IRC Wurm, wie entfernen??

#0
07.05.2004, 21:46
...neu hier

Beiträge: 5
#1 Ich habe heute im IRC versehentlich auf einen Link geklickt (irgendwas mit ebay.tk) und seitdem habe ich einen Wurm im IRC. Wie kann ich den wieder entfernen? IRC in neuem Verzeichniss installieren hat nix gebracht.
Hier n Log von Hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\apache\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\system01\svchost.exe
F:\Programme\utmirc\utmirc.exe
C:\Dokumente und Einstellungen\Auron\Eigene Dateien\stuff\wurm\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planetmv.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.80.252
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.chello.at:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [svc] c:\windows\system32\system01\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37982.4915162037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F4ED9A8F-48EC-48FE-A473-7C5C77EBFF1F} (Seagate DiscWizard German) - http://www.seagate.com/support/disc/asp/dwiz/de/bin/npdscwiz.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6440F72B-11A5-4165-A452-4B189D8101E3}: NameServer = 195.34.133.10,195.34.133.11



Anti Viri sagt noch irgendwas mit "IRC.Botnut.3" aber ich bin mir nicht sicher, ob der Wurm entfernt werden konnte.
(Der Wurm schreibt ständig AMSGs die ich nicht sehen kann aber auf den Link zum Wurm verweisen)
Dieser Beitrag wurde am 07.05.2004 um 22:39 Uhr von SmvLL editiert.
Seitenanfang Seitenende
08.05.2004, 00:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Deaktiviere die Wiederherstellung...kannst du spaeter wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/2003080710570792

Fixe mit dem HijackThis.

C:\WINDOWS\system32\system01\svchost.exe
O4 - HKLM\..\Run: [svc] c:\windows\system32\system01\svchost.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?

NEUSTARTEN

Lade den Antivirus (free)
http://www.free-av.com/

Lade, dann die mwav.exe suchen
http://www.mwti.net/antivirus/free_utilities.asp

Ueberpruefe die hpoddt01.exe und vor allem die system32\system01\svchost.exe
mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html


PS. was bedeutet ;)er Wurm schreibt ständig AMSGs die ich nicht sehen kann aber auf den Link zum Wurm verweisen)??????????'
Ausserdem sehe ich den AntiVir nicht auf deinem Comp. Aber vielleicht uebersehe ich was...
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.05.2004 um 01:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.05.2004, 07:30
...neu hier

Themenstarter

Beiträge: 5
#3 thx für deine Antwort.
habe den Anti Viri erst installiert als ich das Log bereits erstellt hatte, desshalb erscheint er da noch nicht.
Aber irgendwie geht der Oberste Link den den geschrieben hast leider net ;)

AMSG : Eine Nachricht, die in allen Channels geschrieben wird, in denen du bist. Jedoch kann man bei dem Wurm nicht sehen, wenn man sie schreibt, aber die anderen User schon.
Seitenanfang Seitenende
08.05.2004, 19:42
Member

Beiträge: 56
#4 mist verdammt hab mir den Schei... auch eingefangen ...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\MediaKey\MMKeybd.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Tweak-XP\blads.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Bugi\Desktop\Download\hijackthis1977\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MMKeybd] C:\PROGRA~1\MediaKey\MMKeybd.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [BlockAds] C:\Programme\Tweak-XP\blads.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60345D50-41AF-40B7-9C03-ED2A5C4FF3BC}: NameServer = 217.237.150.33 194.25.2.129


Nur bei mir ists extrem heftig ... wenn ich nen texteditor öffnen will startet der wurm automatisch die "mIRC.exe" das hab ich um die 90x im prozess ... blöder wurm

achja was mir noch aufgefallen ist ... ich hab auch den Ordner "system01" im windows system32 ordner .. und da ist auch diese svchost.exe enthalten ...
nur ist es nicht in meinem HijackThis log aufgelistet ... ?

hab was herausgefunden ... irgendwo auf meiner platte ist ne datei .. wenn ich ein texteditor öffne springt das program an und erstellt eine datei in C:\ und zwar die "mIRC.exe" und noch eine .dll datei deren namen ich mir grad nicht merken konnte ... und die wiederrum starten zich "mIRC.exe" prozesse ...
Dieser Beitrag wurde am 08.05.2004 um 20:23 Uhr von bugiman editiert.
Seitenanfang Seitenende
13.06.2004, 02:26
...neu hier

Beiträge: 1
#5 Genau nach diesem Wurm hab' ich gesucht.

