Virus vei MSN

[Benshee]

Hi,

eine Freundin von mir hat mich letztens bei MSN Windows live messenger angeschrieben, und da kam als aller erstes diese Nachricht: Ist das dein Video? :-O [Link entfernt]. Ich war natürlich so blöd und hab auf den Link geglickt, und jedesmal, wenn ich in dem Messenger jetzt auf einen Namen klicke, öffnet sich das Fenster, schließt scih kurz darauf automatisch und wenn ich dann ein zweites mal öffne, kommt die gleiche nachricht von mir. Außerdem öffnen sich in meinem Mozilla alle 10-20 minuten webseiten von explorerstartpage.com (ich glaub das ist auch von celldorado.com, wenn euch das mehr sagt...)

Jetzt würde ich gerne wissen, wie man das wieder loswerden kann. Ich kenn mich mit Software sowieso nicht so gut aus. Neuinstallieren der Programme hat zumindest schonmal keine Wirkung gezeigt...

mfg Benshee

 

[Carisma1996]

Hast Du ein gutes Antivirenprogramm wie G Data oder so? Wenn nein, dann besorgen, wenn ja dann überprüfen lassen.

Sollte dies keine Wirkung zeigen, dann hilft nur noch eins und zwar: Formatierung und Neuinstallation von Windows & Co.

 

[Benshee]

ich hab avira, mach gerade mal ne systemprüfung. formatieren will ich egl vermeiden

 

[Carisma1996]

Wird Dir aber nichts anderes übrig bleiben, wenn Avira Dir nicht hilft ^^

 

[Benshee]

kann man denn irgendwie dauerhaft seiten blockieren, sodass sie gar nicht mehr geöffnet werden können? dass das mit dem ie geht, weiß ich, aber ich mien jetzt für mozilla firefox. (und am besten kostenlos )

 

[JohnnyParks]

Wenn Du mit Firefox surfst würd ich mich an Deiner Stelle bei den Add-ons umgucken - Sachen wie NoScript oder WOT (Web of Trust) können Leben retten bzw. verhindern, dass Du Dir Unfug einfängst.
NoScript blockiert Scripte aller Art, so dass nichts unbemerkt von Dir auf Deinem Rechner initialisiert werden kann, und WOT zeigt Dir bei Seiten an, ob die okay oder für Betrügereien etc. bekannt sind.
Wie gesagt, einfach mal durch die Add-ons gucken und Beschreibungen lesen und das für Dich passende aussuchen ...

Wie issen das jetzt ausgegangen bei Dir?? Formatierung oder noch mal Glück gehabt??

Ansonsten zieh Dir z. B. bei F-Secure zusätzlich zu Avira eine Live System CD bzw. lass da den Online-Scanner ab und zu mal drübersuchen (verschiedene Anbieter - verschiedene Suchmodule - bessere Auffindungschancen) - wenn ich das bei Dir mit MSN und "beim Zocken finden" lese, könnte das evtl. ne gute Maßnahme sein ... (weil MSN als Virenschleuder und genau diese Kiste, die Dir da grad passiert ist, schon hinlänglich bekannt sind - da kannste noch so vorsichtig sein, irgend ein Mistkerl erwischt einen doch - buhuuu!)

ganz liebe Grüße und Daumen drück
Joe

 

[Benshee]

also WOT hab ich bereits installiert, da sind mir schonmal ein paar dumme sachen passiert, dann hat mir das mein dad auch empfohlen. Mein Avira hat nichts dergleichen gefunden. das mit der live system cd werd ich als nächstes mal machen und nach ddem NoScript werd ich auch mal schaun.
Danke euch für die Hilfe, ich hoff, ich bekomm das noch hin...

 

[mario4370]

Hallo es giebt ein Programm Speziel für Messenger Viren, es durchsucht das Programm und findet bzw. beseitigt die Viren auch:

Das Programm lautet:

Clean Virus MSN 2.5.0 zu finden z.b. bei Heise Online

http://www.heise.de/software/download/clean_virus_msn/53229

oder bei Computerbild:

http://www.computerbild.de/download/Clean-Virus-MSN-4222424.html

Es ist hier erst vor kurzem Besprochen worden, da hatte einer das gleiche Problem und den Virus mit dem Programm wieder weg bekommen.

Hoffe damit bekommst du das Problem wieder in den Griff.

 

[Benshee]

hmm, also ich hab mir die datei mal geladen, aber der scan findet nichts...

 

[mario4370]

Ich frage mal vorsichtig ob das Programm die neuste Virendefinition vorm suchen geladen hat.
Ansonsten fällt mir auch nix ein ausser das Übliche was mann eigentlich nicht hören möchte.

 

[Benshee]

ich war gerade im training, dsewegen hab ich das erst jetzt lesen können.

nein, hatte es nicht, aber ich lass gerade nochmal mit der aktualisierten verison durchlaufen...

Ergänzung (18. Juni 2009)

wieder nichts...

 

[Benshee]

so, hab mich jetzt mal in anderen foren umgesehen und die konnten das ganze meistens mit dem Programm HijackThis lösen.

Ich hab mir das Toll jetzt auch geladen und mal eine prüfung damit gemacht:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:50, on 22.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T4E\Player\T4E_Player.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\advhost.exe
C:\WINDOWS\system32\advhost.exe
C:\programme\mozilla firefox\firefox.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.explorerstartpage.com/wspage.php?ver=v8notr_1406
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.explorerstartpage.com/wspage.php?ver=v8notr_1406
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [speedfan] C:\Programme\SpeedFan\speedfan.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'Default user')
O4 - Startup: Player.lnk = C:\Programme\T4E\Player\T4E_Player.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - DefaultPrefix: http://www.
O13 - WWW Prefix: http://www.
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\adlaunch32.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8981 bytes



kann mir jemand sagen, was ich jetzt zu tun habe?

Ergänzung (22. Juni 2009)

das thema ist erledigt, ich hab mit der datei MSNVirusRemoval den Virus gefunden und bin ihn losgeworden
ich dank euch trotzdem nochmal vielmals für die nette hilfe

 

[mario4370]

Hast du das bei HijackThis ausgewertet?

Habe mal nachgesehen und insgesamt 7 Schädliche Hinweise gefunden.

Trag deinen geposteten File mal hier http://www.hijackthis.de/ rein und schau dir die Auswertung an.

Dort kannst du dann sehen wo bei dir gefahren im Sytem sind und über das Forum solltes du dann auch Lösungsvorschläge erhalten.

Deine Aussage hört sich für mich so an als wenn du nur HijackThis ausgeführt hast jedoch nicht den File ausgewertet hast.


Edit: Hat sich ja erledigt hast du denn noch mal HijackThis durchlaufen lassen nach dem Entfernen des Virus?

 

[Boogeyman]

Na immerhin. Richtig sicher natürlich nur Neu aufsetzten mit formatieren, da das System nicht mehr vertrauenswürdig ist. In Zukunft solltest du nicht alles anklicken, was du als Link geschickt bekommst.
Hättest du ein eingeschränktes Benutzerkonto zum surfen und arbeiten verwendet, wäre wahrscheinlich nix passiert, da so Zeug immer Admin Rechte haben will.
Kannst zur Kontrolle noch mit Malwarebytes Anti-Malware scannen lassen.