steffimaus

Hallo alle zusammen, vieleicht könnt Ihr mir weiter helfen???

Ich habe fast das gleich Problem wie Meliza bei MSN!

Und zwar war ich letzte Woche bei MSN mit Freunden am Chatten und habe nichts ahnend von einer Bekanntin eine Datei angenommen ohne was dabei zu denken! Die Datei musste ich zweimal auf Ausführen klicken und es öffnete sich Blitzschenll irgentein Programm was auch direkt wieder verschwand! Meine McAffee Internetschutz schlug gleich hundertmal alarm und schickt einen trojaner in Quarantäne, dann noch einen und endeckte auch Viren! Ich wurde zu bombardiert!

Mein MSN spinnte auch total! Alle die online waren zu dem Moment bei MSN öffneten sich und schlossen sich wieder von alleine ohne mein zutun! Ich machte meinen PC komlett aus und rief erstmal bei MCAfee an! Die mineten zu mir wennd er Trojaner in Quarantäne sitzt kann weiter nichts seinudn ich solle ihn auch da lssen und nicht Löschen!

Habe ich danna uch gemacht! Nur meinten die ich solle MSN Löschen und neu installieren! Wie man das macht haben die nicht gesagt! Habe zwar etwas ahnung von PC´s aber nicht halt zu 100%!

Ich schreibe mal auf was ich für Trojaner drauf habe und Viren und vieleicht kann mir da einer schon was zu sagen?!?!

Also:
1.) New Malware.ai sitzt auf Datei C:\Systeme Volume information.....
2.) New Malware.j sitzt auf C:\windows\syteme32\msn.exe

-kannd azu auch noch die Prozess beschreibung einfügen wem das was sagt?!

An Viren habe ich:

1.) W32/IRCbot.gen sitzt auf C:\windows\syteme32\libcintles3.dll

bei Prozess steht irgentwas mit mienem AOL Programm! Und das die beschädigte datei nicht repariertw erden kann!

2.) W32/IRCbot.gen sitzt auf C:\windows\syteme32\libcintles3.dll

bei 2 steht der selbe Virus im Protokoll aber da steht dann wieder das er nicht entfernt werden kann! Im Prozess steht

der gleich Virus steht auch unter einem anderen Prozess unter Windows Volume Sytem und wurde entfernt!

Ist doch komisch oder?

Also ich habe MSN dann gelöscht und wollte ihn neu installieren als ich gesehen habe das alles von Windows gelöscht war! Sogar mein Internetexploerer und der Mediaplayer usw!

Habe alles versucht neu zu installieren aber es hat nur bei dem Mediaplayer geklappt! Den internetexploerer habe ich auch neu installiert finde ihn jedoch auf dem PC nicht! Nur unter der succhfunkton wenn ich da eine internetadresse eingebe st er auf zu finden!

Msn konnte ich erst gar nicht installieren, erst nach ein paar Tagen klappte das doch!

Was meinst Ihr dazu? Habe mir einen neuen MSN Namen gemacht, weil über meinen alten würde der Trojaner weiter von meinem Namen als Datei zu anderen geschickt, wo ich zum Glück noh alle warnen konnte vorher bevor was passierte!

Soll ich die Trojaner in der Quarantäne lassen?

Was mach ich mit meinem PC? Alles Platt machen?

Bitte helft mir da ich gerne wieder sicher im internet surfen möchte und am ende meiner pc kennung bin Sonst habe ich zur zeit keine Probleme mit meinem PC seitdem, das mit MSN ist auch wieder ok, nur das mein Internetexploerer fehlt und das der rechner was langsamer geworden ist und ich angst habe es könnte doch nch was drauf sein!

Würde mich riesig über Eure Antworten und Hilfestellungen freuen wa sich jetzt tun soll!!!!

Ganz ganz liebe Grüße

Steffi

Cedor

vllt hilft dir das hier um den w32 zu entfernen -> link

wolfheart

Hey steffimaus,

Du solltest eigentlich alles was in der Quarantäne ist von Deinem PC komplett runterwerfen.

Das werden wir sehen, wenn Du das untenstehende alles ausgeführt hast. Wir werden mal alles dafür tun, das Du das nicht machen mußt

jetzt gehst Du mal etwas systematischer vor:

- Du deaktivierst Deine Systemwiederherstellung und gehst in den abgesicherten Modus.
Das geht so:
http://www.bsi.de/av/texte/wiederher_xp.htm
- dann läßt Du Dein Antivirenprogramm (ich empfehle Kaspersky, aber McAfee ist auch okay)
http://www.kaspersky.com/de/downloads?chapter=146440558
und Spybot und Adaware mal Deine Festplatte checken.
Hier die Link's zu Spybot
http://www.chip.de/downloads/c1_downloads_13001443.html
und Adaware
http://www.chip.de/downloads/c1_downloads_13000824.html
- Und wenn Du willst, dann auch noch dieses Programm unter diesem Link laden und auch checken lassen, was auf Deinem System zu finden ist
http://www.emsisoft.de/de/software/free/
- das was gefunden wird löschen
- dann Neustart
- Systemwiederherstellung unbedingt wieder aktivieren

Wichtig ist die Sache mit der Systemwiederherstellung. Wenn Du die nicht deaktivierst und dann infizierte Dateien löschst, dann werden manchmal von der Systemwiederherstellung zusammengebastelt, weil die denkt es wären defekte Dateien!

Zusätzlich kannst Du auch noch auf Hijackthis.de gehen
http://www.hijackthis.de/de und downloade das Programm (Rechts oben unter Direktdownload).
Entpacke es in einen EIGENEN Ordner(Nicht aus der Zip Datei starten!) z.B
C:\Programme\Hijackthis .

Starte die Anwendung .Geh auf "Do a system scan and save a logfile". Diesen Logfile kopierst Du komplett und sendest uns den hier rein

Ostseesand

Hi,

mit diesem virus/ wurm ist nicht zu spaßen.
wenn er eine datei zb.
C:\WINDOWS\system32\kbdcr32.dll
oder notice.dll
oder libcintles3.dll
befallen hat, ist das system schon mal in fremde hand gewesen.
man könnte nun diese datein prüfen und eventuell entlausen.
aber ich habe mir in den grundsatz geschrieben, wenn eine dieser dateien befallen wird, wird das system komplett neu installiert.
du kannst ja mal die dateien zum testen auf virustotal hochladen und daas ergebnis prüfen.

wenn du onlinebanking macht, oder ebay, also alles was online-geld oder online-auktionen machst. installier das system sofort neu und änder sofort dann deine passwörter und das ÜBERALL.

mfsto

Befolge die Tipps von wolfheart und für mich postest du ma ein Logfile:

*Geh auf www.hijackthis.de
*Downloade das Programm (Unter Direktdownload oben Rechts)
*Doppelklick auf die Zip Datei
*Entpacke den Ordner in ein eigenes Verzeichnis ,z.B C:\Programme\Hijackthis.
!!! Nicht aus der Zip Datei starten !!!
*Öffne den Hijackthis Ordner und klicke auf das Symbol(Sprengstoff)
*Klicke auf "Do a system Scan and save a Logfile"
*Das Programm läuft durch(Dauert paar Sekunden)+es öffnet sich ein Text Editor Fenster
*Im Editor befindet sich das Logfile-->Kopiere das gesammte(!) Logfile hier in das Forum in <code> - Tags

Mfg

programier

bzw. scann mal deinen rechner mit nod32##


http://www.computerbase.de/downloads...d32_antivirus/

Ostseesand

Hi

da ich auch aol schon ewig habe interessiert es mich besonders.
da auch ich gern was dazulerne hir mal was ich ebend gemacht habe:
auf meiner testplatte wo ich so einiges probiere habe ich folgendes installiert.
xp, mit meinem aol aber einem anderen namen und phantasiepasswort., msn, firewall und gegen den regen einen schutz.
die registry habe ich gesichert.
dann habe ich mir die neueste variante dieses besagten W32/IRCbot.gen aufgespielt. seit 2002 hat er auch an größe zugenommen nur mal nebenbei.
zuerst wurde er nicht erkannt. erst nach mehrmaligem klicken auf die zip datei wurde der virenscanner mobil.

keine datentransferrate irgendwohin.
nach einem neustart wurde der start langsamer. aol start dauerte lange, und brach ab. meldung:abbruch durch server. in wirklichkeit wurde die amstream.dll bischen modifiziert.
es begann ein reger datenaustausch. zonealarm war noch aktiv.
alles über den Port: 6667
nach noch einem neustart war zonealarm nicht mehr vorhanden im autostart.
die windowsfirewall war deaktiviert.

es wurden neue einträge in der registry erstellt.
24 neue kamen insgesamt hinzu unter anderem diese.
7 dll dateien wurden umbenannt und infiziert.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM = wupdate.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
WINDOWS SYSTEM = wupdate.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s
es wurden mehrere mails verschickt mit folgendem inhalt.
document.zip
account-password.zip

nun die große frage was fixt hijackthis?
ok er hat das locker erkannt mit dem wupdate. aber was ist mit den registryeinträgen, wer repariert die nun ?

mein aol geht garnicht mehr zu starten. der dial in optimizer sei defekt.
nach nochmaligen booten wurde wieder was runtergeladen ohne das eine alarmmeldung es verhindern sollte.

folgende seiten gingen nicht mehr zu laden, 404 fehler:
www.symantec.com
www.sophos.com
www.viruslist.com
www.avp.com

dann alles wieder gefixt, kaspersky die übeltäter 4 stück an der zahl gelöscht.
msn deinstalliert, neustart.
start dauerte immer noch länger als vorher.
zonealarm wurde immer noch nicht automatisch gestartet, weil in der registry der wert auf 0 stand, trotz mit han in den autostart eingetragen.
aol geht nicht, ok neu installiert. probe, ok komme rein.
internetexplorer geht nicht. mit opera kein problem.
nach einem neustart geht aol wieder nicht.

deshalb kann ich mit ruhigem gewissen sagen:
der kann sich zu einem mutanten entwickeln und so einiges nachladen und sich in der registry verewigen. muss das sein?
mein tip: neuinstallation!!!

programier

@ostseesand dann musste wophl auch deinen rechner neu aufsetzen... tjaa.....

wolfheart

@programier
Quatsch, nur die Testplatte, die er extra dazu benutzt, um solche Spielchen machen zu können, ohne sein gesamtes System zu zerstören.

@Ostseesand
Diese Art der Bedrohlichkeit hätte ich dem gar nicht zugetraut, denn unser "beliebtes" Symantec meint zu dem Burschen ja Folgendes:

Beurteilung der Bedrohung

Im Umlauf: Gering
Anzahl der Infektionen: 0 - 49
Anzahl der Websites: 0 - 2
Geografische Verbreitung: Gering
Bekämpfungschance: Einfach
Entfernung: Einfach
Schadensstufe: Gering
Grad der Verteilung: Gering

Naja, dem Himmel sei Dank, das es solche Käpsele (ist wohl ein badischer Begriff und heißt soviel wie cleveres Kerlchen) wie Dich gibt, die auch ein kalkulierbares Risiko im Selbsttest nicht scheuen.

Danke!

@Steffimaus
Da werde ich wohl mein Versprechen
zurüchnehmen müssen und sagen:
Sorry, aber Ostseesand hat, im Interesse Deiner Sicherheit und derer die mit Dir online kommunizieren, Recht - System formatieren und neuaufsetzen

programier

@wolfhert:

wusstest du dass ich Sven Uwe bin??