backdoor.win32.IRCbot

#0
16.02.2006, 18:12
...neu hier

Beiträge: 2
#1 Hallo!

F-Secure meldet bei meinem computer immer wieder den Virus "backdoor.win32.IRCbot". dieser kann auch durch das Programm f-Secure nicht entfernt werden. Durch Rumprobieren mit verschieden tools (z.B. f-bot) war er kurzfristig verschwunden aber nach Neustart wieder drauf..

Meine Hjiack This Log file:

Logfile of HijackThis v1.99.1
Scan saved at 18:10:26, on 16.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\PFShared\UmxCfg.exe
C:\Program Files\Common Files\PFShared\UmxPol.exe
C:\Program Files\Tiny Personal Firewall\UmxAgent.exe
C:\Program Files\Tiny Personal Firewall\UmxTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
C:\Program Files\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Program Files\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\F-Secure Anti-Virus\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Program Files\Common Files\PFShared\umxlu.exe
C:\Program Files\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\TuneUp Utilities 2006\memoptimizer.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
E:\eMule.de\eMule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\F-Secure Anti-Virus\FSGUI\fsavgui.exe
E:\_Downloads\_Christian\Verschiedenes\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - blank (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AMonitor] C:\Program Files\Tiny Personal Firewall\amon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2006\memoptimizer.exe" autostart
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] E:\eMule.de\eMule.exe -AutoStart
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {BC1A5043-775B-40E0-BF84-514B983635C1} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {BC1A5043-775B-40E0-BF84-514B983635C1} - C:\Program Files\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122475851250
O17 - HKLM\System\CCS\Services\Tcpip\..\{0841CA14-F7A3-4E88-9D17-068C6C5C6028}: NameServer = 195.71.227.19 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0841CA14-F7A3-4E88-9D17-068C6C5C6028}: NameServer = 195.71.227.19 193.189.244.205
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Program Files\Tiny Personal Firewall\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. - C:\Program Files\Common Files\PFShared\UmxCfg.exe
O23 - Service: FW Live Update (UmxLU) - Tiny Software, Inc. - C:\Program Files\Common Files\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Program Files\Common Files\PFShared\UmxPol.exe

Schon mal im Voraus danke für ihre Antworten
mfg
Seitenanfang Seitenende
19.02.2006, 15:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.02.2006, 15:56
...neu hier

Themenstarter

Beiträge: 2
#3 So hab das jetzt gemacht so wie beschrieben!
Seit gestern ist allerdings auch keine Meldung von F-Secure mehr gekommen (wunderheilung??) denn F-Secure konnte infizierte dateien nie desinfizieren.
mfg



Volume in drive C is System
Volume Seri*hier nicht!* Number is 842A-DB18

Directory of C:\WINDOWS\system32

18.02.2006 03:34 2.206 wpa.dbl
14.02.2006 01:53 4.510.560 MRT.exe
24.01.2006 16:13 6.675 jupdate-1.5.0_06-b05.log
04.01.2006 21:23 697 Installer.log
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
19.12.2005 19:30 4.730.880 wmp.dll
13.12.2005 03:20 67 buyurl_rm.dat
11.12.2005 11:27 16.832 amcompat.tlb
11.12.2005 11:27 23.392 nscompat.tlb
10.12.2005 21:40 55 buyurl0501.dat
05.12.2005 12:58 401.084 perfh009.dat
05.12.2005 12:58 61.292 perfc009.dat
05.12.2005 12:58 444.174 PerfStringBackup.INI
01.12.2005 04:59 1.492.480 shdocvw.dll
24.11.2005 02:06 3.015.680 mshtml.dll
24.11.2005 02:06 1.022.464 browseui.dll
10.11.2005 19:29 241.536 FNTCACHE.DAT
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
07.11.2005 09:42 3.624.960 mkgpmp.exe
05.11.2005 04:16 609.280 urlmon.dll
05.11.2005 04:16 1.054.208 danim.dll


Volume in drive C is System
Volume Seri*hier nicht!* Number is 842A-DB18

Directory of C:\DOCUME~1\Achim\LOCALS~1\Temp

18.02.2006 20:19 16.384 ~DF972E.tmp
03.09.2005 19:35 24.613 IadHide5.dll
2 File(s) 40.997 bytes
0 Dir(s) 9.306.992.640 bytes free


