worm/ircbot.53792xx

#0
11.10.2005, 00:15
...neu hier

Themenstarter

Beiträge: 10
#16 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FCD3-B4ED

Verzeichnis von C:\WINDOWS\system32

10.10.2005 21:42 39.992 perfc009.dat
10.10.2005 21:42 311.604 perfh009.dat
10.10.2005 21:42 48.156 perfc007.dat
10.10.2005 21:42 316.594 perfh007.dat
10.10.2005 21:42 723.744 PerfStringBackup.INI
10.10.2005 21:33 219.648 uxtheme.dll
10.10.2005 21:29 2.206 wpa.dbl
10.10.2005 21:28 269 spupdwxp.log
10.10.2005 21:27 93.480 FNTCACHE.DAT
10.10.2005 20:56 3.082 affv9869p2now.sys
10.10.2005 20:14 0 h323log.txt
10.10.2005 19:25 25.065 wmpscheme.xml
10.10.2005 19:22 237 $winnt$.inf
10.10.2005 19:19 2.951 CONFIG.NT
10.10.2005 19:19 16.832 amcompat.tlb
10.10.2005 19:19 23.392 nscompat.tlb
10.10.2005 19:18 488 WindowsLogon.manifest
10.10.2005 19:18 488 logonui.exe.manifest
10.10.2005 19:18 749 ncpa.cpl.manifest
10.10.2005 19:18 749 wuaucpl.cpl.manifest
10.10.2005 19:18 749 sapi.cpl.manifest
10.10.2005 19:18 749 cdplayer.exe.manifest
10.10.2005 19:18 749 nwc.cpl.manifest
10.10.2005 19:17 21.740 emptyregdb.dat
27.10.2004 15:20 24.576 msxml3a.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FCD3-B4ED

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

10.10.2005 23:43 797.676 IMT1E.xml
10.10.2005 23:43 426 IMT1D.xml
10.10.2005 23:43 2.002 IMT1C.xml
10.10.2005 23:43 797.676 IMT1A.xml
10.10.2005 23:43 426 IMT19.xml
10.10.2005 23:43 2.002 IMT18.xml
10.10.2005 22:44 65.536 ~DF940D.tmp
10.10.2005 22:24 0 BCG1.tmp
10.10.2005 20:56 2.660.134 ~~aff5-inst-now52.exe
10.10.2005 20:35 6.170.607 STG8.tmp
10.10.2005 20:34 490 STG2.tmp
10.10.2005 20:21 71.680 35d26.mst

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FCD3-B4ED

Verzeichnis von C:\WINDOWS

10.10.2005 23:37 923 wmsetup.log
10.10.2005 23:37 60.780 ntbtlog.txt
10.10.2005 22:29 6.517 WindowsUpdate.log
10.10.2005 22:24 0 0.log
10.10.2005 22:23 2.048 bootstat.dat
10.10.2005 22:23 1.748 SchedLgU.Txt
10.10.2005 21:56 0 nsreg.dat
10.10.2005 21:38 8.494 RestoreFlyakiteOSX.txt
10.10.2005 21:31 341.544 setupapi.log
10.10.2005 21:31 29.185 spupdsvc.log
10.10.2005 21:30 360 DtcInstall.log
10.10.2005 21:29 316.640 WMSysPr9.prx
10.10.2005 21:29 1.174 OEWABLog.txt
10.10.2005 21:29 2.748 iis6.log
10.10.2005 21:29 21.650 comsetup.log
10.10.2005 21:29 12.316 ntdtcsetup.log
10.10.2005 21:29 4.757 imsins.log
10.10.2005 21:29 16.989 tsoc.log
10.10.2005 21:29 2.292 ocmsn.log
10.10.2005 21:29 32.665 ocgen.log
10.10.2005 21:29 2.056 msgsocm.log
10.10.2005 21:29 28.754 FaxSetup.log
10.10.2005 21:28 751.024 setuplog.txt
10.10.2005 21:26 408.973 svcpack.log
10.10.2005 21:25 1.393 imsins.BAK
10.10.2005 21:21 200 cmsetacl.log
10.10.2005 21:20 487 win.ini
10.10.2005 21:20 1.330 sessmgr.setup.log
10.10.2005 21:05 597 medctroc.Log
10.10.2005 20:50 99.970 UninstallFirefox.exe
10.10.2005 20:50 2.608 mozver.dat
10.10.2005 20:14 50 wiaservc.log
10.10.2005 20:14 509 wiadebug.log
10.10.2005 20:14 0 Sti_Trace.log
10.10.2005 20:12 1.348 regopt.log
10.10.2005 20:12 231 system.ini
10.10.2005 20:11 0 setuperr.log
10.10.2005 19:23 8.192 REGLOCS.OLD
10.10.2005 19:22 182.787 setupact.log
10.10.2005 19:19 0 control.ini
10.10.2005 19:19 299.552 WMSysPrx.prx
10.10.2005 19:19 4.161 ODBCINST.INI
10.10.2005 19:19 280 Windows Update.log
10.10.2005 19:18 749 WindowsShell.Manifest
10.10.2005 19:17 37 vbaddin.ini
10.10.2005 19:17 36 vb.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FCD3-B4ED

