backdoor.win32.IRCbot |
||
---|---|---|
#0
| ||
16.02.2006, 18:12
...neu hier
Beiträge: 2 |
||
|
||
19.02.2006, 15:21
Ehrenmitglied
Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.02.2006, 15:56
...neu hier
Themenstarter Beiträge: 2 |
#3
So hab das jetzt gemacht so wie beschrieben!
Seit gestern ist allerdings auch keine Meldung von F-Secure mehr gekommen (wunderheilung??) denn F-Secure konnte infizierte dateien nie desinfizieren. mfg Volume in drive C is System Volume Seri*hier nicht!* Number is 842A-DB18 Directory of C:\WINDOWS\system32 18.02.2006 03:34 2.206 wpa.dbl 14.02.2006 01:53 4.510.560 MRT.exe 24.01.2006 16:13 6.675 jupdate-1.5.0_06-b05.log 04.01.2006 21:23 697 Installer.log 04.01.2006 04:35 68.096 webclnt.dll 29.12.2005 03:54 280.064 gdi32.dll 19.12.2005 19:30 4.730.880 wmp.dll 13.12.2005 03:20 67 buyurl_rm.dat 11.12.2005 11:27 16.832 amcompat.tlb 11.12.2005 11:27 23.392 nscompat.tlb 10.12.2005 21:40 55 buyurl0501.dat 05.12.2005 12:58 401.084 perfh009.dat 05.12.2005 12:58 61.292 perfc009.dat 05.12.2005 12:58 444.174 PerfStringBackup.INI 01.12.2005 04:59 1.492.480 shdocvw.dll 24.11.2005 02:06 3.015.680 mshtml.dll 24.11.2005 02:06 1.022.464 browseui.dll 10.11.2005 19:29 241.536 FNTCACHE.DAT 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 07.11.2005 09:42 3.624.960 mkgpmp.exe 05.11.2005 04:16 609.280 urlmon.dll 05.11.2005 04:16 1.054.208 danim.dll Volume in drive C is System Volume Seri*hier nicht!* Number is 842A-DB18 Directory of C:\DOCUME~1\Achim\LOCALS~1\Temp 18.02.2006 20:19 16.384 ~DF972E.tmp 03.09.2005 19:35 24.613 IadHide5.dll 2 File(s) 40.997 bytes 0 Dir(s) 9.306.992.640 bytes free Volume in drive C is System Volume Seri*hier nicht!* Number is 842A-DB18 Directory of C:\WINDOWS 19.02.2006 15:02 23.723 KB899588.log 19.02.2006 12:49 140 winamp.ini 19.02.2006 00:19 49 NeroDigital.ini 18.02.2006 16:09 3.956 ModemLog_V9X HAM 1394V.txt 18.02.2006 08:20 1.870.179 WindowsUpdate.log 18.02.2006 03:36 0 0.log 18.02.2006 03:36 159 wiadebug.log 18.02.2006 03:36 50 wiaservc.log 18.02.2006 03:36 29.904 spupdsvc.log 18.02.2006 03:34 2.048 bootstat.dat 18.02.2006 03:34 32.550 SchedLgU.Txt 18.02.2006 03:27 552.592 iis6.log 18.02.2006 03:27 131.841 comsetup.log 18.02.2006 03:27 80.189 ntdtcsetup.log 18.02.2006 03:27 215.782 tsoc.log 18.02.2006 03:27 1.374 imsins.log 18.02.2006 03:27 24.228 tabletoc.log 18.02.2006 03:27 17.593 ocmsn.log 18.02.2006 03:27 10.904 KB911927.log 18.02.2006 03:27 81.003 netfxocm.log 18.02.2006 03:27 32.811 MedCtrOC.log 18.02.2006 03:27 242.749 ocgen.log 18.02.2006 03:27 23.304 msgsocm.log 18.02.2006 03:27 450.534 FaxSetup.log 18.02.2006 03:26 148.244 msmqinst.log 18.02.2006 03:26 26.652 updspapi.log 18.02.2006 03:24 1.374 imsins.BAK 18.02.2006 03:24 8.182 KB911564.log 18.02.2006 03:24 71.211 wmsetup.log 18.02.2006 03:21 310.462 setupapi.log 18.02.2006 03:17 8.400 KB911565.log 18.02.2006 03:07 6.728 KB913446.log 16.02.2006 17:17 174.869 setupact.log 15.02.2006 23:18 1.321.706 F-Bot.log 07.02.2006 15:52 1.621.014 Firefox Wallpaper.bmp 07.02.2006 13:29 90.442 DirectX.log 06.02.2006 23:37 117 cdplayer.ini 05.02.2006 15:25 140 CMMIXER.INI 29.01.2006 16:32 702 nsw.log 29.01.2006 13:58 904 wincmd.ini 19.01.2006 12:13 14.084 fsiuupd.log 12.01.2006 03:04 12.271 KB908519.log 10.01.2006 00:49 118.784 bwUnin-7.2.0.157-8876480SL.exe 09.01.2006 20:32 131 wcx_ftp.ini 06.01.2006 22:13 520 _delis32.ini 06.01.2006 03:01 13.242 KB912919.log 06.01.2006 03:01 0 setuperr.log 04.01.2006 21:14 316.640 WMSysPr9.prx 22.12.2005 11:00 583 win.ini 22.12.2005 11:00 277 system.ini 15.12.2005 03:03 11.864 KB910437.log 15.12.2005 03:02 19.651 KB905915.log 13.12.2005 21:44 67 #1 Video Converter.INI 13.12.2005 19:17 227.314 165.jpg 13.12.2005 12:02 0 fsiugeneric.log 11.12.2005 11:40 41 BigEye.INI 10.12.2005 19:26 724.992 iun6002.exe 10.12.2005 15:02 754 WORDPAD.INI 05.12.2005 21:05 1.409 QTFont.for 05.12.2005 21:05 54.156 QTFont.qfn 05.12.2005 12:58 3.721 dahotfix.log 05.12.2005 12:58 19.520 dasetup.log 03.12.2005 15:41 5.079 mozver.dat 16.11.2005 13:02 99.970 UninstallFirefox.exe 10.11.2005 18:12 11.986 KB896424.log Volume in drive C is System Volume Seri*hier nicht!