\FREEMEX.EXE
C:\WinTools\System Tools\Daemon Tools v3.47\daemon.exe
C:\WinTools\Internet & Netzwerk Tools\ZoneAlarm v6.1.737.000\zlclient.exe
C:\WinTools\AntiVirus Tools\AntiVir Personal Edition Classic v6.32.00.51\AVGNT.EXE
C:\WinTools\CD-Tools\CDOpen v3.4.4.0\CDOpen v3.4.4.0.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\msnn.exe
C:\WinTools\Sound & Musik Tools\WinAmp v5.12\winamp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WinTools\System Tools\Total Commander v6.51\TotalCmd.exe
C:\DOKUME~1\THANH-~1\LOKALE~1\Temp\_tc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\WinTools\System Tools\SpyBot Search & Destroy v1.4\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [CHZ FreeMeX] c:\WinTools\System Tools\FreeMex v1.6\FREEMEX.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\WinTools\System Tools\Daemon Tools v3.47\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [SiSUSBRG] C:\Windows\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] C:\WinTools\Internet & Netzwerk Tools\ZoneAlarm v6.1.737.000\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\WinTools\AntiVirus Tools\AntiVir Personal Edition Classic v6.32.00.51\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CDOpen] c:\WinTools\CD-Tools\CDOpen v3.4.4.0\CDOpen v3.4.4.0.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WinTools\System Tools\Java 2 RunTime Environment v1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WinTools\System Tools\Java 2 RunTime Environment v1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Tran
O17 - HKLM\Software\..\Telephony: DomainName = Tran
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6076C4-8445-4CCF-89DF-1963D8A60C88}: NameServer = 217.237.150.141,217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Tran
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Tran
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\WinTools\AntiVirus Tools\AntiVir Personal Edition Classic v6.32.00.51\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\WinTools\AntiVirus Tools\AntiVir Personal Edition Classic v6.32.00.51\AVWUPSRV.EXE
O23 - Service: HamachiService - Unknown owner - C:\WinTools\Internet & Netzwerk Tools\Hamachi v0.9.9.9\SrvAny.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\System32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
03.09.2006, 20:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
poste das log
http://virus-protect.org/artikel/tools/combofix.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 14:59
...neu hier

Beiträge: 1
#3 Also ich hab dasselbe Problem mir alfa.exe und sprdu.exe...
hab die Anleitung hier befolgt, das kam raus.
##################################################

Meine Logs von http://virus-protect.org/datfindbat.html

##################################################

Verzeichnis von C:\WINDOWS\system32

05.09.2006 14:45 39.291 nvapps.xml
01.09.2006 11:57 2.206 wpa.dbl
22.08.2006 18:53 34.064 lhacm.acm
22.08.2006 14:15 8.891 jupdate-1.5.0_08-b03.log
17.08.2006 19:16 20.480 H@tKeysH@@k.DLL
10.08.2006 21:50 39.992 perfc009.dat
10.08.2006 21:50 316.594 perfh007.dat
10.08.2006 21:50 311.604 perfh009.dat
10.08.2006 21:50 48.156 perfc007.dat
10.08.2006 21:50 723.744 PerfStringBackup.INI
29.07.2006 19:32 48.936 sirenacm.dll
28.07.2006 09:30 236.824 xactengine2_3.dll
28.07.2006 09:30 62.744 xinput1_2.dll
26.07.2006 03:03 127.078 javaws.exe
26.07.2006 03:03 49.265 jpicpl32.cpl
26.07.2006 01:26 53.346 javaw.exe
26.07.2006 01:25 49.248 java.exe
20.07.2006 13:40 5.024 stdole3.tlb
17.06.2006 13:51 57.384 avsda.dll
08.06.2006 13:11 4.286 ts.ico
08.06.2006 13:11 4.286 ot.ico
01.06.2006 21:06 31.232 cmdow.exe
31.05.2006 13:23 212.080 FNTCACHE.DAT
31.05.2006 07:24 230.168 xactengine2_2.dll
22.05.2006 13:57 286.208 cncs232.dll
21.05.2006 16:15 237.568 lame_enc.dll
21.05.2006 16:15 522.752 NCTAudioTransform2.dll
21.05.2006 16:15 467.968 NCTAudioRecord2.dll
21.05.2006 16:15 467.456 NCTAudioPlayer2.dll
21.05.2006 16:15 966.144 NCTAudioInformation2.dll
21.05.2006 16:15 877.568 NCTAudioFile2.dll
21.05.2006 16:15 634.880 NCTAudioEditor2.dll

##################################################

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

05.09.2006 14:50 173 jusched.log
05.09.2006 14:47 240 datFind.zip
05.09.2006 14:45 512 ~DFDF7.tmp
05.09.2006 14:45 163.840 ~DFDE3.tmp
05.09.2006 14:45 163.840 ~DFBDE9.tmp
05.09.2006 14:45 512 ~DFC973.tmp
05.09.2006 14:44 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}7187.html
05.09.2006 14:33 16.384 ~DF5AF3.tmp
05.09.2006 14:33 16.384 ~DF5284.tmp
9 Datei(en) 362.868 Bytes
0 Verzeichnis(se), 1.302.568.960 Bytes frei

##################################################

Verzeichnis von C:\WINDOWS

05.09.2006 14:54 2.039 wincmd.ini
05.09.2006 14:32 0 0.log
05.09.2006 14:32 157 wiadebug.log
05.09.2006 14:32 0 wiaservc.log
05.09.2006 14:32 2.048 bootstat.dat
05.09.2006 09:14 1.786.874 setupapi.log
04.09.2006 23:51 229 NeroDigital.ini
04.09.2006 23:48 155 winamp.ini
04.09.2006 21:49 173.173 setupact.log
03.09.2006 23:24 317.561 DirectX.log
01.09.2006 00:27 713 Ulead32.ini
01.09.2006 00:19 771 wcx_ftp.ini
31.08.2006 00:06 54.156 QTFont.qfn
31.08.2006 00:06 1.409 QTFont.for
28.08.2006 00:19 650 win.ini
23.08.2006 20:27 396 nsw.log
23.08.2006 20:00 60.416 ALCFDRTM.VER
23.08.2006 14:12 227 system.ini
22.08.2006 17:12 65.536 IFinst27.exe
16.08.2006 16:01 34 cdplayer.ini
10.08.2006 22:02 701 GatorUninstaller.log
07.08.2006 18:04 39 magix.ini
07.08.2006 16:35 11.634 ModemLog_Sony Ericsson 750 USB WMC Modem.txt
07.08.2006 16:32 0 mngui.INI
07.08.2006 16:00 249 KB282010.log
07.08.2006 15:41 61.442 Windows Update.log
30.07.2006 18:28 376 ODBC.INI
30.07.2006 17:52 1.174 OEWABLog.txt
30.07.2006 17:52 54.801 wmsetup.log
15.07.2006 10:31 2.571 GatorPatch.log
08.07.2006 13:38 1.159 goldwave.ini
27.06.2006 17:27 460.800 snap.dat
21.06.2006 12:46 23.036 cFosSpeed_Setup_Log.txt
22.05.2006 13:57 1.003.465 Acount maker.exe
22.05.2006 13:57 100 hamusettings32.ini
16.05.2006 19:34 60.416 ALCFDRTM.EXE
16.05.2006 17:05 4.096 d3dx.dat
09.05.2006 17:26 4.032 mozver.dat

##################################################

Verzeichnis von C:\

05.09.2006 14:55 0 sys.txt
05.09.2006 14:55 8.509 system.txt
05.09.2006 14:54 733 systemtemp.txt
05.09.2006 14:54 100.562 system32.txt
05.09.2006 14:48 1.695 c.txt
05.09.2006 14:48 8.509 windows.txt
05.09.2006 14:48 684 temp.txt
05.09.2006 14:32 1.409.286.144 pagefile.sys
27.08.2006 20:27 86.320 debug.log
23.08.2006 14:12 194 boot.ini
01.08.2006 13:15 268 sqmdata05.sqm
01.08.2006 13:15 244 sqmnoopt05.sqm
01.08.2006 02:09 268 sqmdata04.sqm
01.08.2006 02:09 244 sqmnoopt04.sqm
01.08.2006 00:47 244 sqmnoopt03.sqm
01.08.2006 00:47 268 sqmdata03.sqm
31.07.2006 13:14 244 sqmnoopt02.sqm
31.07.2006 13:14 268 sqmdata02.sqm
30.07.2006 19:55 244 sqmnoopt01.sqm
30.07.2006 19:55 268 sqmdata01.sqm
30.07.2006 18:38 244 sqmnoopt00.sqm
30.07.2006 18:38 268 sqmdata00.sqm
26.05.2006 16:07 1.091 INSTALL.LOG
21.03.2006 18:12 0 MSDOS.SYS
21.03.2006 18:12 0 IO.SYS
21.03.2006 18:12 0 AUTOEXEC.BAT
21.03.2006 18:12 0 CONFIG.SYS
21.03.2003 06:22 47.580 NTDETECT.COM
21.03.2003 06:22 235.296 ntldr
21.03.2003 06:21 4.952 bootfont.bin
24.05.2001 12:59 162.304 UNWISE.EXE

##################################################
\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\
##################################################
\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\


Mein Log von http://virus-protect.org/bat/echo.zip

##################################################

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 19:52 697 DirectAnimation Java Classes.osd
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
2 Datei(en) 1.859 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 1.859 Bytes
0 Verzeichnis(se), 1.302.568.960 Bytes frei

#############
#############
#############

und achja, @HydraLam.

haste dein logfile von hijackthis mal auswerten lassen? (http://www.hijackthis.de)
hab das mal gemacht, nix genau böses erkannt.
aber ich würde die ganze yahoo-scheiße im browser fixen, nimmt nur speed...

MFG sTEVE
__________
Die Realität, ist DIE Illusion, die aus Mangel an Alkohol entsteht.
Dieser Beitrag wurde am 05.09.2006 um 15:04 Uhr von sTEVE-hO editiert.
Seitenanfang Seitenende
05.09.2006, 15:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Information:photo3321[1].PIF
http://virus-protect.org/artikel/spyware/msn_girl7232.html

----------------------------------------------------------------
1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\GatorUninstaller.log
C:\WINDOWS\GatorPatch.log
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
smitfraudfix anwenden (option 1 und 2 ) -poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

3.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

4.
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: