Facebook Virus

Breit · 16.08.11, 15:41

Hallo,
also folgendes: Heute hab ich im FB-Chat eine Nachricht bekommen: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] bist du das?? hhhahahhhahhhahaahahhhaaaahhh (ich hab bei dem link die letzten 3zahlen entfernt) , und da ich dachte dass ein bild von mir im netz ist, das ich nicht kenne hab ich draufgeklickt. So naiv wie ich war, hab ich die datei auf meinem pc gespeichert. Ich hab schon ca 9mal versucht mit antivir die datei von meinem pc zu löschen, was natürlich nicht funktionierte -.- . Immer wenn ich meinen pc einschalte kommt ein Setup mit dem namen : setup19423956 wenn ich dann auf nein klicke (also nicht installieren) dann kommt wieder ein setup mit dem namen : setup57020762 ........und so geht das immer weiter wobei sich immer die zahl hinter dem setup ändert.
Und was ist jetzt mit meinem facebook account los? reicht es wenn ich nur dass passwort ändere?
Ich hoffe ihr könnt mir helfen, sodass ich diese datei entfernen kann

. Danke schonmal im vorraus.

Osiris1983 · 16.08.11, 15:56

Edit: vergiss den Beitrag von vorhin, habe übersehen, dass du die letzten drei Zahlen entfernt hast.

Du kannst als erstes mal folgendes Probieren:

Vorbereitung: Lade dir [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] runter

PC neustarten und dabei F8 drücken
starte dein PC im abgesicherten Modus
Aktiviere AntiVir aus dem Programme Ordner und scan die Datei bzw. gleich deine Festplatte.
Falls du weißt wo sich die Datei versteckt kannst du sie auch manuell löschen (scannen solltest du trotzdem).
Überprüfe dein Autostartordner ob da eine Verknüpfung ist.
Mach ein Scan mit Malwarebytes
Starte HijackThis, mache ein Scan mit log File und poste den Inhalt des logfiles hier (im Spoiler). Alternativ kannst du dein logfile auch hier auswerten lassen [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].

Edit: Wäre übrigens schön zu hören, ob es geklappt hat.

Breit · 17.08.11, 10:38

problem erledigt. Ich hab meine festplatte nochmal durchgeschtaut und dann den virus gefunden. Warscheinlich war es eh kein guter virus wenn ich ihn ohne weiteres löschen konnte.
Trotzdem danke

Osiris1983 · 17.08.11, 11:19

Trotzdem ist ein Scan mit erwähnten Programmen zu empfehlen. Nur weil du den Übeltäter gleich irgendwo gefunden hast, heißt das noch lange nicht, dass nicht irgendwelche Registryeinträge vorgenommen oder weitere Malware ohne dein Wissen heruntergeladen wurden.

Allgemein empfehle ich immer "nicht mit Admin-Konto" zu surfen.

sirleo · 17.08.11, 13:33

Ich bin nicht auf FB aber das interessiert mich nun doch sehr.
kannst du mir mal bitte den vollen link per PN schicken?
Will mir das teil mal anschauen.
thx.

//edit

Selbst ohne Adminkonto surfen schützt dich nicht immer.
Stichwort Rights-Escalation.
Bei sowas sollte man grundsätzlich das System neu aufsetzen wenn man es wieder sauber wissen will.

Osiris1983 · 17.08.11, 13:52

Dann mach das aber in einer VM oder mit eingeschränkten Benutzerrechten, ausser du benutzt kein Windows.

Seit einiger Zeit kursiert ja auch der BKA Virus durch Facebook. Habe in letzter Zeit gehäuft von Fällen gehört, bei der sich jemand was eingefangen hat. Also nicht unterschätzen ausser du kennst dich etwas mit der Konsole, und anderen Techniken aus.

Edit: Ein Autogurt schützt auch nicht immer, fährst aber hoffentlich trotzdem angeschnallt durch die Gegend

sirleo · 17.08.11, 13:54

Danke für die Warnung, aber ich gehe niemals ohne Nahkampfsocken aus dem Haus, bzw ins Feld^^.
VM mit eingeschränken rechten und ein netter Debugger innerhalb der VM und keine Gasterweiterungen, damit das teil es schwerer hat auszubrechen.

Osiris1983 · 17.08.11, 14:16

Na so ein ausgeklügelter Bast*** wird das schon nicht sein

aber besser ist das. Ach ja, und Antivirenprogramm in der VM aussschalten und JavaS***** erlauben ^^

Prince · 17.08.11, 15:13

Musst deinen Rechner platt machen!

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Bodyguard77 · 17.08.11, 19:01

Ich hoffe es ist mir erlaubt mein eigenes Problem mit dem 'Facebook-Virus' zu posten.Ansonsten per PN Bescheid sagen.
Also ein 'Freund' von mir bei Facebook, den ich von einer Freizeit kenne, hat mir via FB Chat einen Link geschickt : [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. Hab eine gedachte .jpg-Datei bekommen. Vorsichtshalber nochmal auf Eigenschaften gegangen und da stand was von .scr( hatte wieder gedacht scr= screen -.- und da die Datei Bildschirmschoner hieß hab ich mir nix dabei gedacht->naiv!)
Jedenfalls die Datei geöffnet daraufhin ging der Computer aus. Hab den neugestartet und da hat Windows welche Dateien geladen um dann eine Reperation durchzuführen. Nach der Reperation ist der neugestartet und das selbe Spiel wie vorhin. Hab den abgesicherten Modus von Osiris schon versucht zu machen aber ichz komme dannach wieder zu der Reperation :/

Osiris1983 · 17.08.11, 20:05

Hast du den Link von Prince Porn beachtet? Mittlerweile glaube ich, dass es keinen besseren Weg gibt, als den Rechner platt zu machen und vorher durch einen Start mit Ubuntu (oder einem anderen live CD) die Daten zu sichern. Dieser, nennen wir ihn mal Facebook Virus ist wohl echt hartnäckig und nicht zu unterschätzen. Hatte damit bisher nur indirekt Kontakt (Fernwartung per Telefon und Webcam) und kann ihn nicht so richtig einschätzen.
Hast du diesen Thread [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] schon gesehen?
Es heißt Reparatur und nicht Reperation. Bei letzterem spricht man von Kriegsentschädigung oder Wiedergutmachungsleistungen.

Ach ja, du hast deinen Rechner infiziert und einfach zugesehen wie er was aus dem Internet lädt? Trenn auf jedenfall dein Rechner vom Internet bis du alles erledigt hast.

blackopsunit · 18.08.11, 12:48

System neu aufsetzen meiner Meinung nach

Bodyguard77 · 18.08.11, 15:52

Zitat:

Zitat von Osiris1983

[LIST=1]
Ach ja, du hast deinen Rechner infiziert und einfach zugesehen wie er was aus dem Internet lädt? Trenn auf jedenfall dein Rechner vom Internet bis du alles erledigt hast.

Nein. Laptop ist dannach runtergefahren.Hab daraufhin die W-Lan Verbindung unterbrochen.

Edit: Dank euch hat alles geklappt

sirleo · 18.08.11, 23:38

Das teil ist super.
Benutzt einen Exploit.
$>file pic.jpg
erkennt es als win32Bit executable.

Eine ausführung bricht aus dem Pictureviewer aus, und lädt den rest der Exe nach.
muss noch schauen ob es auch mit anderen Bildbetrachtungsprogrammen funktioniert und wie es genau abläuft.
Alles in allem Sehr sehr interessant.
Auf jeden Fall neu installieren.
Der Author hat was drauf was Programmierung angeht und hat mit sicherheit mehr als einen Trick drauf um sich im system einzunisten.

square252 · 19.08.11, 00:16

Zitat:

Zitat von sirleo

Das teil ist super.
Benutzt einen Exploit.
$>file pic.jpg
erkennt es als win32Bit executable.

Eine ausführung bricht aus dem Pictureviewer aus, und lädt den rest der Exe nach.
muss noch schauen ob es auch mit anderen Bildbetrachtungsprogrammen funktioniert und wie es genau abläuft.
Alles in allem Sehr sehr interessant.
Auf jeden Fall neu installieren.
Der Author hat was drauf was Programmierung angeht und hat mit sicherheit mehr als einen Trick drauf um sich im system einzunisten.

Stimmt. War hart obfuscated, hab zumindest mal teilweise code sehen können.
Ist leider nicht genug um zu sagen was er alles macht, aber genug um zu sagen das ich noch sie so nen komplexen code gesehen habe.
Trotz niederer Beweggründe und des schadens den der Virus anrichten (aber hey, eigtl auch jeder der infected wurde selbst schuld

) ziehe ich meinen hut vor dem coder. Das war ein Genie!

Paterick77 · 01.09.11, 19:04

Hallo Leute, habe auch das Problem, dass mein kleiner Bruder auf so einen bescheuerten Link geklickt hat.
bitly gibt aber an, dass der Link nichtmehr verfügbar ist, zum Glück?
Wer sichs angucken will, AUF EIGENE GEFAHR:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Würde mich freuen wenn mir irgendjemand eine Antwort geben könnte, ob ich mir nicht doch was gefangen habe. (Viren Programme sind nicht angesprungen, auch nicht beim Scan, Anti-Malware auch nicht und runtergeladen wurde auch nichts.
Gruß
Paterick77