[VIRUS] Crypt.Morphine.Gen

[reason]

tach alle zusamm

folgendes problem seit gestern abend:
ich starte wie gewohnt meinen msn live messenger
schreibe mit einem kontakt und plötzlich geht garnix
mehr. msn hängt sich auf, das nachrichtenfenster wird
minimiert auf der taskleiste angezeigt, blinkt ab und zu
auf dem desktop auf. keine reaktion von msn wenn ich
aufs tray icon "rechtsklick > beenden" gehe.
taskmanager > prozess beenden, alles soweit beendet.
messenger neu gestartet > bekomm ich ne nachricht von
ner freundin "was schickste mir da fürn link?"...

Problem 1:

msn messenger hat automatisch an alle kontakte aus
meiner kontaktliste einen link geschickt mit dem inhalt "haha watch for blabla@hotmail.video =P"... sowas in der art.

Problem 2:

daraus wurde aus welchem grund auch immer von antivir
folgende Malware gefunden C:\WINDOWS\webconfig32.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.

Problem 3:

nach googlen, neuinstallation von msn messenger und einem
bereinigen der registry, sowie sämtlichen virenscanns und spyware
search & destroy vorgängen schien zunächst alles wunderbar

msn funktioniert soweit problemlos. doch is mein rechner total
lahmarschig. antivir schlägt derzeit aller 2 minuten an und meldet
mir in der Datei 'C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Morphine.Gen' [trojan] gefunden.

Auftrag löschen, in quarantäne verschieben nützt mir alles nix,
antivir springt immer wieder drauf an.
und nein, meine google suchmaschine ist nicht kaputt,
ich hatte nur keine lust mich durch 2000 andere foren zu suchen,
die dasselbe problem, jedoch ohne klaren lösungsvorschlag,
beinhalten

lösungsvorschläge ?
kein bock wieder windows neu aufzuziehen !

[elias]

ich würd windows einfach neu aufziehen, auch wenn ich keine lust hätte....

[Triple_V]

win98 cd rein, im dosmodus von der cd booten, in den pfad gehen, datei löschen - wäre mein vorschlag

/edit:

für solche fälle habe ich immer eine mit Barts PE builder erstellte bootcd.
das teil ist genial, der lädt ein windows direkt von cd (mithilfe einer ramdisk)... sogar mit netzwerktreibern -> internet.

festplatte im arsch? cd rein: schon hat man ein funzendes betriebssystem zur fehlersuche/datenrettung.

http://de.wikipedia.org/wiki/Bart_PE

[Marshall]

du hast einen virus.

[elias]

marshall findste dich eigentlich selber lustig ? oder haste einfach nur tastentorrett ? -.-

[kullerauge]

das hab ich von dir auch bekommen da ich sowas ähnliches aber selber schon mal hatte war ich vorgewarnt.
du solltest auf jeden fall dein msn passwort ändern, und falls du das passwort noch woanders hast dort auch!

[Cortez]

marshall findste dich eigentlich selber lustig ? oder haste einfach nur tastentorrett ? -.-

[muttis großer]

such auf jeden fall noch hiermit ,
oft laufen versteckte Prozesse mit, die kein Taskmanager findet. Bringt dann auch wenig, die Datei zu löschen, wenn im Hintergrund ein Prozess diese Datei neu erstellt, oder verhindert, dass Sie gelöscht wird. Ansonsten zeigt Process Explorer, was alles an NICHT-VERSTECKTEN Prozessen mitläuft, worauf zugegriffen wird, welche Verbindungen aktiv sind. Und Finger weg von Russischen Pornoseiten

[schlafstörer1987]

das einfachste wäre trillian zu nutzen haste sogar icq und sowas mit dabei und musst den den live messi nehmen, da haste viellei glück und der virus bleibt weg

[da_pARTyst]

das einfachste wäre trillian zu nutzen haste sogar icq und sowas mit dabei und musst den den live messi nehmen, da haste viellei glück und der virus bleibt weg

ich glaub, das ist der erste post von dir, den ich seh und mir nicht diess--> " " durch den kopf geht.
aber eig sucht reason ja erstmal ne lösung für sein prplem. dein vorschlag wäre dann vlt der nächste schritt. ob trillian sinnvoller ist, glaub ich trotzdem nicht. er braucht ja dann immer noch nen account bei msn, und wenn er dsa verseucht wird greifts vlt auch gleich mit auf icq und co über..

