Thema: Virus - HILFE ! ! !

Hallo Leute,
mein PC macht komische Anzeichen, ich denke das ich mehrere Viren am PC habe...
Manchmal bekomme ich Links von meinen Freunden in MSN.. Da soll ich mein Passwort angeben und so.
Ich hatte gerade ein Bild offen, das nannte sich DC1256. Die Typen in MSN haben mir dann eine Nachricht gesendet die ca. so aussah:
"link.de HAHAHA DC1256"
2 Leuten haben mir das gesendet.

Wie krieg ich die Viren, bzw. alle Viren am PC weg?
Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:45, on 11.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINXP\Mixer.exe
C:\WINXP\system32\RunDll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
C:\Programme\Siemens\Gigaset USB Adapter 108\OdHost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINXP\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = Internet Explorer 7: Get It Now
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.d ll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c98def52ff5e5c) (gupdate1c98def52ff5e5c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe

--
End of file - 7362 bytes

also laut hijack ist alles i.O. lass mal Antivir durchlaufen und was er findet löschste du, sollte für den anfang erstmal reichen. Wenn du die s gemacht hast machste nochmal einen scan mit Antivir und sagst ob er immernoch was findet oder nicht.


und das mit MSN is übrigens ne alte geschichte das "freunde" dir ein bild schicken

Welche Anzeichen haste denn?
Vllt. ist ja gar nichts sondern einfach nur Einbildung....
Aber wenn du die Dateien noch hast lass sie doch mal bei www.virustotal.com Checken!

Diese Aufforderungen auf einen Link zu klicken sind Versuche einen Virus oder Trojaner auf Deinem System zu installieren.

Zum Virenschutz gehört auch, dass der Benutzer nicht wahllos auf unbekannte Links klickt...oder Bilder+Dateien aus unbekannter Quelle öffnet...

sprinttom

Diese Aufforderungen auf einen Link zu klicken sind Versuche einen Virus oder Trojaner auf Deinem System zu installieren.

Zum Virenschutz gehört auch, dass der Benutzer nicht wahllos auf unbekannte Links klickt...oder Bilder+Dateien aus unbekannter Quelle öffnet...

Hallo,
vielen Dank für die schnellen Antworten. Also wenn der Typ mir bei MSN das Bild sendet, was ich gerade offen habe, heißt dass doch das ICH das Virus auf dem PC habe. Daneben war ein Link vorhanden. Habe zweimal draufgeklickt. Dann kam da ne Seite wo ich meine MSN Daten eingeben sollte.. eMail Adresse und Passwort. Hab ich natürlich nicht gemacht und weggeklickt. Hab auch AntiVir laufen lassen, NICHTS..
lg

kingunderground01

Hallo,
vielen Dank für die schnellen Antworten. Also wenn der Typ mir bei MSN das Bild sendet, was ich gerade offen habe, heißt dass doch das ICH das Virus auf dem PC habe. Daneben war ein Link vorhanden. Habe zweimal draufgeklickt. Dann kam da ne Seite wo ich meine MSN Daten eingeben sollte.. eMail Adresse und Passwort. Hab ich natürlich nicht gemacht und weggeklickt. Hab auch AntiVir laufen lassen, NICHTS..
lg

Hi,

bis auf MyWebSearch ist eigentlich alles sauber .

In diesem Fall würde ich gar schon vermuten, dass sie nur auf deine Daten und nicht auf die Infizierung deines Systems auswahren .
Hast du den noch das Bild?

Um sicherzugehen könntest du aber noch einige Logs posten.
Download und Anleitung sind im Link enthalten....

• Combofix
• Gmer

Nach den Logs folgen gegebenenfalls weitere Anweisungen .

mfg
bLacK_dRaSanG

So Leute,
ich habe heute wieder so ein scheiß Link bei MSN gekriegt...
Das war ungefähr so:
"hotpiczz.com/blablabla=DSC0505 ?!?!?! HAHA "
bei blabla hab ich kein plan.. aufjedenfall ist dieses DSC0505 der name von dem Bild, welches ich bei MSN im Moment habe..

lg

Also .... Diese Links verursachen, dass euer Msn für ein paar Tage nicht mehr geht bzw.
total spinnt wie z.B. brutaales Stocken, man kann nichts mehr machen usw.

Was man dagegen unternehmen kann ?

Wenn man einen Link bekommt wo i.eine E-Mail Adresse, meistens ist das eure oder die von dem wo ihr den Link bekommen habt, oder ein Foto z.B. "hotpiczz.com/blablabla=DSC0505 ?!?!?! HAHA "
Meistens ist der Absender von diesem Link auch infiziert, dass heisst : Wenn man diesen Link anklickt spinnt das Msn und man verschickt automatisch diesen Link an alle deine Kontakte die Online sind oder dich anschreiben wollen, je nach dem was es für ein Link ist.

Fazit : Nie Links anklicken wo ihr nicht sicher seit ob es etwas gefährliches bzw. so ein '' Virus '' .

Ich hoffe ich konnte weiterhelfen. Freundliche Grüsse
p3p0_