Neuer Facebook-Virus - Paules-PC-Forum.de

devilmaison · 09.10.2011, 12:25

Hallo, am Donnerstag bekam ich einen Link, welcher sich bei mir eingenisstet hat, denn seit dem spinnt mein System.

Das Ding hieß Allezdax.com...

Als erstes kam die Meldung das ich einen Bootvirus hatte, diesen aber erfolgreich beseitigen konnte.

Seit dem funktioniert aber folgendes nicht mehr... Beim Kopieren von ordnern werden nur 2kb große Verknüpfungen angelegt, wo bei der Speicher auf dem Flash belegt wird.

Ich brauche dringend rat....

bin für jede Hilfe dankbar

(Wuotan): Link entfernt: Da ich nicht weiß, ob sich der daraufklickende User damit diesen Virus oder was auch immer einfängt (ICH werd den Teufel tun um drauf zu klicken

), habe ich diesen Link entfernt und den Thread ins Virenforum verschoben

**AHT** · 09.10.2011, 14:28

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

devilmaison · 09.10.2011, 17:24

File-Upload.net - Drivers.txt
File-Upload.net - Eventlog.txt
File-Upload.net - Files.txt
File-Upload.net - Firewall.txt
File-Upload.net - Hidden.txt
File-Upload.net - MD5.txt
File-Upload.net - ppFiles.txt
File-Upload.net - Modules.txt
File-Upload.net - ppRegistry.txt
File-Upload.net - Processes.txt
File-Upload.net - Scripting.txt
File-Upload.net - Services.txt
File-Upload.net - Threads.txt
File-Upload.net - Warnings.txt

so hier die links

**AHT** · 09.10.2011, 18:07

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C::\PPFS_Sicherung
MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Local\Temp\dwm.exe>C:\PPFS_Sicherung\dwm.ex1
MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Local\Temp\lvvm.exe>C:\PPFS_Sicherung\lvvm.ex1
MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Local\Temp\8981220.exe>C:\PPFS_Sicherung\8981220.ex1
MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Local\Temp\1518511.exe>C:\PPFS_Sicherung\1518511.ex1
MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Roaming\Microsoft\lvvm.exe>C:\PPFS_Sicherung\lvvm.ex2
MOVE_FILE_ON_REBOOT->C:\Users\Micha\M-1-52-5782-8752-5245\winsvc.exe>C:\PPFS_Sicherung\winsvc.ex3
SHUTDOWN->5

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Ausführen des Scripts, müsste sich der Rechner neu starten. Passiert irgendwas anderes, bitte melden.

Nach dem Ausführen des Scripts geht's sofort weiter, bitte dann gleich hier melden.

devilmaison · 09.10.2011, 18:22

wie beschrieben ausgeführt, aber statt neustart ging rechner komplett aus und ist jetzt arg langsam.

devilmaison · 09.10.2011, 18:24

aber die meldungen von avira sind jetzt verschwunden...

**AHT** · 09.10.2011, 18:27

OK - sind ja noch nicht fertig.

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

SEND_MESSAGE->188.118.154.146
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->188.118.154.146
->81
->C:\PPFS_Sicherung

GUARD von AntiVir stoppen.
Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Meldet sich deine Firewall, erlaube dem Scanner den Internetzugriff.
Ist das Script ausgeführt, Guard von AntiVir wieder starten.

devilmaison · 09.10.2011, 18:29

bevor ich den script ausführ den guard stoppen?

devilmaison · 09.10.2011, 18:32

so getan, firewall wollte nichts...

**AHT** · 09.10.2011, 18:39

Das gleiche noch einmal mit folgendem Script tun.
Auch hier vorher Guard von AntiVir deaktivieren und nachher wieder aktivieren:

Code:

SEND_MESSAGE->188.118.154.146
->81
->Hallo, der Client will was!
SLEEP->2000
SEND_FILE->188.118.154.146
->81
->C:\PPFS_Sicherung\dwm.ex1
SEND_FILE->188.118.154.146
->81
->C:\PPFS_Sicherung\lvvm.ex1
SEND_FILE->188.118.154.146
->81
->C:\PPFS_Sicherung\8981220.ex1
SEND_FILE->188.118.154.146
->81
->C:\PPFS_Sicherung\1518511.ex1
SEND_FILE->188.118.154.146
->81
->C:\PPFS_Sicherung\lvvm.ex2
SEND_FILE->188.118.154.146
->81
->C:\PPFS_Sicherung\winsvc.ex3
SLEEP->40000
END->

Warten, bis der Scanner sich selbst beendet!

devilmaison · 09.10.2011, 18:42

so stand immer dort "Datei konnte nicht gesendet werden"

**AHT** · 09.10.2011, 18:51

Schade - ist aber nicht so schlimm.
Combofix herunterladen, auf dem Rechner abspeichern und ausführen. Den GUARD von AntiVir wieder stoppen. Warten, bis Combofix fertig ist - solange nichts am Rechner machen.
LOG von Combofix wieder hochladen und Link posten.

devilmaison · 09.10.2011, 19:20

sorry.. muste erstmal den blöden proxy der sich eingeschaltet hat entfernen

devilmaison · 09.10.2011, 19:20

so die logfile ist wo gespeichert? weil sie bei mir nur im editor steht

devilmaison · 09.10.2011, 19:22

glaube hab sie mom. bitte bescheid geben ob es die richtigen sind

09.10.2011, 12:25	#1 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	Neuer Facebook-Virus Hallo, am Donnerstag bekam ich einen Link, welcher sich bei mir eingenisstet hat, denn seit dem spinnt mein System. Das Ding hieß Allezdax.com... Als erstes kam die Meldung das ich einen Bootvirus hatte, diesen aber erfolgreich beseitigen konnte. Seit dem funktioniert aber folgendes nicht mehr... Beim Kopieren von ordnern werden nur 2kb große Verknüpfungen angelegt, wo bei der Speicher auf dem Flash belegt wird. Ich brauche dringend rat.... bin für jede Hilfe dankbar (Wuotan): Link entfernt: Da ich nicht weiß, ob sich der daraufklickende User damit diesen Virus oder was auch immer einfängt (ICH werd den Teufel tun um drauf zu klicken ), habe ich diesen Link entfernt und den Thread ins Virenforum verschoben Geändert von Wuotan (09.10.2011 um 12:34 Uhr)

09.10.2011, 14:28	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 17:24	#3 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	Links File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - ppFiles.txt File-Upload.net - Modules.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Warnings.txt so hier die links

09.10.2011, 18:07	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C::\PPFS_Sicherung MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Local\Temp\dwm.exe>C:\PPFS_Sicherung\dwm.ex1 MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Local\Temp\lvvm.exe>C:\PPFS_Sicherung\lvvm.ex1 MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Local\Temp\8981220.exe>C:\PPFS_Sicherung\8981220.ex1 MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Local\Temp\1518511.exe>C:\PPFS_Sicherung\1518511.ex1 MOVE_FILE_ON_REBOOT->C:\Users\Micha\AppData\Roaming\Microsoft\lvvm.exe>C:\PPFS_Sicherung\lvvm.ex2 MOVE_FILE_ON_REBOOT->C:\Users\Micha\M-1-52-5782-8752-5245\winsvc.exe>C:\PPFS_Sicherung\winsvc.ex3 SHUTDOWN->5 Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Nach dem Ausführen des Scripts, müsste sich der Rechner neu starten. Passiert irgendwas anderes, bitte melden. Nach dem Ausführen des Scripts geht's sofort weiter, bitte dann gleich hier melden. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 18:22	#5 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	script wie beschrieben ausgeführt, aber statt neustart ging rechner komplett aus und ist jetzt arg langsam.

09.10.2011, 18:24	#6 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	aber die meldungen von avira sind jetzt verschwunden...

09.10.2011, 18:27	#7 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	OK - sind ja noch nicht fertig. PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: SEND_MESSAGE->188.118.154.146 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FOLDER->188.118.154.146 ->81 ->C:\PPFS_Sicherung GUARD von AntiVir stoppen. Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Meldet sich deine Firewall, erlaube dem Scanner den Internetzugriff. Ist das Script ausgeführt, Guard von AntiVir wieder starten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 18:29	#8 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	bevor ich den script ausführ den guard stoppen?

09.10.2011, 18:32	#9 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	so getan, firewall wollte nichts...

09.10.2011, 18:42	#11 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	so stand immer dort "Datei konnte nicht gesendet werden"

09.10.2011, 18:51	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Schade - ist aber nicht so schlimm. Combofix herunterladen, auf dem Rechner abspeichern und ausführen. Den GUARD von AntiVir wieder stoppen. Warten, bis Combofix fertig ist - solange nichts am Rechner machen. LOG von Combofix wieder hochladen und Link posten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 19:20	#13 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	sorry.. muste erstmal den blöden proxy der sich eingeschaltet hat entfernen

09.10.2011, 19:20	#14 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	so die logfile ist wo gespeichert? weil sie bei mir nur im editor steht

09.10.2011, 19:22	#15 (Direktlink)
devilmaison Ist öfter hier Registriert seit: 09.10.2011 Beiträge: 76	glaube hab sie mom. bitte bescheid geben ob es die richtigen sind

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Facebook Virus - erpressungs Versuch	an apple a day	Viren-Forum	33	04.09.2011 22:04
[Windows 7-32 bit] Facebook-Virus	FallenDice	Viren-Forum	9	30.08.2011 20:24
[Sonstiges] Facebook-Virus :(	Unregistriert	Viren-Forum	13	23.08.2011 20:12
Facebook-Virus mit dem Foto	Unregistriert	Viren-Forum	1	15.08.2011 19:58
[Windows 7-32 bit] Facebook Virus [GELÖST]	Shawni	Viren-Forum	5	10.03.2011 21:10