BackdoorWin32/IRCbot.fy

#1 Hey Leute! bräuchte dringend eure Hilfe

hab vor kurzer zeit auf facebook einen link geschickt bekommen. wollte mir anschauen um was es darin geht und seitdem hab ich einen BackdoorWin32/IRCbot.fy auf dem pc.

habe jetzt auf anweisung von einem bekannten einen OTL und MAM scan durchgeführt.

Siehe Anhang.

Hoffe auf eine baldige Antwort

mfg Flo

#2 Am besten wäre, wenn der PC neuaufgesetzt werden würde. Dazu sollte man alle Passwörter ändern. Falls der User Onlinebanking betreibt, das unbedingt sperren lassen.

LG

#3 Danke für die schnelle Antwort, aber gibt es keine andere Möglichkeit als den PC neu aufzusetzen?

mfg Flo

#4 Wie schon gesagt, Neuaufsetzen wäre hier die beste Wahl, aber wenn Du KEIN Onlinebanking betreibst, könnten wir eine Bereinigung versuchen - Gefahr ist dennoch , dass ich ihn nicht zu 100% wegbekomme.

Das ist ein Backdoor: http://de.wikipedia.org/wiki/Backdoor

Sag mir für was Du Dich entschieden hast.

#5 Herzlich Willkommen auf dem Protecus Forum

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte Malwarebytes
• Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

Bitte• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
• Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Zitat

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?

Unbedingt auf "No" klicken.
• Entferne rechts den Hacken bei:


• IAT/EAT
• Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
• Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

#6 Ich habe mich dafür entschieden meinen Computer neu aufzusetzen, damit ich mir ganz sicher sein kann dass der Backdoor zu 100% weg ist.
Ich bedanke mich sehr herzlich für deine engagierte Mitarbeit. Falls ich meine Meinung ändern sollte werde ich mich hier im Forum melden

mfg Flo