Icq Virus

GayFish

Hallo
habe ein problem. ich bin im icq gewesen dann hat mir eine guten freundin:

"schau mal das foto an __________________LINK___________________

geschrieben ich habe mir nix dabei gedacht bin auf den link habe eine Bildschirmschoner.scr also eine Bildschirmschoner datei runtergeladen habe sie dann direkt im opera im Download bereich geöffnet und plotzlich habe ich meine maus nicht mehr bewegen können und nix mehr schreiben können ich habe einfach STRG + ALT + ENTF gedrückt dann gings wieder aber der virus hat dan genau die nachricht die ich von ner freundin erhalten habe in meiner schrift an alle meine kontakte gesendet das konnte ich auch mit STRG + ALT + ENTF abbrechen bin dan erst mal in den ordner gegangen wo die datei lag (auf einer Externen Festplatte) habe sie mir angeguckt und da kam sie mir schon komisch vor weil sie ein JPG symbol hatte (ziehmlich verpixelt) und sie Bildschirmschoner.JPG.scr hieß.
Diese datei habe ich natürlich direkt gelöscht dann habe ich erstmal ein paar leuten wo ich mir sicher war das sie diese nachricht auch erhalten haben gesagt dies nicht zu öffnen und habe als zweites meine externen Festplatten entfernt (ich hatte angst dateien zu verlieren) und habe mit Avira antivir meinen PC auf viren untersucht nachdem antivir nix gefunden hatte aber trozdem noch nachricht an meine kontaktliste verschikt worden sind (übrigens passiert das immer noch) habe ich ich mal im internet nachgeforscht aber nix passendes gefunden
wäre toll wenn ihr mir helfen könntet danke
mfg GayFish

ach ja habe windows XP und Ubuntu 9.10 laufen weisnicht ob das weiterhilft

xLina

Und auf so einen alten Tick fällst du rein?
Allerdings würde ich sagen , das deine Freundin sich etwas sehr Übles eingefangen hat und es Dir ohne ihr Wissen weitergeschickt hat...
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] laden , die .exe in ABC.exe oder 123.exe unbennen und dann erst ausführen. "Do a sytem scan and save a logfile" auswählen , Programm durchlaufen lassen. Danach sollte sich der Editor öffnen. Den Inhalt hier posten

Edit: Und nehm sofort den Link raus!

pizzaM4N

versuch mal eine Systemwiederherstellung, das soll scheinbar helfen

GayFish

oke vielen dank
für mich war des kein alter trick des war das erste mal das ich damit erfahrung gemacht habe bzw überhaupt davon gehört habe

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:17, on 16.04.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Intel Audio Studio\IntelAudioStudio.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Dokumente und Einstellungen\Louis\Anwendungsdaten\dlll.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.61 V.1.10\WlanCU.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\Lceseb.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Wave Systems Corp\Common\DataServer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\AMT\LMS.exe
C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v1.05\bin\tcsd_win32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\Programme\ICQ7.0\ICQ.exe
C:\DOKUME~1\Louis\LOKALE~1\Temp\Ljg.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Programme\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows System Guard] C:\Dokumente und Einstellungen\Louis\Anwendungsdaten\dlll.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\Louis\LOKALE~1\Temp\Ljg.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Wireless Configuration Utility HW.61.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless CardBus & PCI Adapter HW.61 V.1.10\WlanCU.exe
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: DataSvr - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Common\DataServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: NTRU Hybrid TSS v1.05 TCSD (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU Hybrid TSS v1.05\bin\tcsd_win32.exe

--
End of file - 5097 bytes

pizzaM4N

wenn man nach dem Problem googelt findet man schnell, das eine Datei des Virusses die dlll.exe ist.
Wie gesagt, die Systemwiederherstellung entfernt den Virus scheinbar, in dem es Gewisse Komponenten auf einen früheren Zeitraum zurücksetzt.

GayFish

oke das probier ich mal vielen dank für eure hilfe

xLina

Stopp! Manche Viren verschwinden nicht einfach über eine simple Systemwiederherstellung. Ich will dein Logfile erstmal untersuchen. Also Finger weg von der Systemwiederherstellung!

Und ein Virus kann sich verdoppeln , verdreifachen...Vielleicht haben sie eine Wirtsdatei , aber sie können sich unter verschiedenen .exe kopieren.

Neue Anweisung für GayFish:
Folgende Dateien nach und nach bei virustotal.com hochladen und alle Ergebnisse posten:
C:\WINDOWS\Lceseb.exe
C:\DOKUME~1\Louis\LOKALE~1\Temp\Ljg.exe

Danach HiJackThis öffnen , "Do a system scan only" wählen und folgenden Eintrag suchen:

R3 - URLSearchHook: (no name) - - (no file)

Vor diesen bitte ein Häkchen setzen und im Menü "Fix checked" wählen.