Ich hab' 'nen Link im IRC-Channel angeklickt und plötzlich hat sich Wimamp 5 mit dem alten Skin bei mir geöffnet. Das lag an irgendeiner selfexe.wsz Skin Datei, die dabei heruntergeladen wurde.
Danach hab' ich 'nen Anti-Viren-Online-Scan mit PandaSoftware gemacht und dabei wurde Botnut.A gefunden.
Außerdem wurde bei mir die notepad.exe im system32 Ordner ersetzt.
Irgendwelche unbekannten Systemstarts (Q4) konnte ich nicht ausfindig machen. Da stehen nur 3 bekannte bei mir drin.
system01 konnte ich auch nicht finden.

Vielleicht hätte ich mich erst infiziert, wenn ich versucht hätte den Editor zu öffnen. Jetzt hab' ich erstmal die notepad.exe gelöscht und werde mir die exe von 'nem Freund wieder besoregen.
Seitenanfang Seitenende
13.06.2004, 03:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6

Zitat

SmvLL postete
thx für deine Antwort.
habe den Anti Viri erst installiert als ich das Log bereits erstellt hatte, desshalb erscheint er da noch nicht.
Aber irgendwie geht der Oberste Link den den geschrieben hast leider net ;)

AMSG : Eine Nachricht, die in allen Channels geschrieben wird, in denen du bist. Jedoch kann man bei dem Wurm nicht sehen, wenn man sie schreibt, aber die anderen User schon.
Welcher Link funktioniert nicht ...

Und hast du das Problem mit den Viren schon geloest mit Hilfe von Kaspersky...
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.06.2004 um 03:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.06.2004, 03:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 @Bugiman

Fixe mit dem HijackThis

O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

neustarten

Gehe in den abgesicherten Modus ...F8 beim Hochfahren druecken und mache dort einen Vollscann mit dem vorher aktualisierten Antivirus.

normal neustarten

Lade den Stinger und scanne
http://www.zdnet.de/downloads/programs/q/z/de0DQZ_is-wc.html

Lade mwav.exe und scanne
http://www.mwti.net/antivirus/free_utilities.asp

Dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.06.2004 um 03:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.06.2004, 08:57
Member

Beiträge: 13
#8 frage: wie kann es sein, dass sich beim starten auf einen link in irc eine anwendung startet? wird da nicht erst nachgefragt? kann man das irgendwie abblocken (nachfrage erzwingen) ? wo ist da die schwachstelle?
Seitenanfang Seitenende
15.06.2004, 23:32
...neu hier

Beiträge: 10
#9 Hallo, ich habe das Teil jetzt auch bekommen:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\KeirNet\K9\K9.exe
C:\PMAIL\winpm-32.exe
C:\mIRC\mirc.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Henry\Desktop\HostExxx.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XMN8L6Z\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mstart.de/startseite.php?google=on&gmx=on&webdefreemail=on&piranho=on&eigenelinks=on&linktext1=Gangwars&url1=http%3A%2F%2Fwww.gangwars.org%2Fgangwars%2Findex_pro.php&eigenelinks=on&linktext2=Antispam&url2=http%3A%2F%2Fforum.antispam.de&eigenelinks=on&linktext3=Spamcop&url3=http%3A%2F%2Fwww.spamcop.net%2F%3Fcode%3DZoNFFlCwmPkrnGwE&eigenelinks=on&linktext4=&url4=http%3A%2F%2F&eigenelinks=on&linktext5=&url5=http%3A%2F%2F&neuesfenster=on&inhalt=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [InCD] C:\Programme\StartupStar\inactive.exe C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\Programme\StartupStar\inactive.exe C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MBM 5] C:\Programme\StartupStar\inactive.exe "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKCU\..\Run: [Steam] C:\Programme\StartupStar\inactive.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\StartupStar\inactive.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Pictures (HKCU)
O16 - DPF: Yahoo! Go - http://download.games.yahoo.com/games/clients/y/gt2_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.napster.com/client/isetup.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37975.0936921296
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51CDC518-5183-4FC2-9B0E-62928869E820}: NameServer = 192.168.1.1

Ich habe keine Ahnung ob noch was da ist, ich habe Teile schon entfernt

AdAware hat mir nichts angezeigt, SpyBot auch netder CWS Shredder ist hier nicht angebracht
Antivir läuft noch und hat 2 Meldungen gebracht [edit]Entsprechende Datei gelöscht


Zitat

PS. was bedeutet er Wurm schreibt ständig AMSGs die ich nicht sehen kann aber auf den Link zum Wurm verweisen)??????????'
Ausserdem sehe ich den AntiVir nicht auf deinem Comp. Aber vielleicht uebersehe ich was...
MfG
Sabina
Das bedeutet, das der Virus im IRC ständig unsichtbare Nachrichten in allen Channels schreibt, in denen das Opfer aktiv ist
Dieser Beitrag wurde am 15.06.2004 um 23:52 Uhr von DarkX2 editiert.
Seitenanfang Seitenende
16.06.2004, 10:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 DarkX2
Gehe in den abgesicherten Modus.....F8 beim Hochfahren druecken und scanne dort. mit dem Antivir.

Dann lade die mwav.exe und mache ebenfalls einen Vollscann.
http://www.mwti.net/antivirus/free_utilities.asp
Poste dann mal, was das Tool gefunden hat.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2004, 19:33
...neu hier

Beiträge: 10
#11 Ähm, kannst du mir verraten was ich vom mwavlog genau posten soll? Ich bezweifle mal, dass ich die ganze Logdatei hier posten soll - die ist 21 MB groß...

Hmm, ich habe mal die ganzen "Virusfunde" herausgesucht, und dann den Abschlussbericht hinzugefügt...

File C:\Altplatte\WINNT\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
File C:\Altplatte\WINNT\twain_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Henry\Desktop\Jan\Persönliches\Computer\Shareware\RedDragonSetup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Henry\Desktop\Jan\Persönliches\Computer\Shareware\RedDragonSetup_1103_D.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Henry\Desktop\Jan\Schule\InfCdnichtkopieren\Derive für Windows\Derive 4.0\Setup4.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8TIJOXY3\showtopic[3].php possibly infected and removed by background antivirus package!
File C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8TIJOXY3\showtopic[3].php possibly infected and removed by background antivirus package!
File C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8TIJOXY3\showtopic[3].php infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XMN8L6Z\selfexec[1].wsz infected by "TrojanDownloader.VBS.Psyme.q" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Henry\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPYZOLIN\sluted[1].html infected by "Exploit.IE.Params.d" Virus. Action Taken: File Renamed.
File C:\download\Flashget\fgf140.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken.
File C:\download\MS Office\spdeu9x.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\eudora\Downloads\w32-412a.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\mIRC\backup\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken.
File C:\mIRC\backup\mirc32.exe tagged as not-a-virus:RiskWare.mIRC.5.9.1. No Action Taken.
File C:\mIRC\dirc-321.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\My Shared Folder\mIRC2\backup\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken.
File C:\My Shared Folder\mIRC2\backup\mirc32.exe tagged as not-a-virus:RiskWare.mIRC.5.9.1. No Action Taken.
File C:\My Shared Folder\mIRC2\dirc-321.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\My Shared Folder\mIRC2\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\PMAIL\wpmmapi.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\FlashGet\BACKUP\cd_install277.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken.
File C:\Programme\PMAIL\wpmmapi.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Scanning File C:\WINNT\G
Wed Jun 16 18:59:00 2004 => C:\WINNT\G possibly infected and removed by background antivirus package!
Wed Jun 16 18:59:00 2004 => Process \??\C:\WINNT\system32\winlogon.exe Found running in Memory...
Wed Jun 16 18:59:00 2004 => Result: ERROR!!! File C:\WINNT\G: Scanning Failure!!!
Wed Jun 16 18:59:00 2004 => C:\WINNT\G possibly infected and removed by background antivirus package!
Wed Jun 16 18:59:00 2004 => File C:\WINNT\G infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
F:\Programme\KaZaA Lite\My Shared Folder\kmd171gu_en.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken.
File F:\WINDOWS\SYSTEM\GKSUI16.EXE tagged as not-a-virus:AdvWare.Aureate. No Action Taken.
File F:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File F:\WINDOWS\TWAIN_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action
File F:\Downloads\TU11a710.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Downloads\flashget\fgf140.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken.
File F:\Downloads\pencam2.25.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Downloads\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Downloads\Mainboard\AGP\SiS\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File F:\Downloads\Tiscali\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Downloads\dtg.2003-05-01.zip tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File F:\Downloads\dtg.serials.zip tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File F:\Downloads\agp114.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
File F:\Downloads\Downloads\agp114.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action taken.
File F:\Downloads\Downloads\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Downloads\Downloads\Tiscali\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Downloads\Downloads\Mainboard\AGP\SiS\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File F:\Downloads\agp114\AGP\htpatch\HTpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken.
File F:\Sierra\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File F:\Mail\Jan\P5SV3FR0.CNM infected by "VBS.Redlof.a" Virus. Action Taken: File Deleted.


