[VIRUS] Crypt.Morphine.Gen
[VIRUS] Crypt.Morphine.Gen
tach alle zusamm
folgendes problem seit gestern abend:
ich starte wie gewohnt meinen msn live messenger
schreibe mit einem kontakt und plötzlich geht garnix
mehr. msn hängt sich auf, das nachrichtenfenster wird
minimiert auf der taskleiste angezeigt, blinkt ab und zu
auf dem desktop auf. keine reaktion von msn wenn ich
aufs tray icon "rechtsklick > beenden" gehe.
taskmanager > prozess beenden, alles soweit beendet.
messenger neu gestartet > bekomm ich ne nachricht von
ner freundin "was schickste mir da fürn link?"...
Problem 1:
msn messenger hat automatisch an alle kontakte aus
meiner kontaktliste einen link geschickt mit dem inhalt "haha watch for blabla@hotmail.video =P"... sowas in der art.
Problem 2:
daraus wurde aus welchem grund auch immer von antivir
folgende Malware gefunden C:\WINDOWS\webconfig32.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Problem 3:
nach googlen, neuinstallation von msn messenger und einem
bereinigen der registry, sowie sämtlichen virenscanns und spyware
search & destroy vorgängen schien zunächst alles wunderbar
msn funktioniert soweit problemlos. doch is mein rechner total
lahmarschig. antivir schlägt derzeit aller 2 minuten an und meldet
mir in der Datei 'C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Morphine.Gen' [trojan] gefunden.
Auftrag löschen, in quarantäne verschieben nützt mir alles nix,
antivir springt immer wieder drauf an.
und nein, meine google suchmaschine ist nicht kaputt,
ich hatte nur keine lust mich durch 2000 andere foren zu suchen,
die dasselbe problem, jedoch ohne klaren lösungsvorschlag,
beinhalten
lösungsvorschläge ?
kein bock wieder windows neu aufzuziehen !
folgendes problem seit gestern abend:
ich starte wie gewohnt meinen msn live messenger
schreibe mit einem kontakt und plötzlich geht garnix
mehr. msn hängt sich auf, das nachrichtenfenster wird
minimiert auf der taskleiste angezeigt, blinkt ab und zu
auf dem desktop auf. keine reaktion von msn wenn ich
aufs tray icon "rechtsklick > beenden" gehe.
taskmanager > prozess beenden, alles soweit beendet.
messenger neu gestartet > bekomm ich ne nachricht von
ner freundin "was schickste mir da fürn link?"...
Problem 1:
msn messenger hat automatisch an alle kontakte aus
meiner kontaktliste einen link geschickt mit dem inhalt "haha watch for blabla@hotmail.video =P"... sowas in der art.
Problem 2:
daraus wurde aus welchem grund auch immer von antivir
folgende Malware gefunden C:\WINDOWS\webconfig32.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Problem 3:
nach googlen, neuinstallation von msn messenger und einem
bereinigen der registry, sowie sämtlichen virenscanns und spyware
search & destroy vorgängen schien zunächst alles wunderbar
msn funktioniert soweit problemlos. doch is mein rechner total
lahmarschig. antivir schlägt derzeit aller 2 minuten an und meldet
mir in der Datei 'C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Morphine.Gen' [trojan] gefunden.
Auftrag löschen, in quarantäne verschieben nützt mir alles nix,
antivir springt immer wieder drauf an.
und nein, meine google suchmaschine ist nicht kaputt,
ich hatte nur keine lust mich durch 2000 andere foren zu suchen,
die dasselbe problem, jedoch ohne klaren lösungsvorschlag,
beinhalten
lösungsvorschläge ?
kein bock wieder windows neu aufzuziehen !
[color=cyan]Inaktiv ![/color]
win98 cd rein, im dosmodus von der cd booten, in den pfad gehen, datei löschen - wäre mein vorschlag
/edit:
für solche fälle habe ich immer eine mit Barts PE builder erstellte bootcd.
das teil ist genial, der lädt ein windows direkt von cd (mithilfe einer ramdisk)... sogar mit netzwerktreibern -> internet.
festplatte im arsch? cd rein: schon hat man ein funzendes betriebssystem zur fehlersuche/datenrettung.
http://de.wikipedia.org/wiki/Bart_PE
/edit:
für solche fälle habe ich immer eine mit Barts PE builder erstellte bootcd.
das teil ist genial, der lädt ein windows direkt von cd (mithilfe einer ramdisk)... sogar mit netzwerktreibern -> internet.
festplatte im arsch? cd rein: schon hat man ein funzendes betriebssystem zur fehlersuche/datenrettung.
http://de.wikipedia.org/wiki/Bart_PE
[i][size=75]"Hast du das ganze Acid eingeworfen?" - "So ist es! Musik!"[/size][/i]
- kullerauge
- Held der Arbeit
- Beiträge: 9603
- Registriert: 20.01.04 - 00:50
- Wohnort: eisenbahnstraße.. ja ich lebe noch!
