♂️♀️Pic.scr

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von Dendor, 16. Juli 2010 .

  1. 16. Juli 2010
    Hi Leute ich hab mal wieder ein Problem und hoffe Ihr könnt mir dabei helfen

    Wie der Titel schon sagt geht es um eine Datei namens "♂️♀️Pic.scr".
    Ich hab mich schon n bisschen über solche *.scr Dateien informiert und gelesen dass sie ein Trojaner sein sollen.
    In anderen Foren hab ich allerdings gelesen das es eine Malware sei die Sohanad oder so Herunterladen würde.

    Nunja mir geht es aber nicht um irgendwelche scr Dateien sondern um die "♂️♀️Pic.scr".


    Sie tauchte das erste mal so ca. im Mai auf meiner externen Festplatte auf daraufhin hab ich sie einfach gelöscht.
    So heute hab ich wieder mal durch den PC geschaut als ich sie wieder fand und auch auf der externen ist sie.
    Ich hab keine ahnung woher ich die hab.

    Ist sie gefährlich? Bitte helft mir. Danke!
     
    + Multi-Zitat Zitieren
  3. 16. Juli 2010
    AW: ♂️♀️Pic.scr

    Soweit ich weiß, soll die Datei ein PW Stealer sein..

    hab das mal in nem Hack Forum gelesen G Logger, heißt des Ding

    wie mans kriegt und wegbekommt keine ahnung sorry :S

    mfG
     
    + Multi-Zitat Zitieren
  4. 16. Juli 2010
    AW: ♂️♀️Pic.scr

    Danke für die schnelle antwort auch wenn sie nciht wirklich hilft. (Gibt wenigstens hoffnung )

    Naja zum Thema PW-Stealer: Wie man sieht besitze ich meinen Account bei euch noch und es wurde auch nichts gemacht was nicht ich gemacht habe. (Genau wie bei allen anderen Accounts die ich sonst noch irgendwo hab.)

    Ja sogar mein PayPal-Acc ist unberührt^^
     
    + Multi-Zitat Zitieren
  5. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    it das kann alles mögliche sein
    man kan es doch nennen wie man will
    das es auf deiner externen ist hört sich stark nach malware spreading an
    sowas haben viele bots oder trojaner, zb du schließt deine hdd bei deinem kumpel an der infiziert ist
    der bot oder auch trojaner legt dann diesen schadcode auf jeden wechseldatenträger in der hoffnung das du die datei ausführst und auch infiziert bist
    das selbe spiel gilt dann auch bei dir
     
    + Multi-Zitat Zitieren
  6. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    Gut jetzt weis ich bescheid.

    Aber ich weis noch nicht wie ich den Trojaner/Bot ... entfernen soll.
    Gibts da n Programm? Ich hab nämlich keine Lust Windoof neu zu installieren, wobei das nicht schlecht wäre.

    Was empfehlt Ihr mir?
     
    + Multi-Zitat Zitieren
  7. 17. Juli 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: ♂️♀️Pic.scr

    gehe nach diesem Thread vor: /threads/trojaner-malware-schuetzen-finden-entfernen.505083/

    und poste dann einen HijackthisLog. Den werten dann hier ein paar Leute aus. Ggf auch noch mit Malwarebytes http://www.hijackthis-forum.de/tipps-tricks/27959-malwarebytes-anti-malware-anleitung.html durchführen und einen "kompletten Scan" machen und auch diesen Log hier post.

    Wenn du das getan hast, bist du evtl. den Schädling schon los, oder ..... du musst doch in den sauren Apfel beißen und neu aufsetzen.

    Gruß

    R0cka
     
    + Multi-Zitat Zitieren
  8. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    HijackthisLog:
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:13:08, on 17.07.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Vtune\TBPANEL.exe
C:\Program Files (x86)\ICQ7.0\ICQ.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Winamp\winampa.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Program Files (x86)\ROCCAT\Kone Mouse\KoneHID.EXE
C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
C:\Program Files (x86)\ROCCAT\Kone Mouse\osd.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Dendor\Downloads\mbam-setup-1.46.exe
C:\Users\Dendor\AppData\Local\Temp\is-V00NG.tmp\mbam-setup-1.46.tmp
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O3 - Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - (no file)
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [Kone] "C:\Program Files (x86)\ROCCAT\Kone Mouse\KoneHID.EXE"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [TBPanel] C:\Program Files (x86)\Vtune\TBPanel.exe /A
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: CurseClientStartup.ccip
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8693 bytes

    und Malwarebytes dauert sicher noch n bisschen das poste ich dann nacher.

    Edit:
    Code:
    Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4321

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.07.2010 13:05:18
mbam-log-2010-07-17 (13-05-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|X:\|Z:\|)
Durchsuchte Objekte: 262977
Laufzeit: 47 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Spiele\Call of Duty 4\Key\CoD4 KEYGEN.exe (HackTool.Keygen) -> No action taken.
C:\Users\Dendor\AppData\Local\Temp\File2.exe (Trojan.Agent) -> No action taken.
X:\Neuer Ordner\Spiele\Call of Duty 4\Key\CoD4 KEYGEN.exe (HackTool.Keygen) -> No action taken.
C:\Users\Dendor\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> No action taken.
    also den keygen kann ich ja behalten oder?

    wie siehts mit svchost.exe und File2.exe aus? Soll ich sie entfernen??

    Ok File2.exe is glaub nur n Bot (Rechtsklick --> Eigenschaften --> Details --> Originaldateiname: bot.exe) und kommt von der Dateie ♂️♀️Pic.scr
     
    + Multi-Zitat Zitieren
  9. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    svchost.exe und File2.exe sollten entfernt werden, die gehören da nämlich nicht rein

    bei hijackthis fixen:

    R3 - URLSearchHook: (no name) - - (no file)
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing)
    O3 - Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - (no file)
    O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing)

    ps: *.scr sind nicht immer trojaner, die endung haben normalerweise bildschirmschoner
    in deinem fall is es aber zu 100% ein bot/trojaner.
     
    + Multi-Zitat Zitieren
  10. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    Die 4 auswählen (also häckchen setzte) und auf fix checked klicken?
     
    + Multi-Zitat Zitieren
  11. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    richtig. Dein Problem sollte dann komplett behoben sein HJT und Malwarebytes hätten dann alles erledigt.

    Die Datei File2.exe hättest du auch bei Jotti noch mal hochladen und auswerten lassen. Nun ist sie aber weg und das ist auch gut so

    Schönes WE
    R0cka
     
    + Multi-Zitat Zitieren
  12. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    Kannste mir mal die Datei auf xup.in hochladen ?
    Will sie mir mal ansehen ...
    Von mir aus auch über PN

    bb. master80
     
    + Multi-Zitat Zitieren
  13. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    Sorry musst nen anderen Infizierten suchen.

    Danke an alle die mir geholfen haben.
     
    + Multi-Zitat Zitieren
  14. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    Nochmal fürs Protokoll:
    scr-Dateien sind vom Konzept her Bildschirmschoner.
    Allerdings dient die Endung nur dazu, dass Windows sie als solche erkennt.
    Allgemein sind .scr-Dateien ganz normale Anwendungen. Eine .scr sollte also genauso vorsichtig behandelt werden wie eine .exe oder eine .com.

    Es kommt immer auf die Umstände an. Wenn du dir von einer seriösen Seite einen Bildschirmschoner gezogen hast, musst du dir keine Gedanken machen.
    Ansonsten aber schon.
     
    + Multi-Zitat Zitieren
  15. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    Ich wusste ja nichtmal woher die Datei kam.
    Der name war so verlockend
     
    + Multi-Zitat Zitieren
  16. 17. Juli 2010
    AW: ♂️♀️Pic.scr

    Wie schon erwähnt .. *.scr ist eigentlich eine screensaver datei ..allerdings werden dort sehr oft viren/trojaner/würmer etc untergebracht bzw einem untergejubelt weil viele halt denken "ooh ein bildschirmschoner direkt ma installieren" .. (so wie bei dir geschehen) und zack hast nen virus/wurm oder trojaner .. (egal welcher art)
     
    + Multi-Zitat Zitieren
  17. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten