ICQ Virus im umlauf ( schau dir mal dieses foto an:D)

[Haffke]

hmm.... also ich habe so was noch nie gemacht ich denke ich werde mich mal schlau machen und meinen Vater um Rat fragen der kennt sich damit besser aus als ich

aber eine frage habe ich dennoch muss ich jetzt mein sys neu machen ? ich hoffe mal nicht weil alle Einträge hier im Forum ja mehr oder weniger darauf verwiesen haben das sys neu aufzusetzen ..... und dazu habe ich definitiv nicht die zeit und Lust

MFG Haffke

 

[Lar337]

Das kommt auf den Virus an...
Dafür müsste man ihn aber erstmal kennen und sich Informationen über ihn besorgen.

Wenn der Virus bekannt ist, dürften seine Schäden durch Antivirenprogramme reparierbar sein.
Wenn der Virus darüberhinaus jedoch auch ein Hintertürchen geöffnet hat, ists damit nicht getan.
Und herauszufinden, was da alles noch angekrochen kam, ist ein Ding der Unmöglichkeit für Anwender Dann hilft nur die Neuinstallation...

 

[modiple]

Auch wenn ihr die Datei gelöscht habt, könnt ihr sie euch doch nochmal runterladen, und dann bei http://www.virustotal.com/de/ online prüfen lassen.

Dann weiß man schonmal welcher Schädling das ist, und über google sollte man dann doch auch eine Entfernungsmethode finden.

Wie gut, dass ich kein ICQ habe.
Aber ICQ und kein Brain, das ist schon echt übel

 

[Lar337]

Oder einfach mal eins der Antivirenprogramme drüberlaufen lassen, die ihn erkannt haben. Vll werden sie den auch wieder los

Aber Informationen über das Ding brauchste trotzdem um zu wissen, was er noch so anrichtet.

 

[Haffke]

jo Infos zu bekommen is jetzt net mehr so leicht da ich den ja restlos entfernt habe also die Datei und ansonsten nochmal laden will ich den jetzt net XD

ja was ein Glück habe ich mein vadder der ja kein normal Anwender is ich denke er kann da was machen aber bis dahin werde ich icq geschlossen lassen

 

[modiple]

Kannst den ruhig nochmal runterladen. Ist doch eh schon alles passiert. Halt nicht nochmal starten (obwohl das ja auch egal wäre)

 

[caralarmandmore]

schickts sich eig. auch weiter wenn man z.b. qip verwendet?

 

[gdfs]

schickts sich eig. auch weiter wenn man z.b. qip verwendet?

eigentlich nicht, bei solchen angriffen werden meist bugs in den programmen ausgenutzt und da qip komplett anders programmiert ist, dürfte da nix passieren.

 

[Haudrauff]

Ist ehr ein subjektives Gefühl, aber kann es sein, dass ICQ im Gegensatz zu anderen Messenger gerne für Viren und sonstiges Missbraucht wird?

 

[bs_torak]

Das liegt wohl daran, dass die meisten User einfach zum Standard-Messenger greifen, anstatt (bessere) Alternativen zu verwenden.
Eben jenes "subjektive Gefühl" beschleicht mich auch beim verwendeten Betriebssystem.

 

[IchhasseViren]

Ich hab mir den Virus leider auch gerade eben geholt, schön mit Anwendung ausgeführt, mit allem Drum und Dran-.-
Ich könnte kotzen.


Nunja weinen hilft nicht, ich habe gerade mal bei VirusTotal gecheckt, was die Seite dazu sagt, verstehe das Ergebnis als Laie jedoch nicht.

Mein ICQ hat eben mehrmals alle Fenster geschlossen, eben hat es sogar ganz die Kontrolle übernommen und alle 1 Sek ein neues Fenster aufgemacht, ohne Inhalt. Ich vermute in der Zeit hat es gerade die Links an diejnigen Kontakte geschickt, dessen Fenster gerade geöffnet wurde. Konnte den PC dann kaum noch steuern, nur in den Phasen zwischen der Fensterschließung und Öffnung eines neuen, also immer nur für einen Augenblick. Habs nach ein paar Sek geschafft den Taskmanager aufzumachen und ICQ zu beenden. Ansonsten hätte das Ding glaube ich für mehrere Minuten den PC übernommen und die Zeit genutzt um alle Kontakte anzuschreiben.
Frage jetzt: Hilft es, wenn ich mein ICQ erstmal komplett lösche, oder ist das für den Virus auf meinem PC uninteressant? Auf jeden Fall würde ich damit die weitere Versendung stoppen.

Hier das Ergebnis von VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.18 -
AhnLab-V3 5.0.0.2 2010.04.18 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.18 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.04.18 Win32:Rootkit-gen
AVG 9.0.0.787 2010.04.18 Dropper.Generic2.AZH
BitDefender 7.2 2010.04.18 -
CAT-QuickHeal 10.00 2010.04.17 -
ClamAV 0.96.0.3-git 2010.04.18 -
Comodo 4637 2010.04.18 TrojWare.Win32.Agent.~GGI
DrWeb 5.0.2.03300 2010.04.18 Trojan.DownLoad1.53845
eSafe 7.0.17.0 2010.04.18 -
eTrust-Vet 35.2.7431 2010.04.17 -
F-Prot 4.5.1.85 2010.04.17 -
F-Secure 9.0.15370.0 2010.04.18 -
Fortinet 4.0.14.0 2010.04.18 -
GData 19 2010.04.18 Win32:Rootkit-gen
Ikarus T3.1.1.80.0 2010.04.18 -
Jiangmin 13.0.900 2010.04.18 -
Kaspersky 7.0.0.125 2010.04.18 -
McAfee 5.400.0.1158 2010.04.18 -
McAfee-GW-Edition 6.8.5 2010.04.18 Heuristic.LooksLike.Win32.Suspicious.H
Microsoft 1.5605 2010.04.18 VirTool:Win32/DelfInject.gen!BI
NOD32 5038 2010.04.18 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-18.01 2010.04.18 -
Panda 10.0.2.7 2010.04.18 -
PCTools 7.0.3.5 2010.04.18 -
Prevx 3.0 2010.04.18 High Risk Cloaked Malware
Rising 22.43.06.03 2010.04.18 -
Sophos 4.52.0 2010.04.18 W32/Autorun-BBI
Sunbelt 6188 2010.04.17 Trojan.Win32.Generic.pak!cobra
Symantec 20091.2.0.41 2010.04.18 -
TheHacker 6.5.2.0.264 2010.04.18 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.17.2282 2010.04.17 Trojan.Win32.Buzus.37376.J
VirusBuster 5.0.27.0 2010.04.17 -
weitere Informationen
File size: 36864 bytes
MD5...: aba09cf030d3311c43e6396471c08652
SHA1..: 63afb6ae1984edaab30440d42da9542202cf937e
SHA256: a05c1b58af878caab16f46eb9c20243e471c3e2a06f8b6735d006a195cf69e9c
ssdeep: 384:R9PWzAEEf+yiVtI89bIEPdzMnraRLI6gHyAJvty+xZb6pumm3zx63Rbhjqs2
QZ2B:RTQDI811PGnBPn7xIaj2bjqtBb3rZ
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x582c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x4f98 0x5000 6.48 b38027c5b995e1e5a606e1e0701fda1f
DATA 0x6000 0x138 0x200 3.00 94dbeea90bbd3a029e745465cf4f746a
BSS 0x7000 0x10c31 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x18000 0x74c 0x800 4.49 aad0bb41e440fd3b8ce24a021e636199
.tls 0x19000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x1a000 0x18 0x200 0.21 97b93aba10d50964456e360d7e6ac07d
.reloc 0x1b000 0x534 0x600 6.14 97ecf887506f787a7be360132fb0f85c
.rsrc 0x1c000 0x256c 0x2600 5.10 0e14f8d7313e6b7e944493a879429fa1

( 9 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, WideCharToMultiByte, MultiByteToWideChar, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> kernel32.dll: TransmitCommChar, TerminateThread, SetFilePointer, ReadFile, LoadLibraryA, IsBadHugeReadPtr, GetLastError, GetACP, CreateFileMappingA, CreateFileA, CreateFiber, CloseHandle, AreFileApisANSI, AddAtomW
> gdi32.dll: GetOutlineTextMetricsW, GetMetaRgn, GetMetaFileBitsEx, CreateRectRgn, CreatePen, CreateDIBPatternBrushPt, ColorCorrectPalette, BeginPath, AbortPath
> user32.dll: GetClassLongA, GetCapture, EnumPropsExA, EndDeferWindowPos
> winmm.dll: timeBeginPeriod, mixerGetLineControlsA, midiOutUnprepareHeader, midiOutCacheDrumPatches, midiInGetErrorTextA, midiConnect

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.5%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E76E1FFC0098CF8E902F008239F17E0072766486' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E76E1FFC0098CF8E902F008239F17E0072766486</a>

 

[IchhasseViren]

Habe jetzt erstmal alle Cookies und sowas gelöscht, ICQ bleibt bis auf weiteres aus.

 

[Boogeyman]

Generell ist zu sagen, das man sein System neu installieren sollte. Icq zu deinstallieren reicht nicht aus. Es handelt sich hierbei anscheinend um Malware mit Backdoor Funktionalität und dieser "Virus" ist in mehreren Variationen im Umlauf.
Infos zum ICQ-/Messenger-Wurm ("Schau dir mal das Foto an")

Warum man bei Infektionen den Rechner neu installieren sollte...

 

[Lar337]

Na dann runter mit dem System.
Könntest natürlich erstmal ein Antivirenprogramm drüberlaufen lassen, das den Virus erkennt, aber wenns wirklich ne Hintertür öffnet, dann wirste damit möglicherweise auch keinen komplett sauberen Rechner mehr kriegen.

Microsoft Security Essentials oder Avast dürften kostenlos zu kriegen sein und scheinen den Virus zumindest in der Ausgangsdatei zu erkennen.
Vll wirste zumindest den Virus selbst damit auch los.

Womit biste denn aktuell unterwegs?

 

[Haffke]

Also ich hab ihn mit antivir net bekommen ..... eine frage bezüglich des neu machens vom sys wie isen das mit meinen gesicherten Daten ? ich meine es könnte ja sein das ich den dann wider mit einschläppe oder net ?

 

[IchhasseViren]

also ich hab vorhin mal SpyHunter ausprobiert, leider eine testversion, die hat mir nur 39 mögliche malware angezeigt, wollte sie aber nicht löschen dann hab ich mir die orte rausgesucht, 2 davon in der registry und habe alles gelöscht. die meisten waren irgendwelche cookies, ich bezweifle, dass die das waren.
habe inzwischen alle passwörter von nem anderen pc (hier im netzwerk, über router verbunden, besteht da gehfahr, dass der rechner auch betroffen ist, dort ist kein icq installiert) ausgewechselt.
war sogar für 3 min bei icq on, konnte keine unregelmäßigkeiten feststellen.

ich habe jetz alles gelöscht, was irgendwie mit viren in zusammenhang gebracht wurde. endgültigen erfolg kann ich noch nicht vermelden.
lade gerade Microsoft Security Essentials runter und lasse das durchlaufen, mal sehen ob der noch was findet.

das dumme ist, ich habe keine Vista installations cd beim pc-neukauf mitgeliefert bekommen. ich habe zwar ein backup über eine externe festplatte die nur ein paar wochen alt ist, aber das nützt mir wenig, ohne betriebssystem, oder?^^

 

[Haffke]

also ich hab auch gedacht ich habe ihn und bin testweise in icq on gewesen nach 10 min is imma noch nix passiert und als ich dann en Kumpel angeschrieben habe hat er wider angefangen ....

also ich muss ganz ehrlich sagen das mich das so dermaßen ankotzt echt ..... ich habe auch schon bemerkt wie mein PC auf einmal was downloaden wollte wovon ich aber nix wies und da hat er mich gefragt ob das Programm das laden darf ich habe natürlich gleich auf abbrechen geklickt meint ihr das war der Virus ?

 

[IchhasseViren]

könnte ich mir gut vorstellen.. bei mir hat er ja auch sachen gemacht die ich nicht bestimmt habe.

Elemente:
file:C:\Users\Public\winsvcn.exe
process: pid:2352 (nach dem ersten doppelpunkt ist ein leerzeichen was ich zugefügt habe, sonst käme dieser smiley )

das hat bei mir mein Microsoft Security Essentials angezeigt den selben namen trug vorhin eine datei in der registry, die ich ebenfalls weggehauen habe.

 

[Lar337]

Wasn bitte SpyHunter? Sicher, dass das ein vertrauenswürdiges Programm ist?

Was soll da drin gewesen sein in der Datei, die MSE angezeigt hat?

 

[Diplo]

Wayne auf ICQ, holt euch QIP und schon sind die ganzen Spammer, p0rnside adds & Werbung Probleme Geschichte.