Rootkit? "MyAlbum2007.zip" über MSN

Ich hab mir eine Art Rootkit eingefangen. Über einen Bekannten im MSN hab ich die Datei MyAlbum2007.zip runtergezogen. An sich dacht ich mir nichts schlimmes, eine nette Idee seine Fotos als Screensaver zu verpacken. Hab installiert und merkte das es sich um eine Art Virus handeln muss der sich über die Kontaktliste verbreitet. Andere Bekannte fragten mich was ich denn für ein Album schicken würde.
So weit ich weiss werden so mehrere Viren, Trojaner und Malware verbreitet (TR/Crypt.ULPM.Gen, TR/Dldr.IstBar.PN.1, TR/Dldr.IstBar.FQ, HEUR Malware)
Antivir gibt mir alle Nase lang Mitteilung darüber das immer wieder diese genannten Viren gefunden wurden. Also besser im Moment MSN, ICQ etc nich laufen lassen und garnich erst besagte "MyAlbum2007" ziehen.

 

Was mit Sicherheit nicht koscher ist, ist der Dienst : GLZLHVDJCQITNU, der angeblich von sysinternals.com stammt Den würde ich in jedem Fall mal deaktivieren, denn die sysinternals-Tools arbeiten nicht mit Diensten.

 

Ich hoffe, dass du nicht nur die kostenlose Personal Edition von Antivir hast und den Kram auch wieder los wirst.

 

mit Antivir kann ich höchstens Quarantäne oder Zugriff verweigern ausführen. Ich hab alles verdächtige bis jetz gelöscht. was mir komisch vorkam und lass Testweise Trillian, MSN oder ICQ laufen. Man sollte auf keinen Fall auf Mitteilungen reagieren die "Meine heissen Fotos :-P" oder ":yosend" heissen, egal ob von Bekannten oder nich. In meinem Bekanntenkreis kamen schon mehrere solche Messis.
Die Datei von sysinternals.com hab ich schon gelöscht.
Man sollte mehrere Tools durchlaufen lassen. Adaware, Spybot, Antivir. Der Rootkit Revealer hat ethliches gefunden, F-Secure Backlight garnichts. Wer was weiss sollte sofort posten. Und die Probleme tauchen auch mit Trillian auf, weiss nich wie es bei Miranda ist. Hier gibt es Leute die das gleiche Problem haben:http://blog.simplyradio.de/2007/07/01/achtung-achtung-trojaner-arlarm-im-msn/#comments

 

oder

http://www.nighttiger.net/

 

OK. Danke Humi. Das hilft echt weiter. Nachdem der Ordner C:\Install samt der Datei Ghost.exe und die sysdriver.dll in C:\Windows\System32 gelöscht wurde hab ich noch eine Frage. Was ist mit der Screensaverdatei ssmypics.scr? Die generiert sich nach jedem Löschen wieder neu.

 

mach doch mal ein hijackthis log und poste es als .txt

 

es ist schon kurios... Ich weiss nicht was es zu bedeuten hat aber Antivir spuckte mir eben gerade wieder 3 Virenmeldungen raus (szqwpg.exe,qarave.exe,uoirzq.exe... alle mit dem Virus DR/Dldr.IstBar.124756) Hab diese jetz in Quarantäne geschickt. Befanden sich in meinem Profilordner unter C:\Dokumente und Einstellungen

Hijackthis-file im Anhang...

 

Im C:\Windows befand sich noch die Myalbum2007.zip. Ergo, auch gelöscht, die mypics.scr gehört wohl zum system, also ist es normal. Denke nich das es an der liegt. Vielleicht is das System jetzt endlich sauber.

Allerdings, auf Virustotal lies ich die install.exe testen und Ikarus fand den Virus Win32.suspect.crc
Ein paar Ergebnisse was Virustotal über die einzelnen Dateien gefunden hat im Anhang

 

Noch ein paar Resultate von Virustotal...

 

Wie sieht es eigentlich aus wenn man Miranda benutzt? Ich habe dummerweise auch die Datei ausgeführt, aber bei mir gibt es keinen Install Ordner in dem sich eine Ghost.exe befindet. Und auch die sysdriver.dll gibt es bei mir auch nicht. Kann ich davon ausgehen, dass ich nicht infiziert bin oder habe ich vllt einfach eine andere Version des Virus?

 

OK hier ist es:

 

Das Logfile ist sauber, keine Infektion erkennbar.

 

Naja..ich habe jetzt sicherheitshalber Windows neuinstalliert. Trotzdem danke für die Hilfe