Neuer MSN VIRUS!!!!

[molkoqueen]

habe vor 2 tagen über msn mir n virus eingefangen. und zwar bekam ich von ner freundin ne nachricht darin stand "meine heissen fotos" und dazu eine datei die sich "myalbum2007" nennt.
ich habe diese datei angenommen... und versucht zu öffnen. ging aber nicht. erst ZU spät kam von der freundin das ich es blos nicht annehmen soll da es ein virus ist!!!
paar minuten später schlieeste sich mein MSN von allein. ich loggte mich wieder ein.. und mein msn verschickte die datei an ALL meine online freunde aus meiner liste!!
nachdem MSN sich 5 mal schloss .. löschte ich erstmal den MSN. dann die "myalbum2007" dateí aus meinen empfangenen dateien.. und unter "windows.0" hab ich sie auch noch gefunden und gelöscht.

MSN neu installiert. alles schien wieder ok.
bis gestern abend. plötzlich schloss sich der MSN wieder. ich log mich wieder ein.. und er schickt wieder was an all meine leute ALLERDINGS nur den satz "meine heissen fotos".. das OHNE datei!

msn wieder gelöscht und neu draufgepackt und n virentest durchlaufen lassen. der hat 17 trojaner gefunden und entfernt.
bis jetzt ist nix mehr passiert..

aber wie lange??? und kann es sein das er WIRKLICH weg ist??
was kann ich noch tun um GANZ sicher zu gehen??

hatte wer von euch schonmal das problem??

hier ein link zum fall:

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]

ich hoffe mir kann wer und anderen betroffenen helfen!!

alison

[immorb]

Zitat:

Zitat von molkoqueen

was kann ich noch tun um GANZ sicher zu gehen??

Der Trojaner erstellt in C:\ einen “install”-Ordner, in dem sich eine ghost.exe befindet.
Falls noch vorhanden,diesen Ordner löschen.
Schaue in Windows/= system32 ob sich hier die Datei “sysprinters.dll” befindet wenn ja,auch löschen.
Wenn Windows meckert das die Datei nicht gelöscht werden kann,den PC im "abgesicherten Modus" starten und dann löschen.

Zitat:

Zitat von molkoqueen

und n virentest durchlaufen lassen.

Eventuell noch einen Scan mit Hijackthis machen.==>> netzwelt/tutorial-hijackthislogs-richtig-auswerten

Zitat:

Zitat von molkoqueen

ich habe diese datei angenommen... und versucht zu öffnen.

Auch bei Dateien,die man von Bekannten erhält,sollte man vorsichtig sein und sie erst prüfen.

M.f.G.

[molkoqueen]

Zitat:

Zitat von immorb

Der Trojaner erstellt in C:\ einen “install”-Ordner, in dem sich eine ghost.exe befindet.
Falls noch vorhanden,diesen Ordner löschen.
Schaue in Windows/= system32 ob sich hier die Datei “sysprinters.dll” befindet wenn ja,auch löschen.
Wenn Windows meckert das die Datei nicht gelöscht werden kann,den PC im "abgesicherten Modus" starten und dann löschen.

Eventuell noch einen Scan mit Hijackthis machen.==>> netzwelt/tutorial-hijackthislogs-richtig-auswerten


Auch bei Dateien,die man von Bekannten erhält,sollte man vorsichtig sein und sie erst prüfen.

M.f.G.

als der VIRENTEST durch war.. war unter dien 17 trojanern auch 2 dateien die hiessen "ghost.exe" .. die hat der pc entfernt. sind sie nun ENTGÜLTIG weg?

[immorb]

Zitat:

Zitat von molkoqueen

als der VIRENTEST durch war.. war unter dien 17 trojanern auch 2 dateien die hiessen "ghost.exe" .. die hat der pc entfernt. sind sie nun ENTGÜLTIG weg?

Wie soll ich dir die Frage beantworten?
Ich weiss nicht wie du den Virenscan oder danach die Bereinigung ausführst.

Ob die Datei noch anwesend ist?
1.)Lese mein erstes Posting,(manuelle Suche auf dem PC)
2.)Führe einen erneuten Scan durch.
3.)Scan mit einem anderen Tool (gugge z.B. Hijackthis)

Wichtig ist auch das:

Zitat:

Zitat von Immorb

Schaue in Windows/= system32 ob sich hier die Datei “sysprinters.dll” befindet wenn ja,auch löschen.

In dem Sinne:
Ob die Datei weg ist,kan dir nur dein Virenscanner sagen.

Das Letzte:
Virenscanner erstellen eine Log-File,die kannste auch hier posten wenn du dir nicht sicher bist.
M.f.G.

[angel2_1]

hallo zusammen ich habe sehr warscheinlich den virus kann mir einer helfen das kommische ding wieder los zu werden.

[Exitus]

Zitat:

Zitat von angel2_1

hallo zusammen ich habe sehr warscheinlich den virus kann mir einer helfen das kommische ding wieder los zu werden.

Hallo,

welchen?Falls es der oben erwähnte ist,dann einfach den Ratschlägen,insbesondere von Immorb,folgen.

[angel2_1]

das habe ich getan und bis jetzt geht auch alles wieder aber diese gohstexe habe ich nicht gefunden

[zacard]

Hy Leute ich habe mir den Virus auch eingefangen unter der bezeichnung "du und ich" .... (photoalbum2007) und habe sie dumemrweise auch geöffnet was ich mitlerwiele bereue nun ja ich habe nach lösungen gegoogelt so bin ich auf eure seite gekommen und durch einen Freund in erfahrung gebracht ich kann die datei einfach löschen was ich auch tat. dannach war alles wieder ok aber da ich die datei shcon geöffnet hatte hat sie sich anscheinend in windows eingenistet und nun bin ich mit meinem laien latein am ende und weißnicht wie ich den weg kriegen soll ich habe die oben stehenden tips "ghost.exe und sysprinter.dll" beachtet aber solche dateien fand ichnicht auf meinem rechner .... was kann ich tun um ihn loszuwerden....

er wirkt sichbei mir so aus das er massenhaft mozilla Firefox fenster öffnet und mahct mir das leben mit dem mausklick verdammt hart =) aber auchnur teilweise komischer weiße macht er das nicht immer zum bsp hat er letztens 72 editor dateien geöffnet also habe ich neu gestartet weil nichts mehr ging und dann wars weg aber es kann ja jeder zeit wiederkommen .. ich bitte um hilfe von profis oder jemanden der sich hierbei auskennt

mfG zacard =) danke im voraus

[zacard]

PS: habe auf meinem rechner dateien wie sysprint.sep oder sysprtj.sep gefunden
sind diese dateien auch infiziert oder hängen sie da mit drinnen?

[zacard]

tschuldijung jungs das ich euch heute nacht so zuspamme hab grad avira msg bekommen:

In der Datei 'C:\WINDOWS\system32\msn.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/IRCBot.116736.3' [WORM/IRCBot.116736.3] gefunden.
Ausgeführte Aktion: Datei löschen

hoffe mal das es jetzt klappt aber falls ihr dochnoch einfälle habt um 100% sicher zu sein ich nehme sie gerne an =)

bidde ned sauer sein wegen dem spam hier
die infos für den virus waren auf jedenfall schonmal top

[immorb]

Zitat:

Zitat von zacard

habe auf meinem rechner dateien wie sysprint.sep oder sysprtj.sep gefunden

SYSPRINT.SEP: ist eine PostScript-Kompatibele Trenndatei. Es druckt also eine Trennseite an dem Anfang jedes Dokuments.
sysprtj.sep: Dies ist eine Variante der Datei sysprint.sep mit Unterstützung für japanische Schriftzeichen.

==>> [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]


M.f.G.

[ashique]

ich hab das halt jetzt mit dem AntiVir programm oben gemacht... das dauert bei mir nur paar sekunden bis das alles scant... is das normal?
und ich kapier am ende diesn logfile nich xD.... hab ich jetzt ein virus? udn wirden Viren dann automatisch gelöscht? denn bei mir hab ich den selben virus wie oben von allen beschrieben o_O

logfile:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:35:10, on 08.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\a1\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]
O21 - SSODL: printers - {DE5A63EC-B10B-4F22-96D7-2AC2D5C5862D} - libcintle2.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe

--
End of file - 6262 bytes

[immorb]

Zitat:

Zitat von ashique

ich hab das halt jetzt mit dem AntiVir programm oben gemacht... das dauert bei mir nur paar sekunden bis das alles scant... is das normal?

Was scant das Programm? Einzelne Datei?Ordner? oder Festplatte?

Zitat:

Zitat von ashique

logfile:

Im Prinzip sauber.
Ausser:
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h*tp://ak.exe.imgfarm.com/images/noc...1.0.0.15-3.cab
Die Seite Imgfarm.com wird als "schädlich" angesehen.

Zitat:

Zitat von McAfee siteadvisor

Während unserer Tests haben wir auf dieser Site Downloads gefunden, die einige Personen als Adware, Spyware oder andere unerwünschte Programme ansehen würden.

M.f.G.

[Idhren]

Panik!

Ich hab mir diesen ollen Virus auch eingefangen... Bei mir heißt die Datei "PhotoAlbum2007" und ich kann sie einfach nicht löschen, Windows fängt sofort an, zu stenkern, ich hätte keine Berechtigung dafür. Ich habe mir zwei zusätzliche Virenprogramme (jetzt mit AntiVir, AVG und Norton geprüft) runtergeladen, die die Datei alle nicht als Virus erkennen!
Ich habe msn geschlossen und mich bisher noch nicht wieder angemeldet... Aber msn ist für mich momentan ziemlich wichtig, da will ich ohne irgendwelche Viren sein können...

Was mache ich denn jetzt? Wie gesagt, als Virus wird die Datei nicht erkannt, sie ist schreibgeschützt, der Schreibschutz lässt sich aber nicht entfernen. Ich kann sie nicht löschen...

Kann mir irgendwer bitte helfen? Ich bin nicht besonders gebildet in Sachen Informatik, bitte, wenn ihr mir helft, auf dem geringstmöglichen Niveau in Sachen Informatik-Sprache ><

[Idhren]

Ooooh, ich glaub, er ist so gut wie eleminiert ^^ naja, verzeihung...

[Cicibangbang]

Hallo Ich habe ein ähnliches Problem ...
Gestern hat mir ein Freund eine nachricht geschriben
"omg you naked" und ich hab auf den beistehenden link geklickt ..
dann hat sich was installiert das meine MSN adresse als namen hat ...
Seither schickt der Messenger automatisch an alle meine Kontakte den selben text mit link.. und das alle 5 minuten. Das nervt tierisch ...
Hab schon einige vierenprogramme durchlaufen lassen und MSN neu installiert ...
Hilft alles nix .. er ist hartnäckig ..
Kann mir wer helfen ???

Lg Cici

[immorb]

Zitat:

Zitat von Cicibangbang

Hab schon einige vierenprogramme durchlaufen lassen und MSN neu installiert ...

?? Welche Virenprogramme?
Vermutlich handelt es sich um einen Wurm älterer Bauart,und den sollte ein Virenscanner vernichten können,wenn man richtig den Scan ausführt.
In der Regel starten Würmer einen Process und dann hat ein Scan im laufenden Betrieb wenig Sinn.
Ergo:
Dies>> [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] ausführen,und dann scannen.

Eventuell die Meldung hier posten damit man sehen kann um welchen Virus/Wurm es sich handelt.

M.f.G.

[ichx123]

Hallo ihr!
Ich habe ein Problem und weiß nicht ob es sich um einen typischen MSN-Virus handelt!
Ich habe von einem aus meiner MSN-Kontaktliste eine Nachricht bekommen: "Is that your password? www.******.com/contact.php?email=[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ]"
Ich hab leider draufgeklickt und die Datei heruntergeladen. =(
Die Datei ist eine MS-DOS-Anwendung und lies sich nicht öffnen. Das Syndrom mit an-und wieder abmelden ist zurzeit noch nicht aufgetreten.
Ich habe meinen Computer gleich mit Norton durchlaufen lassen, habe aber nichts gefunden.
Ad-Aware läuft noch.

Falls ihr diesen Virus kennt, bitte helft mir!

Lg

[IchGoogleAlles]

Zitat:

Zitat von ichx123

Die Datei ist eine MS-DOS-Anwendung und lies sich nicht öffnen.

Irrtum! Sie wird als MS-DOS angezeigt, ist aber ein Windowsprogramm/Backdoor/Trojaner. Laut Bitdefender handelt es sich um:

Backdoor.IRCBot.ABGV

Könnte bitte jemand die Adresse unkenntlich machen.

ciao, andreas

[ichx123]

Zitat:

Zitat von IchGoogleAlles

Könnte bitte jemand die Adresse unkenntlich machen.

Tut mir leid, habe ich vergessen...

Kann man diesen Virus irgendwie wieder entfernen oder ist er sehr gefährlich?

lg