Volume in drive C is System
Volume Seri*hier nicht!* Number is 842A-DB18

Directory of C:\WINDOWS

19.02.2006 15:02 23.723 KB899588.log
19.02.2006 12:49 140 winamp.ini
19.02.2006 00:19 49 NeroDigital.ini
18.02.2006 16:09 3.956 ModemLog_V9X HAM 1394V.txt
18.02.2006 08:20 1.870.179 WindowsUpdate.log
18.02.2006 03:36 0 0.log
18.02.2006 03:36 159 wiadebug.log
18.02.2006 03:36 50 wiaservc.log
18.02.2006 03:36 29.904 spupdsvc.log
18.02.2006 03:34 2.048 bootstat.dat
18.02.2006 03:34 32.550 SchedLgU.Txt
18.02.2006 03:27 552.592 iis6.log
18.02.2006 03:27 131.841 comsetup.log
18.02.2006 03:27 80.189 ntdtcsetup.log
18.02.2006 03:27 215.782 tsoc.log
18.02.2006 03:27 1.374 imsins.log
18.02.2006 03:27 24.228 tabletoc.log
18.02.2006 03:27 17.593 ocmsn.log
18.02.2006 03:27 10.904 KB911927.log
18.02.2006 03:27 81.003 netfxocm.log
18.02.2006 03:27 32.811 MedCtrOC.log
18.02.2006 03:27 242.749 ocgen.log
18.02.2006 03:27 23.304 msgsocm.log
18.02.2006 03:27 450.534 FaxSetup.log
18.02.2006 03:26 148.244 msmqinst.log
18.02.2006 03:26 26.652 updspapi.log
18.02.2006 03:24 1.374 imsins.BAK
18.02.2006 03:24 8.182 KB911564.log
18.02.2006 03:24 71.211 wmsetup.log
18.02.2006 03:21 310.462 setupapi.log
18.02.2006 03:17 8.400 KB911565.log
18.02.2006 03:07 6.728 KB913446.log
16.02.2006 17:17 174.869 setupact.log
15.02.2006 23:18 1.321.706 F-Bot.log
07.02.2006 15:52 1.621.014 Firefox Wallpaper.bmp
07.02.2006 13:29 90.442 DirectX.log
06.02.2006 23:37 117 cdplayer.ini
05.02.2006 15:25 140 CMMIXER.INI
29.01.2006 16:32 702 nsw.log
29.01.2006 13:58 904 wincmd.ini
19.01.2006 12:13 14.084 fsiuupd.log
12.01.2006 03:04 12.271 KB908519.log
10.01.2006 00:49 118.784 bwUnin-7.2.0.157-8876480SL.exe
09.01.2006 20:32 131 wcx_ftp.ini
06.01.2006 22:13 520 _delis32.ini
06.01.2006 03:01 13.242 KB912919.log
06.01.2006 03:01 0 setuperr.log
04.01.2006 21:14 316.640 WMSysPr9.prx
22.12.2005 11:00 583 win.ini
22.12.2005 11:00 277 system.ini
15.12.2005 03:03 11.864 KB910437.log
15.12.2005 03:02 19.651 KB905915.log
13.12.2005 21:44 67 #1 Video Converter.INI
13.12.2005 19:17 227.314 165.jpg
13.12.2005 12:02 0 fsiugeneric.log
11.12.2005 11:40 41 BigEye.INI
10.12.2005 19:26 724.992 iun6002.exe
10.12.2005 15:02 754 WORDPAD.INI
05.12.2005 21:05 1.409 QTFont.for
05.12.2005 21:05 54.156 QTFont.qfn
05.12.2005 12:58 3.721 dahotfix.log
05.12.2005 12:58 19.520 dasetup.log
03.12.2005 15:41 5.079 mozver.dat
16.11.2005 13:02 99.970 UninstallFirefox.exe
10.11.2005 18:12 11.986 KB896424.log


Volume in drive C is System
Volume Seri*hier nicht!* Number is 842A-DB18

Directory of C:\

19.02.2006 15:54 0 sys.txt
19.02.2006 15:53 11.268 system.txt
19.02.2006 15:53 315 systemtemp.txt
19.02.2006 15:52 100.235 system32.txt
19.02.2006 03:17 6.413 error.htm
19.02.2006 02:00 0 infect.htm
18.02.2006 03:34 536.403.968 hiberfil.sys
18.02.2006 03:34 402.653.184 pagefile.sys
22.12.2005 11:00 211 boot.ini
10.12.2005 21:53 77 avone.ini
Seitenanfang Seitenende
19.02.2006, 18:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 AngelausHigh

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\mkgpmp.exe

-------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\error.htm
C:\infect.htm
C:\WINDOWS\system32\buyurl_rm.dat
C:\WINDOWS\system32\buyurl0501.dat
C:\WINDOWS\system32\mkgpmp.exe

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: