Neuer Virus Foto12.exe

Servus

ich habe einen virus, dessen Datei sich foto12.exe, nennt. Ich hab ihn über den MSN Messenger aus Argentinien bekommen. Im Internet konnte ich keine Lösung zur Beseitigung finden und der aktuelle antivir findet auch nichts.

Der Virus hat sich sofort über andere offene Messengerfenster verbreitet...


Hier meine Logfile, viell findet ja jemand etwas ungewöhnliches.

http://www.hijackthis.de/logfiles/8518a07769772a321d31a16843e83d20.html


Ich danke euch für eur Hilfe!

Gruß Volker

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/viren-tr...bedingt-lesen-posten-von-hijackthis-logs.html

Es kann auch als Textdatei an den Beitrag angehängt werden.

Gruß
Nevok
----------------------------------------------------------------

 

Hallo,
1.) Sticky lesen zum Thema hijackthis Logs posten.
2.)

Und warum hast du die Datei ausgeführt?
3.) Stelle dich schonmal auf einen Totalschaden ein. Beende mal den Prozess findx.exe und überprüfe die zugehörige Datei c:\windows\findx.exe hier und poste das Ergebnis. Außerdem überprüfst du auchnoch die Datei C:\WINDOWS\IECodecPlg.dll.


Grüße Jasager

 

Hallo vtenhaeff

Folgenden Eintrag bitte fixen:

O2 - BHO: CIEObjectObj Object - {CA13D72F-2DAC-4D99-B08D-C5EA1C920E89} - C:\WINDOWS\IECodecPlg.dll


Die folgenden Datei:

C:\windows\findx.exe

online unter http://virusscan.jotti.org/de/ oder http://www.virustotal.com/en/indexx.html untersuchen lassen und das Ergebnis hier posten:


Deine Java-Version ist veraltet. Bitte auf http://java.sun.com/javase/downloads/index.jsp klicken, bis Java Runtime Environment (JRE) 5.0 Update 8 und dort auf "Download" klicken, die Datei "jre-1_5_0_08-windows-i586-p.exe" und ausführen.


Die Datei foto12.exe wird im HijachThis-Log nicht angezeigt. Bitte durchsuche deinen Rechner nach dieser Datei. Sollte sie nicht gefunden werden, so könnte sie mittels Rootkit versteckt worden sein. Bitte mal das System mit F-Secure-Blacklight oder dem Rootkit Revealer scannen.


Gruß
Nevok

 

ok das mit den hijackthis logs wusste ich nicht. bin nicht so foren und pc bewandert, werde es mir aber merken!

tjaa ist dumm gelaufen, habe freunde in argentinien und einer wollte mir eben ein foto schicken und ich habe nicht darauf geachtet, dass es wohl eine .exe datei war.

ok habe die datei C:\windows\findx.exe scannen gelassen mit folgendem ergebnis:

Datei: findx.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Heuristic/Trojan.Downloader gefunden (mögliche Variante)
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
PSW.Banker2.MSK gefunden
BitDefender
Trojan.Downloader.AJI gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
W32/Downloader.AFRF gefunden
Fortinet
Banker!tr.pws gefunden
Kaspersky Anti-Virus
Trojan-Spy.Win32.Banker.bve gefunden
NOD32
Win32/TrojanDownloader.Agent.AUI gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Trojan-Spy.Win32.Banker.bve gefunden



den Prozess habe ich beendet.

und die Datei foto12.exe ist direkt in c gespeichert, also noch nichtmal in einem unterzerzeichnis.

ok soweit

danke euch für euer bemühen

gruß vtenhaeff

 

Hallo,
ich sehe das dir schon bei chip von mmk geholfen wird, also bist du ja in guten Händen. Wird aber wohl auf ein Neuaufsetzen des Systems hinauslaufen.


Grüße Jasager

 

hmm zum thema neu aufsetzen des systems:

also ich hab zur zeit bis auf den messenger keinerlei probleme oder programme die nicht laufen. kann sich das noch ändern??? sollte ich jetzt noch meine eigenen dateien sichern??

Gruß

vtenhaeff

 

Hallo,
so wie ich das sehe wartet der Trojaner darauf das du eine Onlinebanking Seite in den Browser eintippst und leitet dich dann auf eine speziell präperierte Seite um, wo dann PIN und TAN entsprechend abgefangen werden. Da der Trojaner aber auch noch beliebige andere Malware nachladen kann, ist man einfach nie sicher das man alles entfernt hat. Für mich waäre das nunmal Grung genug dem System nicht mehr zu vertrauen und es somit neu aufzusetzen.
Hier mal eine Anleitung wie dabei vorgegangen werden sollte.


Grüße Jasager

 

Hallo,

der "mmk" interessiert sich persönlich für deinen Virus, hat er schon geantwortet ?

 

Sieht nicht gut aus, aber mir einmal Infos über die "Findx.exe" beschafft:

COVERT ANALYSIS OF: FINDX.EXE

* File Names Used: 72
* Paths Used: 68
* Common File Name: FINDX.EXE
* Common Path: %WINDIR%\
* Vendor Information: No Vendor details specified
* FINDX.EXE may use 72 or more path and file names, these are the most common:
* 1 :%appdata%\mozilla\firefox...jdr1eke6.default\cache\D5499497D01
* 2 :%appdata%\opera\opera\pro...he4\temporary_download\FOTO12.EXE
* 3 :%CACHE%\CONTENT.IE5\????????\FOTO12[1].EXE
* 4 :%CACHE%\CONTENT.IE5\????????\FOTO12[3].EXE
* 5 :%DESKTOP%\FOTO12.EXE
* 6 :%documents%\my completed downloads\FWBEFUVPCE
* 7 :%DOCUMENTS%\MY PROGRAMS\FOTO12.EXE
* 8 :%localappdata%\mozilla\fi...925gfqem.default\cache\D5499497D01
* 9 :%localappdata%\mozilla\fi...g6zkwd3l.default\cache\D5499497D01
* 10:%localappdata%\mozilla\fi...rtus3yxo.default\cache\D5499497D01
* File Name Structure: Normal
* File and Path Structure: Suspicious, unusually high number of file and path combinations

2. RELATIONSHIP ANALYSIS OF: FINDX.EXE

* Malicious Objects Created: 3 objects
* Malicious Creators: 2
* Malware Run Keys: Creates registry run keys for known malware objects
* Self Persists: Yes, creates copies of itself


3. ACTIVITY ANALYSIS OF: FINDX.EXE

* The following behaviors have been observed for this object:
* Installs programs.
* Deletes programs.
* Invokes dll components.
* Creates Run Keys.
* Runs other programs.
* Communicates with web sites using httpout protocols.
* Hijacks running processes.
* Creates registry entries.
* Creates run keys for known malware.
* Creates known malware.
* Creates copies of itself.