Hacker auf Facebook eingefangen?

Internet Internet Sicherheit
#1

Guten Abend alle zusammen,

ich habe eine ganz dringende Frage und zwar geht ja momentan in Facebook dieser Virus (Wurm) um mit der Kurz-URL. Bevor ich das jedoch wusste hab ich schonmal draufgeklickt, aber bei mir kam die Meldung „Server not found.“ Somit habe ich keine Datei runtergeladen, es soll ja angeblich eine Bilddatei sein.

Jetzt meine Frage, habe ich mir den Wurm eingefangen oder nicht?

Laut Spybot und Ad-Aware nichts.

Hier ist der Hijackthis-Log-File…
Zeigt der an, dass alles ok ist? Woran erkenn ich an dem file, das ein hacker drauf ist?

Vielen Dank schonmal =)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:59:08, on 15.08.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Vtune\TBPANEL.exe
C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE
C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe
C:\Windows\system\Cm106eye.exe
C:\Program Files (x86)\XFastUsb\XFastUsb.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTShellHlp.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Users\SoulZ\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM…\Run: [TkBellExe] „C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe“ -osboot
O4 - HKLM…\Run: [BCSSync] „C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe“ /DelayServices
O4 - HKLM…\Run: [XFastUsb] C:\Program Files (x86)\XFastUsb\XFastUsb.exe
O4 - HKLM…\Run: [Hercules DJ Series] C:\Program Files\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe /boot
O4 - HKLM…\Run: [facemoods] „C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe“ /md I
O4 - HKLM…\Run: [SunJavaUpdateSched] „C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe“
O4 - HKLM…\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM…\Run: [AdobeCS5ServiceManager] „C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe“ -launchedbylogin
O4 - HKLM…\Run: [LogMeIn Hamachi Ui] „C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe“ --auto-start
O4 - HKLM…\Run: [avgnt] „C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe“ /min
O4 - HKCU…\Run: [TBPanel] C:\Program Files (x86)\Vtune\TBPanel.exe /A
O4 - HKCU…\Run: [OfficeSyncProcess] „C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE“
O4 - HKCU…\Run: [Skype] „C:\Program Files (x86)\Skype\Phone\Skype.exe“ /nosplash /minimized
O4 - HKCU…\Run: [ICQ] „C:\Program Files (x86)\ICQ7.5\ICQ.exe“ silent loginmode=4
O4 - HKCU…\Run: [DAEMON Tools Lite] „C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe“ -autorun
O4 - HKCU…\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft SharePoint Workspace.lnk = C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Free YouTube Download - C:\Users\SoulZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\SoulZ\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra ‚Tools‘ menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Program Files (x86)\ICQ7.5\ICQ.exe
O9 - Extra ‚Tools‘ menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Program Files (x86)\ICQ7.5\ICQ.exe
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra ‚Tools‘ menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra ‚Tools‘ menuitem: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra ‚Tools‘ menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs…
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Hercules DJ Control MP3 (HerculesDJControlMP3) - Unknown owner - C:\Program Files\Hercules\Audio\DJ Console Series\HerculesDJControlMP3.EXE
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: Spiceworks (spiceworks) - Spiceworks, Inc. - C:\Program Files (x86)\Spiceworks\bin\spiceworks.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)


End of file - 12114 bytes

#2

Alles raus, was keine Miete zahlt!
Hallo,

ich habe eine ganz dringende Frage und zwar geht ja momentan
in Facebook dieser Virus (Wurm) um mit der Kurz-URL. Bevor ich
das jedoch wusste hab ich schonmal draufgeklickt, aber bei mir
kam die Meldung „Server not found.“ Somit habe ich keine Datei
runtergeladen, es soll ja angeblich eine Bilddatei sein.

Welcher Browser, welche Version? Jeder Browser hat Sicherheitslücken, die mal schneller, mal langsamer behoben werden. Da genügt schon ein einfacher Aufruf eines Links, oder einer Adresse um sich etwas einzufangen…

Folgender Link ist leider nicht neutral, aber doch etwas informativ:

-> http://www.gdata.de/fr/ueber-g-data/pressecenter/pre…

Jetzt meine Frage, habe ich mir den Wurm eingefangen oder
nicht?

Woher sollen wir das wissen?

-> http://www.pcwelt.de/news/Sicherheit-WOW-Wurm-greift…

Laut Spybot und Ad-Aware nichts.

