Home » Viren, Trojaner & Malware Forum » Virus per MSN eingefangen myalbum2007.zip » Themenansicht

Virus per MSN eingefangen myalbum2007.zip
#0
02.07.2007, 12:45
kornhulio
...neu hier

Beiträge: 1
#1 wie ich sehe bin ich wohl nicht der einzige hier mit dem problem, der übersichtlichkeit halber dachte ich starte leiber einen neuen thread.
also habe gestern auch eine datei per msn geschickt bekommen und geöffnet, handelte sich um eine .scr file.
seitdem verschickt er die datei weiter sobald ich mich bei msn anmelde.
hab msn jetzt gelöscht und hab die erforderlichen log files erstellt.
ich vermute ja mal das die datei sysprinters.dll der überltäter ist. würde aber gerne professionellen rat hören wie ich weiter vorgehen sollte.
vielen dank im voraus.

-------------ComboFix--------------------------

"siewert" - 2007-07-02 12:16:43 - ComboFix 07-06-27.7 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\siewert\Desktop\internet.lnk


((((((((((((((((((((((((( Files Created from 2007-06-02 to 2007-07-02 )))))))))))))))))))))))))))))))


2007-07-02 12:16 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-02 11:43 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-07-02 11:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-02 00:26 1,085,518 --a------ C:\DOKUME~1\siewert\iutyeo.exe
2007-07-01 23:12 682,160 --a------ C:\DOKUME~1\siewert\dgdxvb.exe
2007-07-01 22:55 564,548 --a------ C:\DOKUME~1\siewert\rbyqzs.exe
2007-07-01 22:07 1,085,518 --a------ C:\DOKUME~1\siewert\wmksyo.exe
2007-07-01 21:02 <DIR> d-------- C:\Programme\MSN Messenger
2007-07-01 21:00 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-07-01 19:42 24,040 --a------ C:\WINDOWS\system32\sysprinters.dll
2007-06-23 17:13 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-06-23 17:12 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-06-23 17:12 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-06-23 17:12 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-06-23 17:12 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-06-23 17:12 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-06-23 17:12 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-06-23 17:12 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2007-06-23 17:05 310,272 --a------ C:\WINDOWS\system32\winhttp.dll
2007-06-16 13:31 86,016 --a------ C:\WINDOWS\unvise32.exe
2007-06-16 12:58 <DIR> d-------- C:\ElDorado
2007-06-16 12:05 <DIR> d-------- C:\WINDOWS\uninstall
2007-06-04 15:18 9,344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6,272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-02 10:07:42 -------- d-----w C:\DOKUME~1\siewert\ANWEND~1\Skype
2007-06-23 15:12:14 -------- d--h--w C:\Programme\WindowsUpdate
2007-05-29 13:12:40 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-29 13:12:24 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-05-05 16:08:06 -------- d-----w C:\Programme\Rondomedia
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-14 09:40:09 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-04-08 20:59:01 31,360 ----a-w C:\WINDOWS\DIIUnin.dat
2007-04-08 20:57:06 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-04-08 20:57:06 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-04-08 20:57:06 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-04-04 18:33:30 2,829 ----a-w C:\WINDOWS\DIIUnin.pif
2007-04-04 18:33:30 102,400 ----a-w C:\WINDOWS\DIIUnin.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670}=C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 10:28]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=D:\Programme\ICQToolbar\tbu41\toolbaru.dll [2006-12-17 16:57]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 03:23]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-14 12:14]
"@"="" []
"Sony Ericsson PC Suite"="D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 18:17]
"Adobe Photo Downloader"="D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2006-10-25 19:58]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"RemoteControl"="D:\Programme\power dvd\PDVDServ.exe" [2007-01-08 23:26]
"LanguageShortcut"="D:\Programme\power dvd\Language\Language.exe" [2007-01-08 23:17]
"ICQ Lite"="D:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2006-01-24 20:23]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-30 13:34]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=D:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{3D77970F-368A-4943-A15C-3453651EA50E}"="sysprinters.dll" []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

*Newly Created Service* - AAWSERVICE

HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
rundll32 iesetup.dll,IEAccessUserInst

Contents of the 'Scheduled Tasks' folder
2007-06-26 16:38:01 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-02-28 18:01:07 C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1153135528.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 12:18:44
Windows 5.1.2600 NTFS

scanning hidden processes ...

cmd.exe [3252]


scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-02 12:19:23
C:\ComboFix-quarantined-files.txt ... 2007-07-02 12:19

--- E O F ---


---------------------hijack-------------------------

Logfile of HijackThis v1.99.1
Scan saved at 12:25:39, on 02.07.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\power dvd\PDVDServ.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Cyberlink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
D:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\jre1.5.0_11\bin\jucheck.exe
D:\PROGRA~1\FIREFOX\FIREFOX.EXE
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
d:\Programme\WinRAR\WinRAR.exe
E:\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rtl.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\tbu41\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\Programme\ICQToolbar\tbu41\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\tbu41\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\power dvd\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "D:\Programme\power dvd\Language\Language.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: system32 - {3D77970F-368A-4943-A15C-3453651EA50E} - sysprinters.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared Files\RichVideo.exe

------------------------datfind--------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50BA-739F

Verzeichnis von C:\WINDOWS\system32

01.07.2007 19:42 24.040 sysprinters.dll
01.07.2007 11:05 2.184 wpa.dbl
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:44 34.136 wucltui.dll.mui
14.04.2007 11:40 43.520 CmdLineExt03.dll
13.04.2007 15:19 7.680 lsdelete.exe
08.04.2007 22:57 21.840 SIntfNT.dll
08.04.2007 22:57 17.212 SIntf32.dll
08.04.2007 22:57 12.067 SIntf16.dll
08.04.2007 22:54 34.064 lhacm.acm
02.04.2007 14:21 428.032 swreg.exe

1856 Datei(en) 309.472.670 Bytes
0 Verzeichnis(se), 1.148.784.640 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50BA-739F

Verzeichnis von C:\DOKUME~1\siewert\LOKALE~1\Temp

02.07.2007 12:26 90.679 datfind.txt
02.07.2007 12:24 16.384 ~DF8AD8.tmp
02.07.2007 12:22 16.384 Perflib_Perfdata_e60.dat
02.07.2007 12:19 6.592 log.txt
02.07.2007 11:08 16.384 ~DFC534.tmp
02.07.2007 11:07 512 ~DF44C6.tmp
02.07.2007 11:07 16.384 ~DF4452.tmp
7 Datei(en) 163.319 Bytes
0 Verzeichnis(se), 1.148.821.504 Bytes frei
.
Seitenanfang Seitenende
02.07.2007, 13:21
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Benenne C:\WINDOWS\system32\sysprinters.dll um nach sysprinter_vir.dll

Entferne MSN via Software

Ich vermisse noch Daten von DatFindbat !
__________
MfG Argus
Seitenanfang Seitenende
02.07.2007, 13:43
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 Wo ist denn dein up-to-date Virenscanner?;)
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1