[exzez]

du hast einen virus.

[schlafstörer1987]

du hast einen virus.

Bild durch URL ersetzt: http://kulturschnitte.de/Sherlock/Bilde ... thbone.jpg

that's virus man

[Joshi]

versuchs ma mit spybot s&d http://www.safer-networking.org/de/index.html

[reason]

das hab ich von dir auch bekommen da ich sowas ähnliches aber selber schon mal hatte war ich vorgewarnt.
du solltest auf jeden fall dein msn passwort ändern, und falls du das passwort noch woanders hast dort auch!

ja wie gesagt, das teil hats einfach an alle meine contacts geschickt

du hast einen virus.

geh mir nich aufn sack und laber woanders dumm rum

in der Datei 'C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Morphine.Gen' [trojan] gefunden.

hab mal nachgesehen und im temporary internet files ordner
die programmbibliothek 23nq.dll gefunden. google verrät nich
was diese datei wirklich beinhaltet, außer laut antivir den oben
genannten virus. was tun ? manuell löschen ?

[Dobe]

wie kommt man in diesen Temporary Internet files Ordner?
Bei mir wird der ausgeblendet.
Ordneroption: Alle Ordner anzeigen habsch.
Auch nicht durch suchen zu finden.

[reason]

gute frage, da ich sonst auch nie
weiter als Dokumente & Einstellungen gekommen bin
aber bei mir zeigts komischerweise seit neuestem auch
versteckte ordner an ?!

[muttis großer]

manch virus erstellt bei jedem Neustart/Löschvorgang die Datei mit einem zufällig gewählten Namen neu. Google wird da nix finden Wie schon erwähnt, lass gmer durchlaufen, zeigt dir auch versteckte Prozesse an. mit autoruns
siehtst du, was alles gestartet wird.

[reason]

jap, hab ich eben gemerkt
gestern die datei ausm ordner gelöscht, lange zeit war ruhe
eben rechner neugestartet, datei is wieder da.

ich hab gestern abend gmer laufen lassen, nur
woher soll ich wissen welcher prozess die datei
immer wieder neu erstellt ?

[lazy animal]

mal noch ein paar fragen zum system von dir:

winxp mit sp3 und allen sicherheitsupdates installiert?
router verwendet?

..............
empfehlen würde ich auch eine neuinstallation... einfach um ruhe zu bekommen und sicher zu sein, dass da nicht noch irgendwas ist...

[reason]

winxp home sp2
router verwendet ? ehm ja, sonst wär ich nich on ^^

andere frage: eine .rar datei mit dem selben namen wie
der virus (also 23nq) und ersetzen, sinnvoll ?

[Joshi]

ich wiederhole mich zwar, aber hast mal spybot s&d probiert?
falls nicht, mach mal, is kostenlos

[reason]

ich wiederhole mich zwar, aber hast mal spybot s&d probiert?
falls nicht, mach mal, is kostenlos

steht doch schon im ersten post von mir dass ich das
schon alles gemacht hab und im endeffekt nix dabei
raus kommt.

die quelle is ja bekannt wo der virus liegt

C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll

das problem is jetz wie ich die datei für immer löschen kann,
da sie sich immer wieder ersetzt. ich suche halt noch den prozess
der die datei nachm reboot immer wieder neu erstellt, um den
prozess dann zu killen

[muttis großer]

die Datei wird immer unter dem selben Namen neu erstellt ? Autoruns, Haken bei "Hide Microsoft ..." , F5 für aktualisieren. Die Liste als text exportieren und hier posten. Haste mit Gmer rot-markierte (versteckte) Prozesse ?

[Joshi]

ups, sorry, nicht gesehen.

probier mal hijak this.
http://www.chip.de/downloads/HijackThis_13011934.html

wenn die datei in der registrierung hängt kann es sein das die sich immer wieder herstellt

da slogfile kannst dann hier auswerten lassen und ggf. den reg. eintrag löschen:

http://www.hijackthis.de/de

[reason]

sorry bin grad überfordert

autoruns wird ausgeführt, kann aber nirgends "hide microsoft" finden, wo ich nen häkchen reinmachen könnte ^^

gmer > keine rot markierten prozesse

[der Onkel]

meld dich hier an die leute haben richtig ahnung

mach die schritte wie im link beschrieben, poste dein HJT Logfile und dann wirste schnell ne antwort bekommen!

http://forum.chip.de/viren-trojaner-wue ... 73778.html

[Marshall]

oh, vergessen zu antworten: ja ich finde mich lustig und meine fans geben mir recht. die blicken aber auch alle über den tellerrand hinweg und stellen sich nicht an wie ne scheibe weißbrot.

[reason]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:03, on 08.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Stardock\CursorFX\CursorFX.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINDOWS\service.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Windows Service] service.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [CursorFX] "C:\Programme\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O20 - AppInit_DLLs: ipghbs.dll shgmhm.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5210 bytes

C:\WINDOWS\service.exe

Art

äußerst schädlich
Dies ist ein schädlicher Prozess! Den Prozess sollten Sie fixen und manuell löschen!
Eventuell gut! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Trojan

kann mal bitte jemand nachschauen ob die service.exe
von windows vorgeschrieben ist/gebraucht wird, oder
es sich hier tatsächlich um einen schädlichen prozess
handelt ?

[reason]

meld dich hier an die leute haben richtig ahnung

mach die schritte wie im link beschrieben, poste dein HJT Logfile und dann wirste schnell ne antwort bekommen!

http://forum.chip.de/viren-trojaner-wue ... 73778.html

thx a lot, hab ich jetz mal getan und mal schaun was rauskommt.

vielleicht kann mir hier einer dennoch ne antwort geben ob es
sinnvoll wäre eine .rar mit dem gleichen namen zu erstellen und
in C:\Dokumente und Einstellungen\uninteressant\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I5P2VUL8\23nq[1].dll
damit zu ersetzen ?

[Joshi]

C:\WINDOWS\service.exe

Art

äußerst schädlich
Dies ist ein schädlicher Prozess! Den Prozess sollten Sie fixen und manuell löschen!
Eventuell gut! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Trojan

kann mal bitte jemand nachschauen ob die service.exe
von windows vorgeschrieben ist/gebraucht wird, oder
es sich hier tatsächlich um einen schädlichen prozess
handelt ?

http://www.file.net/prozess/service.exe.html

Sollte sich service.exe in einem Unterordner von C:\Windows\System32\drivers befinden, dann ist diese zu 79% gefährlich. Dateigröße ist 258130 bytes (54% aller Vorkommen), 250637 bytes, 550876 bytes, 48640 bytes, 312383 bytes. Es gibt keine Dateibeschreibung. Das Programm ist nicht sichtbar. Die Datei service.exe ist keine Systemdatei, befindet sich aber dennoch im Windows Order. Diese Datei wird vom Betriebssystem Windows nicht benötigt. Die Software lauscht oder sendet an einem Port um Daten ins LAN oder Internet zu senden.

Sollte sich service.exe in einem Unterordner von "C:\Program Files" befinden, dann ist diese zu 60% gefährlich. Dateigröße ist 860160 bytes (25% aller Vorkommen), 8464 bytes, 90112 bytes, 69632 bytes, 792064 bytes, 577024 bytes, 36864 bytes, 331776 bytes, 77824 bytes, 94208 bytes, 407040 bytes. service.exe ist keine Datei, die vom Windows System unbedingt benötigt wird. Das Programm ist nicht sichtbar. Es gibt kein Datei Impressum. service.exe kann Programme überwachen, sich versteckten, Internet Verbindung aufbauen.

Sollte sich service.exe im Ordner C:\Windows befinden, dann ist diese zu 67% gefährlich. Dateigröße ist 63309 bytes (69% aller Vorkommen), 11411 bytes, 77824 bytes, 7825817 bytes, 155798 bytes.

Sollte sich service.exe in einem Unterordner von C:\Windows\System32 befinden, dann ist diese zu 56% gefährlich. Dateigröße ist 86016 bytes (25% aller Vorkommen), 22528 bytes, 20992 bytes, 31744 bytes, 30208 bytes, 604160 bytes, 1789952 bytes.

Sollte sich service.exe in einem Unterordner von C:\Windows befinden, dann ist diese zu 57% gefährlich. Dateigröße ist 20992 bytes (60% aller Vorkommen), 97280 bytes, 89600 bytes.

so wie sich das anhört würd ich die auf jeden fall mal killen.