* Number is 842A-DB18 Directory of C:\ 19.02.2006 15:54 0 sys.txt 19.02.2006 15:53 11.268 system.txt 19.02.2006 15:53 315 systemtemp.txt 19.02.2006 15:52 100.235 system32.txt 19.02.2006 03:17 6.413 error.htm 19.02.2006 02:00 0 infect.htm 18.02.2006 03:34 536.403.968 hiberfil.sys 18.02.2006 03:34 402.653.184 pagefile.sys 22.12.2005 11:00 211 boot.ini 10.12.2005 21:53 77 avone.ini |
|
|
||
19.02.2006, 18:20
Ehrenmitglied
Beiträge: 29434 |
#4
AngelausHigh
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\mkgpmp.exe ------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\error.htm C:\infect.htm C:\WINDOWS\system32\buyurl_rm.dat C:\WINDOWS\system32\buyurl0501.dat C:\WINDOWS\system32\mkgpmp.exe nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
F-Secure meldet bei meinem computer immer wieder den Virus "backdoor.win32.IRCbot". dieser kann auch durch das Programm f-Secure nicht entfernt werden. Durch Rumprobieren mit verschieden tools (z.B. f-bot) war er kurzfristig verschwunden aber nach Neustart wieder drauf..
Meine Hjiack This Log file:
Logfile of HijackThis v1.99.1
Scan saved at 18:10:26, on 16.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\PFShared\UmxCfg.exe
C:\Program Files\Common Files\PFShared\UmxPol.exe
C:\Program Files\Tiny Personal Firewall\UmxAgent.exe
C:\Program Files\Tiny Personal Firewall\UmxTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
C:\Program Files\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Program Files\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\F-Secure Anti-Virus\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Program Files\Common Files\PFShared\umxlu.exe
C:\Program Files\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\TuneUp Utilities 2006\memoptimizer.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
E:\eMule.de\eMule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\F-Secure Anti-Virus\FSGUI\fsavgui.exe
E:\_Downloads\_Christian\Verschiedenes\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - blank (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AMonitor] C:\Program Files\Tiny Personal Firewall\amon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2006\memoptimizer.exe" autostart
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] E:\eMule.de\eMule.exe -AutoStart
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {BC1A5043-775B-40E0-BF84-514B983635C1} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {BC1A5043-775B-40E0-BF84-514B983635C1} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122475851250
O17 - HKLM\System\CCS\Services\Tcpip\..\{0841CA14-F7A3-4E88-9D17-068C6C5C6028}: NameServer = 195.71.227.19 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0841CA14-F7A3-4E88-9D17-068C6C5C6028}: NameServer = 195.71.227.19 193.189.244.205
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Program Files\Tiny Personal Firewall\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. - C:\Program Files\Common Files\PFShared\UmxCfg.exe
O23 - Service: FW Live Update (UmxLU) - Tiny Software, Inc. - C:\Program Files\Common Files\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Program Files\Common Files\PFShared\UmxPol.exe
Schon mal im Voraus danke für ihre Antworten
mfg