- Kontaktdaten:
- muttis großer
- FDJ'ler
- Beiträge: 602
- Registriert: 25.07.04 - 15:05
- Wohnort: 4C 65 69 70 7A 69 67
such auf jeden fall noch hiermit ,
oft laufen versteckte Prozesse mit, die kein Taskmanager findet. Bringt dann auch wenig, die Datei zu löschen, wenn im Hintergrund ein Prozess diese Datei neu erstellt, oder verhindert, dass Sie gelöscht wird. Ansonsten zeigt Process Explorer, was alles an NICHT-VERSTECKTEN Prozessen mitläuft, worauf zugegriffen wird, welche Verbindungen aktiv sind. Und Finger weg von Russischen Pornoseiten
oft laufen versteckte Prozesse mit, die kein Taskmanager findet. Bringt dann auch wenig, die Datei zu löschen, wenn im Hintergrund ein Prozess diese Datei neu erstellt, oder verhindert, dass Sie gelöscht wird. Ansonsten zeigt Process Explorer, was alles an NICHT-VERSTECKTEN Prozessen mitläuft, worauf zugegriffen wird, welche Verbindungen aktiv sind. Und Finger weg von Russischen Pornoseiten
-
- Thälmannpionier
- Beiträge: 193
- Registriert: 29.11.07 - 21:05
- da_pARTyst
- Aktivist
- Beiträge: 1796
- Registriert: 28.05.07 - 17:04
- Wohnort: Connewitz
- Kontaktdaten:
ich glaub, das ist der erste post von dir, den ich seh und mir nicht diess--> " " durch den kopf geht.schlafstörer1987 hat geschrieben:das einfachste wäre trillian zu nutzen haste sogar icq und sowas mit dabei und musst den den live messi nehmen, da haste viellei glück und der virus bleibt weg
aber eig sucht reason ja erstmal ne lösung für sein prplem. dein vorschlag wäre dann vlt der nächste schritt. ob trillian sinnvoller ist, glaub ich trotzdem nicht. er braucht ja dann immer noch nen account bei msn, und wenn er dsa verseucht wird greifts vlt auch gleich mit auf icq und co über..
[color=black][quote="Laurent Garnier"]Er nahm Ectasy, war offensichtlich stolz darauf und schrieb es auf sein T-Shirt. Er war das genaue Gegenteil dessen, wofür wir uns einsetzten.[/quote][/color]
Marshall hat geschrieben:du hast einen virus.
Leidenschaft -> Erfolg
https://www.instagram.com/hartmann.s_art
https://www.instagram.com/hartmann.s_art
-
- Thälmannpionier
- Beiträge: 193
- Registriert: 29.11.07 - 21:05
that's virus manexzez hat geschrieben:Bild durch URL ersetzt: http://kulturschnitte.de/Sherlock/Bilde ... thbone.jpgMarshall hat geschrieben:du hast einen virus.
versuchs ma mit spybot s&d http://www.safer-networking.org/de/index.html
ja wie gesagt, das teil hats einfach an alle meine contacts geschicktkullerauge hat geschrieben:das hab ich von dir auch bekommen da ich sowas ähnliches aber selber schon mal hatte war ich vorgewarnt.
du solltest auf jeden fall dein msn passwort ändern, und falls du das passwort noch woanders hast dort auch!
geh mir nich aufn sack und laber woanders dumm rumMarshall hat geschrieben:du hast einen virus.
hab mal nachgesehen und im temporary internet files ordnerin der Datei 'C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Morphine.Gen' [trojan] gefunden.
die programmbibliothek 23nq.dll gefunden. google verrät nich
was diese datei wirklich beinhaltet, außer laut antivir den oben
genannten virus. was tun ? manuell löschen ?
[color=cyan]Inaktiv ![/color]
- muttis großer
- FDJ'ler
- Beiträge: 602
- Registriert: 25.07.04 - 15:05
- Wohnort: 4C 65 69 70 7A 69 67
manch virus erstellt bei jedem Neustart/Löschvorgang die Datei mit einem zufällig gewählten Namen neu. Google wird da nix finden Wie schon erwähnt, lass gmer durchlaufen, zeigt dir auch versteckte Prozesse an. mit autoruns
siehtst du, was alles gestartet wird.
siehtst du, was alles gestartet wird.
- lazy animal
- Rote Socke
- Beiträge: 4310
- Registriert: 02.08.04 - 16:09
- Wohnort: MTL
steht doch schon im ersten post von mir dass ich dasJoshi hat geschrieben:ich wiederhole mich zwar, aber hast mal spybot s&d probiert?
falls nicht, mach mal, is kostenlos
schon alles gemacht hab und im endeffekt nix dabei
raus kommt.
die quelle is ja bekannt wo der virus liegt
C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll
das problem is jetz wie ich die datei für immer löschen kann,
da sie sich immer wieder ersetzt. ich suche halt noch den prozess
der die datei nachm reboot immer wieder neu erstellt, um den
prozess dann zu killen
[color=cyan]Inaktiv ![/color]
- muttis großer
- FDJ'ler
- Beiträge: 602
- Registriert: 25.07.04 - 15:05
- Wohnort: 4C 65 69 70 7A 69 67
ups, sorry, nicht gesehen.
probier mal hijak this.
http://www.chip.de/downloads/HijackThis_13011934.html
wenn die datei in der registrierung hängt kann es sein das die sich immer wieder herstellt
da slogfile kannst dann hier auswerten lassen und ggf. den reg. eintrag löschen:
http://www.hijackthis.de/de
probier mal hijak this.
http://www.chip.de/downloads/HijackThis_13011934.html
wenn die datei in der registrierung hängt kann es sein das die sich immer wieder herstellt
da slogfile kannst dann hier auswerten lassen und ggf. den reg. eintrag löschen:
http://www.hijackthis.de/de
meld dich hier an die leute haben richtig ahnung
mach die schritte wie im link beschrieben, poste dein HJT Logfile und dann wirste schnell ne antwort bekommen!
http://forum.chip.de/viren-trojaner-wue ... 73778.html
mach die schritte wie im link beschrieben, poste dein HJT Logfile und dann wirste schnell ne antwort bekommen!
http://forum.chip.de/viren-trojaner-wue ... 73778.html
http://soundcloud.com/vaikesh
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:03, on 08.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Stardock\CursorFX\CursorFX.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINDOWS\service.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Windows Service] service.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [CursorFX] "C:\Programme\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O20 - AppInit_DLLs: ipghbs.dll shgmhm.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 5210 bytes
kann mal bitte jemand nachschauen ob die service.exeC:\WINDOWS\service.exe
Art
äußerst schädlich
Dies ist ein schädlicher Prozess! Den Prozess sollten Sie fixen und manuell löschen!
Eventuell gut! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Trojan
von windows vorgeschrieben ist/gebraucht wird, oder
es sich hier tatsächlich um einen schädlichen prozess
handelt ?
[color=cyan]Inaktiv ![/color]
thx a lot, hab ich jetz mal getan und mal schaun was rauskommt.der Onkel hat geschrieben:meld dich hier an die leute haben richtig ahnung
mach die schritte wie im link beschrieben, poste dein HJT Logfile und dann wirste schnell ne antwort bekommen!
http://forum.chip.de/viren-trojaner-wue ... 73778.html
vielleicht kann mir hier einer dennoch ne antwort geben ob es
sinnvoll wäre eine .rar mit dem gleichen namen zu erstellen und
in C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll
damit zu ersetzen ?
[color=cyan]Inaktiv ![/color]
http://www.file.net/prozess/service.exe.htmlreason hat geschrieben:kann mal bitte jemand nachschauen ob die service.exe
C:\WINDOWS\service.exe
Art
äußerst schädlich
Dies ist ein schädlicher Prozess! Den Prozess sollten Sie fixen und manuell löschen!
Eventuell gut! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Trojan
von windows vorgeschrieben ist/gebraucht wird, oder
es sich hier tatsächlich um einen schädlichen prozess
handelt ?
so wie sich das anhört würd ich die auf jeden fall mal killen.Sollte sich service.exe in einem Unterordner von C:\Windows\System32\drivers befinden, dann ist diese zu 79% gefährlich. Dateigröße ist 258130 bytes (54% aller Vorkommen), 250637 bytes, 550876 bytes, 48640 bytes, 312383 bytes. Es gibt keine Dateibeschreibung. Das Programm ist nicht sichtbar. Die Datei service.exe ist keine Systemdatei, befindet sich aber dennoch im Windows Order. Diese Datei wird vom Betriebssystem Windows nicht benötigt. Die Software lauscht oder sendet an einem Port um Daten ins LAN oder Internet zu senden.
Sollte sich service.exe in einem Unterordner von "C:\Program Files" befinden, dann ist diese zu 60% gefährlich. Dateigröße ist 860160 bytes (25% aller Vorkommen), 8464 bytes, 90112 bytes, 69632 bytes, 792064 bytes, 577024 bytes, 36864 bytes, 331776 bytes, 77824 bytes, 94208 bytes, 407040 bytes. service.exe ist keine Datei, die vom Windows System unbedingt benötigt wird. Das Programm ist nicht sichtbar. Es gibt kein Datei Impressum. service.exe kann Programme überwachen, sich versteckten, Internet Verbindung aufbauen.
Sollte sich service.exe im Ordner C:\Windows befinden, dann ist diese zu 67% gefährlich. Dateigröße ist 63309 bytes (69% aller Vorkommen), 11411 bytes, 77824 bytes, 7825817 bytes, 155798 bytes.
Sollte sich service.exe in einem Unterordner von C:\Windows\System32 befinden, dann ist diese zu 56% gefährlich. Dateigröße ist 86016 bytes (25% aller Vorkommen), 22528 bytes, 20992 bytes, 31744 bytes, 30208 bytes, 604160 bytes, 1789952 bytes.
Sollte sich service.exe in einem Unterordner von C:\Windows befinden, dann ist diese zu 57% gefährlich. Dateigröße ist 20992 bytes (60% aller Vorkommen), 97280 bytes, 89600 bytes.