Hallo,

ich war leider so doof und hab ne Datei vom Kumpel angeklickt und dann wurd ich aufgefordert mich einzuloggen mit den MSN Daten...ich schlaumeier mach das auch noch und zack, hab ich nen Virus...
nun, hab schon viel gesucht und getan aber nichts passendes gefunden, deßhalb frag ich nun hier...Wie bekomm ich den kack weg?
Mit Hjack This vielleicht? Ich poste mal mein Logfile, vllt fällt jemanden was auf was dort nicht hingehört:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:15, on 29.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Winamp\winamp.exe
C:\GHCSS\702753.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - Sign In
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 5919 bytes

Würde mich über antworten freuen.

MFG Speedy

Hi,

Kennst Du diese Anwendung?
C:\GHCSS\702753.exe
Wenn nein, dann kill sie im Taskmanager und benenne sie nach "weg-702753.exe-weg" um (am besten gleich den ganzen Ordner!).
Sollte in einer Woche kein Programm (probiere halt mal alles nötige aus) diese Datei vermissen lösche sie.
Allerdings weiß ich nicht wie sich das Ding startet, da ich keinen Starteintrag im Logfile finden kann!

Bei dem hier "C:\Programme\Windows Live\Messenger\msnmsgr.exe" bin ich mir nicht sicher:

Zitat:

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\msn messenger\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

Ansonsten gäbe es laut dem Logfile nur eine ganze Menge Tuningmöglichkeiten, aber nichts wirklich bösartiges...

Zitat:

ich war leider so doof und hab ne Datei vom Kumpel angeklickt und dann wurd ich aufgefordert mich einzuloggen mit den MSN Daten...ich schlaumeier mach das auch noch und zack, hab ich nen Virus...

1. So einen Kumpel möchte ich nicht haben!
2. Ändere auf alle Fälle alle Deine Kennwörter, damit nicht jemand Schindluder unter Deinem Namen treiben kann!

Wie äußert sich Dein "Virus" bzw wie kommst Du drauf, daß er Dir wirklich einen untergejubelt hat?

Wie wäre es mal mit MS Patches?
SP3 + einige Einzelpatches sind aktuell und funktionieren! Du bist veraltet...

Grüße derweil
Grunzer

Also erstmal vielen dank.

Mein Kumpel hat mir den Virus ja nicht extra geschickt sondern er hat ihn bekommen wie ich.

Was ich vergessen hatte, was dieser Virus bewirkt. Immer wenn er aktiv wird, logt sich mein msn aus und dann kommt eine Meldung wo steht, dass ich mich auf einen anderen Rechner bei msn eingeloggt habe. In der zeit verschickt sich an alle, die grad online sind einen link.

C:\GHCSS\702753.exe
diese .exe bzw den ordner kann ich nicht löschen, er sagt schreibgeschütz, auch wenn ich den harcken unter rechtsklick->eigenschaften wegnehme. Gibt es noch eine möglichkeit dies zu löschen?

MFG Speedy

PS: Bringt es was wenn ich mein passwort bei msn änder? oder is dem virus das egal?

Zitat:

Bringt es was wenn ich mein passwort bei msn änder? oder is dem virus das egal?

Also wenn er gerade nicht läuft wenn Du das Kennwort änderst, dann sollte er es nicht mitbekommen und sich somit auch nicht mehr in Deinem Namen einloggen können. Aber wenn Du es eingibst, während er läuft, haste den alten Stand wieder...


Mach mal den messenger komplett zu (wenn nötig über den Taskmanager) und hast Du den genannten Prozess im Taskmanager gekillt?
Dann sollte das umzubenennen sein!


Aber ganz ehrlich, wenn man nicht abschätzen kann was so ein Virus so alles macht (und das kann man nicht, wenn man nicht weiß um welchen es sich handelt!), gibt es für mich nur die Option neu zu installieren und zwar mit Formatierung usw!

Du könntest mit Spybot S&D versuchen den zu killen, vielleicht klappt es.

Hier habe ich noch einen Link gefunden, der ganz interessant klingt, allerdings weiß ich nichts dazu, da ich selber msn nicht nutze!
Clean Virus MSN : Gratis-Tool zum Entfernen von MSN-Viren

Grüße derweil
Grunzer

Moin,

ich weiß nicht, ob ihr da nicht auf einer falschen Fährte seid: Bloß weil hijackthis.de meldet, es würde den in "C:\Programme\Windows Live\Messenger\" installierten Messenger eher in "C:\Programme\MSN Messenger\" erwarten, deutet das keineswegs auf ein Problem hin. Der Windows Live Messenger ist halt der Nachfolger des "MSN Messenger" (seit 2006). Wobei paradoxerweise die Datei offenbar weiterhin "MSNMSGR.exe" heißt. Da könnte eher die Log-Analyse veraltet sein.

Grüße,
Thorsten

Danke für die Ergänzung Thorsten, aber der Zusatz mit dem Verzeichnis war nur für die Vollständigkeit. Ich habe nicht erwartet, daß der "falsche Ort" ein Problem ist...
Wenn das anders rüber kommt, dann bin ich froh, daß Du es angemerkt hast!

Das wichtige Thema war "C:\GHCSS\702753.exe", denke ich.
Aber da warte ich ja noch ob er irgendwie weiter gekommen ist

cu

Hallo,

der Virus ist weg ! Das Problem war wohl "C:\GHCSS\702753.exe", seitdem ich den gelöscht habe ist der Virus weg, danke an euch allen.

MFG Speedy