GayFish

oke mach ich danke

die datei
C:\WINDOWS\Lceseb.exe
ist nicht forhanden deshalb konnte ich sie nicht hochladen

ergebnis für datei C:\DOKUME~1\Louis\LOKALE~1\Temp\Ljg.exe :


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.16 -
AhnLab-V3 5.0.0.2 2010.04.16 Win-Trojan/Mdjob.169472.B
AntiVir 7.10.6.114 2010.04.16 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 W32/FakeAlert.FT.gen!Eldorado
Avast 4.8.1351.0 2010.04.16 -
Avast5 5.0.332.0 2010.04.16 -
AVG 9.0.0.787 2010.04.16 SHeur3.RPE
BitDefender 7.2 2010.04.16 -
CAT-QuickHeal 10.00 2010.04.16 -
ClamAV 0.96.0.3-git 2010.04.16 -
Comodo 4614 2010.04.16 -
DrWeb 5.0.2.03300 2010.04.16 Trojan.Fakealert.14848
eSafe 7.0.17.0 2010.04.15 -
eTrust-Vet 35.2.7429 2010.04.16 -
F-Prot 4.5.1.85 2010.04.16 W32/FakeAlert.FT.gen!Eldorado
F-Secure 9.0.15370.0 2010.04.16 Trojan-Downloader:W32/Renos.gen!C
Fortinet 4.0.14.0 2010.04.16 -
GData 19 2010.04.16 -
Ikarus T3.1.1.80.0 2010.04.16 -
Jiangmin 13.0.900 2010.04.16 -
Kaspersky 7.0.0.125 2010.04.16 -
McAfee 5.400.0.1158 2010.04.16 -
McAfee-GW-Edition 6.8.5 2010.04.16 Trojan.Crypt.XPACK.Gen
Microsoft 1.5605 2010.04.16 -
NOD32 5033 2010.04.16 a variant of Win32/Kryptik.DSS
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-16.01 2010.04.16 -
Panda 10.0.2.7 2010.04.15 Suspicious file
PCTools 7.0.3.5 2010.04.16 -
Prevx 3.0 2010.04.16 High Risk Cloaked Malware
Rising 22.43.04.04 2010.04.16 -
Sophos 4.52.0 2010.04.16 Sus/UnkPack-C
Sunbelt 6183 2010.04.16 -
Symantec 20091.2.0.41 2010.04.16 -
TheHacker 6.5.2.0.262 2010.04.15 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.16.2280 2010.04.16 -
VirusBuster 5.0.27.0 2010.04.16 Trojan.Codecpack.Gen.4

jtothea

Gibt es schon was neues???? Hab diesen blöden Virus auch. Habe jetzt schon zum 5 Spybot laufen lassen, der zeigt mir folgende Meldungen: DNSFlush.cws, MediaPlex, Right Media Win32Agent.ieu

Des weiteren versendet ICQ automatisch an alle Personen in meiner Kontaktliste diese Nachricht.

Ich hatte schon so lange keine Probleme mehr ;( UND ICH WILL NICHT FORMATIEREN!!

Ich hoffe das jemand eien Lösung findet.

xLina

Entschuldigung , war über's Wochenende viel beschäftigt

Bitte mal mit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] scannen.
Logfile posten.

Da fehlt noch die C:\WINDOWS\Lceseb.exe!

@jtothea: Mach bitte einen eigenen Thread auf , sonst wird es für mich zu unübersichtlich.

gosha16

C:\DOKUME~1\Louis\LOKALE~1\Temp\Ljg.exe

ist der virus. Im Temp verzeichnis liegen auch noch mehr Dateien die vom namen her ähnlich aufgebaut sind. Am besten alles löschen.

Bei nem Kumpel hieß die Datei "Vqm.exe"


aber mal ehrlich... wer so bescheuert ist und eine ausführbare datei runterläd und das für nen bild hält ist selber schuld! Somal z.B. Firefox beim download auch noch anzeigt das es eine Ausführbare Datei ist!

Samy1994

Genau das ist mir vor ein paar Tagen auch passiert. Allerdings war mein Eset schneller als der Virus

sk8ordie

Schlimm wie viele Leute so n Zombie bei sich daheim aufm Schreibtisch haben und den noch mit Strom versorgen.

Hatte ähnliches Problem:
Der PC von meiner noobishen Freundin war heut auch verseucht. Ebenfalls vom Kollesch via ICQ ein Downloadlink bekommen und dann; wegen harter Inkompetenz; auch noch alle Anfragen von jeglicher Schadware("1058.exe"), aufs Internet zugreifen zu können, erlaubt.
lol

Avira Antivir ist beim scannen abgekackt, bzw. hat nix gefunden, hingegen das daraufhin neu installierte AVG über 10Trojaner gefunden hatte. Danach musste ich Antivir leider deinstallieren.
Ich mein der Virus hiess in dem Fall uqs.exe und hatte noch andere gleichartige Geschwister. So drei Buchstaben.exe

__________________

xLina

Ich weiß , das es sich hierbei um das Virus handelt.
Aber ich will den Virus mit Namen haben!
Und einfach löschen bringt nichts.



1) War es ICQ.
2) Hast du schon recht , man sollte immer bei Freunden nachfragen , wenn sie Dateien schicken.

xLina

Ich warte immer noch auf das MAM-Log.

dasdan

(is mein erster beitrag... ich hoffe ich mach keine "fehler") moin ich kenn das problem ich hab insgesamt von drei fällen gehört... nur kaspersky blockt den link sofort und 1. stürzt der PC ab, 2. verschickt sich der link alle 5min "selber" an alle in eurer kontaktliste.
ich hab hjackthis un so mal probiert aber nix in der datei entdecken können -.- ich kenn mich da auch nich ganz so gut aus ich persönlich hab mir den virus nich eingefangen (hab kaspersky cbe für win7, obwohl ich eig von solchen programmen überhaupt nix halte

al1ty

Zufällig habe ich das gerade entdeckt....
Sogar Chip schreibt über den "Wurm"!

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

__________________

xLina

Gut , ich nehme an GayFish meldet sich nicht mehr.
Leute , macht einen eigenen Thread auf.
Ich kann ja schlecht in euer Gehirn gucken.
Damit ist dieser Fall wohl beendet.

al1ty:
Ja , aber die Masche gibt es schon seit Jahren. Außerdem sollte man seine Brain.exe erstmal einschalten , bevor man munter auf irgendwelche Links klickt.

al1ty

Klar ich sag ja nicht das man dies lassen soll...^^
aber (ihrwerdet es kaum glauben) Leute die sich erst seit neustem mit dem ganzen internet an sich beschäftigen, die sehen dann nur oh da schickt mir ein "bekannter" ein Foto von der letzten Party...
und schon haben se den Salat^^

__________________

xLina

Man kann trotzdem nachfragen.
Denn eigentlich müsste es im Gehrin doch schon "Klick" machen , wenn man so etwas liest: Schaut dir das Foto unbedingt an , Dieses Foto ist der Wahnsinn...Und ganz ehrlich , würden deine Freunde ein Foto so vergöttern ?(;

GayFish

sorry war unterwegs hätte vorher bescheid sagen sollen ich habe den virus runter bekommen indem ich C:\DOKUME~1\Louis\LOKALE~1\Temp\Ljg.exe und die weiteren mit namen wie hjg.exe und fjg.exe gelöscht habe es waren c.a. 20 dateien alle hatten einfach nur einen anderen anfangsbuchstaben danke für deine hilfe xlina und auch danke an alle anderen
mfg GayFish

BuFu33

Habe auch den ICQ Virus abbekommen. Leider finden sich in meinem "Temp" Ordner nicht die Dateien. Hat jemand noch andere Lösungsvorschläge? =S

__________________

Jambold

Platt machen und neu installieren ist die einzig sichere Lösung. Auch GayFish kann sich nicht sicher sein, dass sein System jetzt wirklich sauber ist.

p@rad0x

kann nur bestätigen was Jambold geschrieben hat, es gibt mittlerweile über ne halbe million viren, die meisten sind ziemlich heimtückisch, die überleben ein einfaches "löschen" mit antivir und co problemlos.
Die einzig sichere variante solche Dinger loszuwerden, ist das System komplett neu aufzusetzen. Anders geht nunmal nicht, muss man leider damit leben.
MfG

julesw86

Leute, finde das ne frechheit dass mein Beitrag @BuFU33 ohne Kommentar gelöscht wurde.

Natürlich kann man Viren auf andere Art los werden als durch format C:\
Wozu sollte es sonst Antivirenforen wie TrojanerBoard oder HJT-Forum geben??

@p@rad0x:
Wer hat gesagt, dass Viren durch einen einzelnen Scan mit Antivir komplett weg sind??
ALlerdings sind sie sehr wohl zu entfernen über extra dafür entwickelte Scanner (MAM, OTL, GMER, Sophos AR, Rootrepeal, etc.)