Wed Jun 16 19:29:46 2004 => ***** Scanning complete. *****

Wed Jun 16 19:29:46 2004 => Total Number of Files Scanned: 181541
Wed Jun 16 19:29:46 2004 => Total Number of Virus(es) Found: 43
Wed Jun 16 19:29:46 2004 => Total Number of Disinfected Files: 0
Wed Jun 16 19:29:46 2004 => Total Number of Files Renamed: 3
Wed Jun 16 19:29:46 2004 => Total Number of Deleted Files: 2
Wed Jun 16 19:29:46 2004 => Total Number of Errors: 10
Wed Jun 16 19:29:46 2004 => Time Elapsed: 02:21:27
Wed Jun 16 19:29:46 2004 => Virus Database Date: 2004/06/12
Wed Jun 16 19:29:46 2004 => Virus Database Count: 94597

Wed Jun 16 19:29:46 2004 => Scan Completed.
Dieser Beitrag wurde am 16.06.2004 um 20:09 Uhr von DarkX2 editiert.
Seitenanfang Seitenende
17.06.2004, 09:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 geloescht oder umbenannt wurden

#TrojanDownloader.VBS.Psyme.q" Virus.
#BkCln.Unknown" Virus
#Exploit.IE.Params.d" Virus
#File C:\WINNT\G infected by "BkCln.Unknown" Virus. Action
#File F:\Mail\Jan\P5SV3FR0.CNM infected by "VBS.Redlof.a" Virus

noch entfernt muss werden|

#File C:\download\Flashget\fgf140.exe tagged as not-a-virus:AdvWare.Cydoor.
#File C:\Programme\FlashGet\BACKUP\cd_install277.exe tagged as not-a-virus:AdvWare.Cydoor
#F:\Programme\KaZaA Lite\My Shared Folder\kmd171gu_en.exe tagged as not-a-virus:AdvWare.Cydoor
#File F:\WINDOWS\SYSTEM\GKSUI16.EXE tagged as not-a-virus:AdvWare.Aureate.
#File F:\Downloads\flashget\fgf140.exe tagged as not-a-virus:AdvWare.Cydoor


#das ist ein Dialer
File F:\Downloads\dtg.2003-05-01.zip tagged as not-a-virus:RiskWare.Dialer.gen.
File F:\Downloads\dtg.Ser*hier nicht!*.zip tagged as not-a-virus:RiskWare.Dialer.gen
.........................................................................................................
Nun laedst du von dieser Site
AdAware free
Spybot
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Dann laedst du Spyhunter
http://www.spy-bot.net/manual.asp

loesche unter InternetOptionen die TemporaryInternetFiles und stelle einenStartseite deiner Wahl ein.

Dann poste mal, ob die Spyware Cydoor und Aureate und der Dialer geloescht wurden.

Poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.06.2004, 14:28
...neu hier

Beiträge: 10
#13 hmm, AdAware meldet den Spyhunter als Spyware...
Spybot ebenfalls - eine Antispyware mit Spyware drin?

So, die meiste Spyware sollte dann weg sein.

Welches Log nochmal posten?
Dieser Beitrag wurde am 17.06.2004 um 14:45 Uhr von DarkX2 editiert.
Seitenanfang Seitenende
18.06.2004, 13:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Das ist witzig.....ist wohl die Konkurenz...

Poste das Log vom HijackThis, zur Kontrolle
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2004, 16:58
...neu hier

Beiträge: 2
#15 so.selbes problem.
wäre sehr dankbar wenn wer meinen log am ldurchsehen könnte.
hab mir auch den ircwurm zugezogen
scan:
Logfile of HijackThis v1.97.7
Scan saved at 16:53:49, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctfmon.exe
c:\windows\system32\rundll32\svchost.exe
c:\windows\system32\secure\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Eigene Dokumente\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spacenations.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37884.393599537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 29.06.2004 um 16:59 Uhr von Pate22 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: