ICQ Virus

mose · 8. Dezember 2006

hi, hab mich mit einem Virus infiziert der ICQ abschist aber den link vorher weiterschickt.
>>>>>>>>>>>>>>><<<<<<<<<<<<<<<<<<<<<
Das ist er, weiß einer wie man ihn wieder entfernt?

Anzeige

Michi · 8. Dezember 2006

AW: ICQ Virus

limm den link raus! und poste mal deinen hijackthis.log und lasse mal antivir laufen.

mose · 8. Dezember 2006

AW: ICQ Virus

Logfile of HijackThis v1.99.1
Scan saved at 17:17:44, on 08.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
c:\windows\system32\csvhost.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Peter\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: 81.3.59.4 GameStar.de: Tests, Previews, Videos, News, Spieletipps, Cheats und Downloads für PC-Spiele.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MSN] "C:\WINDOWS\system32\msn.exe" /INITSERVICE
O4 - HKLM\..\Run: [csvhost.exe] c:\windows\system32\csvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {2D941D56-1B19-44AE-8CF5-08331A3B4CCF} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IA Analysing v2.0 (IACtrl) - Unknown owner - C:\Programme\Pointdev\IDEAL Administration\IACtrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe

Michi · 8. Dezember 2006

AW: ICQ Virus

c:\windows\system32\csvhost.exe (sieht nach virus aus. die echte datei heißt nämlich svchost.exe)

O1 - Hosts: 81.3.59.4 GameStar.de: Tests, Previews, Videos, News, Spieletipps, Cheats und Downloads für PC-Spiele. (wennde nich kennst, weg damit. kannst ja falls inet nich mehr geht ein backuop zurückholen bei hjt.)

O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll (UNBEDINGT FIXEN!!!!)

O4 - HKLM\..\Run: [MSN] "C:\WINDOWS\system32\msn.exe" /INITSERVICE (unbekannt, msn ist normalerweise nciht im windowsornder drin)

O4 - HKLM\..\Run: [csvhost.exe] c:\windows\system32\csvhost.exe (auch wegmachen! siehe oben.)

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org. Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org!

O23 - Service: IA Analysing v2.0 (IACtrl) - Unknown owner - C:\Programme\Pointdev\IDEAL Administration\IACtrl.exe (was ist das?)

mose · 8. Dezember 2006

AW: ICQ Virus

Und wie bekomme ich das alles weg?
O23 - Service: IA Analysing v2.0 (IACtrl) - Unknown owner - C:\Programme\Pointdev\IDEAL Administration\IACtrl.exe

Dat ist ein Tool für die Schule.

Michi · 8. Dezember 2006

AW: ICQ Virus

die dinger links markieren mit nem haken. und dann links unten auf fix checked klicken.

spotting · 8. Dezember 2006

AW: ICQ Virus

michi, da ist sogar noch mehr fragwürdiges

Code:

C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe - Unbekannt
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe - Unbekannt
C:\WINDOWS\system32\TPSMain.exe - Unbekannt
C:\Programme\Synaptics\SynTP\Toshiba.exe - Unbekannt
C:\WINDOWS\system32\TDispVol.exe - Unbekannt
C:\WINDOWS\System32\DLA\DLACTRLW.EXE - Unbekannt
C:\Programme\TOSHIBA\Tvs\TvsTray.exe - Unbekannt
c:\windows\system32\csvhost.exe - Unbekannt
O1 - Hosts: 81.3.59.4 www.koins.de - Eventuell Böse
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll - Böse
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE - Böse
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe - Unbekannt
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe - Unbekannt
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE - Unbekannt
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe - Unbekannt
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient - Eventuell Böse
O4 - HKLM\..\Run: [MSN] "C:\WINDOWS\system32\msn.exe" /INITSERVICE - Unbekannt
O4 - HKLM\..\Run: [csvhost.exe] c:\windows\system32\csvhost.exe - Eventuell Böse
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe - Unbekannt
O9 - Extra button: eBay - {2D941D56-1B19-44AE-8CF5-08331A3B4CCF} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) - Eventuell Böse
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing - Böse
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll - Unbekannt

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe - Unbekannt

so sieht die kurzauswertung von hijackthis,de aus.

ich gehe davon aus, du hast einen pc/laptop von toshiba?
dann sind die einträge von toshiba wahrscheinlich sauber

aber

diese einträge sind es nicht.

C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\TDispVol.exe
c:\windows\system32\csvhost.exe
C:\WINDOWS\system32\ipv6monl.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe
C:\WINDOWS\system32\msn.exe
C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing - Böse
C:\WINDOWS\SYSTEM32\igfxdev.dll

mein einschätzung, das sind einige unterschiedliche dinge, sieht nach mindestens einem backdoor trojaner aus ...

-> formatiere den pc. ist die methode, die am schnellsten geht und die methode, die als einzige wirklich zuverlässig alles entfernt.

da das aber meistens nicht zur diskussion steht, gebe ich dir gleich ein paar anweisungen, was ich brauche, um das richtig zu entfernen.

daher sind drei dinge notwendig.
1. identifizieren der malware,
2. finden sämtlicher malware komponenten
3. deaktivieren der malware und entfernen derselben

dies hier ist schritt 1

1. scanne deinen pc mit MWAV (escan) , befolge exakt diese anleitung.

escan anleitung

Bearbeite das Logfile (mwav.log) vom Escan indem du die mwav.log mit einem Texteditor öffnest, und jede Zeile/Eintrag die das Wort "infected" enthällt in deiner nächsten Antwort wiedergibts.

2. lade die oben genannten dateien alle der reihe nach bei jotti oder virustotal hoch.
kopiere jeweils die ergebnisse hier hinein.

dies hier ist der erste teil von schritt 2.

3. datfindbat Anleitung
Bearbeite die 4 Logfiles von Datfindbat, indem du die letzten Wochen (seitdem der fehler auftritt plus eine woche minimum) in einer Textdatei (.txt) zusammenfasst, und hier anhängst.

___________

warte dann auf weitere anweisungen.

fixxe bis dahin nichts mit hijackthis und lass keine anderen schädlingsbekämpfungsprogramme durchlaufen. ich möchte keine verfälschten oder widersprüchlichen ergebnisse.

mfg spotting

mose · 8. Dezember 2006

AW: ICQ Virus

Jop, hab ein Notebook von Toshiba^^

wäre das ma machen kann aber etwas dauern

Die Datei 'kavupd.exe' gibs da nicht.

Nützliche Suchen

ICQ Virus

Videos zum Themenbereich