Welche Version, welche Aktualität (Erkennungsdateien: aktuell j/n)?

-> http://www.netzwelt.de/news/86443-anleitung-so-entfe…

Hier ist der Hijackthis-Log-File…
Zeigt der an, dass alles ok ist? Woran erkenn ich an dem file,
das ein hacker drauf ist?

An badworm.exe , ne Scherz… :wink:

An deiner Stelle würde ich den Autostart entümpeln:

-> http://www.chip.de/downloads/CCleaner_16317939.html

Extras -> Autostart -> Einträge deaktivieren (nicht löschen!)

Dann knebel dein System nicht mit solchen Sachen wie Spybot S&D TeaTimer…

-> http://www.soehnitz.de/itsicherheit/virenscannersinn…

=> Eingeschränktes Konto, geupdatetes System + Anwendungen, vorsichtiges Verhalten und Backups/Wiederherstellungspunkte.

Grüße Roman

#3

Hey Roman =)

Welcher Browser, welche Version? Jeder Browser hat
Sicherheitslücken, die mal schneller, mal langsamer behoben
werden. Da genügt schon ein einfacher Aufruf eines Links, oder
einer Adresse um sich etwas einzufangen…

Firefox 4, aktuellste Version

Welche Version, welche Aktualität (Erkennungsdateien: aktuell
j/n)?

Spybot 1.6.2 und Ad-Aware 9.0.7 (beide aktuellster Stand)

An badworm.exe , ne Scherz… :wink:

haha, Clown gefrühstückt?^^
ja ne wirklich mal, woran erkennt man in dem Hijackfile, das da was fremdes drinne ist, was da nicht hin gehört?

Dann knebel dein System nicht mit solchen Sachen wie Spybot
S&D TeaTimer…

ja ich hatte gestern nur ma kurz installiert und den logfile erstellt, bevor ich off gegangen bin

#4

Hallo SoulZ,

-> http://www.netzwelt.de/news/86443-anleitung-so-entfe…

( mein schöner, schöner Link… )

Erste Analysen des Wurms ergeben, dass er keinen Schaden auf dem Rechner des Nutzers anstellt. Stattdessen zielt er wohl nur auf Klickbetrug ab und versucht den Nutzer in eine Abofalle zu locken. Es kursieren aber auch Meldungen, dass der Wurm in Zusammenhang mit dem Trojaner „TR/Kazy.mekml.1“ steht. Gehen Sie daher auf Nummer sicher und prüfen Sie ihren Rechner mit einem aktuellen Virenscanner auf einen Befall. Aktuelle Versionen verschiedener Virenscanner finden Sie im Software-Archiv von netzwelt.

Du scheinst nochmal Glück gehabt zu haben :wink:

Welcher Browser, welche Version? Jeder Browser hat
Sicherheitslücken, die mal schneller, mal langsamer behoben
werden. Da genügt schon ein einfacher Aufruf eines Links, oder
einer Adresse um sich etwas einzufangen…

Firefox 4, aktuellste Version

Aktuell ist 5.0.1/5.0

-> http://support.mozilla.com/de/kb/Firefox%20aktualisi…

haha, Clown gefrühstückt?^^

Selbstverständlich! Die schmecken so lecker in Ahornsirup und Schokopudding…

ja ne wirklich mal, woran erkennt man in dem Hijackfile, das
da was fremdes drinne ist, was da nicht hin gehört?

-> http://www.hijackthis.de/de
( „Automatische Auswertung Ihres HijackThis Logfiles“ )

Meine Idee
( ungetestet, da nie benötigt )

Du machst, nachdem du irgendwann das System neuinstalliert hast einen Scan und dieses Ergebnis aktualisierst du bei Updates und De-Installationen von Software und vergleichst dann bei Verdachtmomenten mit diesem sauberen Scanergebnis.

Es gibt viele Seiten, wo die Erkennungsmerkmale von Schadsoftware festgehalten ist. Da kann man dann so etwas entnehmen wie Registryeinträge, Systemordner, Dateinamen… oft bieten die Hersteller von Sicherheitssoftware solche Datenbanken an. Hier Ansätze:

-> http://www.viruslist.com/de/viruses/encyclopedia?cha…
-> http://www.avira.com/de/support-virus-lab

Grüße Roman