Verzeichnis von C:\

11.10.2005 00:14 0 sys.txt
11.10.2005 00:14 4.300 system.txt
11.10.2005 00:13 869 systemtemp.txt
11.10.2005 00:13 86.384 system32.txt
10.10.2005 22:23 402.653.184 pagefile.sys
10.10.2005 21:37 253 boot.ini
10.10.2005 21:11 47.564 NTDETECT.COM
10.10.2005 21:11 251.184 ntldr
10.10.2005 19:19 0 IO.SYS
10.10.2005 19:19 0 CONFIG.SYS
10.10.2005 19:19 0 AUTOEXEC.BAT
10.10.2005 19:19 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin


Ich hoffe es ist soweit richtig......
Seitenanfang Seitenende
11.10.2005, 00:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 hast du XP nur druebergebuegelt, oder alle partitionen platt gemacht und neu formatiert?

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

Jotti's malware - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

ist es das Modem ?????
aff5-inst-now52.exe
C:\WINDOWS\system32\affv9869p2now.sys

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2005, 00:49
...neu hier

Themenstarter

Beiträge: 10
#18 Hallo,

_aff5-inst-now52.exe habe ich durchsuchen lassen und bei "virustotal" wurde überall gesagt, dass kein Virus gefunden wurde.

Bei:virusscan.jotto kam:
Datei: ~~aff5-inst-now52.exe
Status:
EVENTUELL INFIZIERT/MALWARE
(Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden



Bei uninstallfirefox kam bei beiden kein virus gefunden.

nein, ich habe die Partition C: gelöscht und komplett neu gemacht.
Nur nicht bei d:, da dort zu viele dinge drauf sind, die ich nicht so schnell speichern konnte


Ob aff5-inst-now52.exe das Modem ist....
das ist das Setup für Winavi video converter.

Lieben Gruß
Christina
Seitenanfang Seitenende
11.10.2005, 00:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 nun, das ist echt komisch, wahrscheinlich hat sich was in D:\ festgehakt:
http://www.sophos.de/virusinfo/analyses/trojtibikb.html

arbeite das bitte ab und poste alle Logs
http://virus-protect.org/multiavtool.html

aber wahrscheinlich wirst du ums Formatieren von D:\ nicht drumrumkommen...ja ja, wer sich auf p2p einlaesst, hat keinen funktionierenden PC.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2005, 01:00
...neu hier

Themenstarter

Beiträge: 10
#20 ... was mir gerade noch einfällt

der datenaustausch dauert seit dem länger, seit dem ich SP2 installiert habe.
Also wird es bei virusscan.jottosicher nicht an der Datei: ~~aff5-inst-now52.exe gelegen haben

Lieben gruß
Christina
Seitenanfang Seitenende
11.10.2005, 01:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21

Zitat

Sabina postete
nun, das ist echt komisch, wahrscheinlich hat sich was in D:\ festgehakt:
http://www.sophos.de/virusinfo/analyses/trojtibikb.html

arbeite das bitte ab und poste alle Logs
http://virus-protect.org/multiavtool.html

aber wahrscheinlich wirst du ums Formatieren von D:\ nicht drumrumkommen...ja ja, wer sich auf p2p einlaesst, hat keinen funktionierenden PC.....

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.10.2005, 16:27
...neu hier

Themenstarter

Beiträge: 10
#22 Hallo,

ich habe das alles durchlaufen lassen, aber den Log konnte ich nicht einkopieren bzw.. überhaupt nicht kopieren.

aber es wurde überall kein Virus gefunden!

Kann ich nun davon ausgehen, dass kein Virus draus ist?

Lieben Gruß
Christina
Seitenanfang Seitenende
12.10.2005, 00:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 http://virus-protect.org/onlinescan.html
onlinescan panda+ berichte ,)

dann mache bitte auch einen Scan mit deinem Kaspersky-Scanner , aber im abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt...melde dich als Administrator an)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende