Hi@all!

Ich wollte gerade am PC arbeiten als mir das AntiVir Programm sagt ich hätte den Worm/IRCBot.53792xx auf meinem PC! Ich hab gleich danach gesucht wie ich den runter bekomme, hab aber nichts gefunden, (also weiß es auch noch immer nicht)! Deshalb hab ich selbst probiert die infizierte Datei zu löschen: Ich hab den ArchiCryptShredder2 dazu genommen, um die infizierte Datei zu löschen, und es ging auch...aber wenn ich Windows starte hat er ein paar Zwischensequenzen ("schwarz"), ist aber auch nicht lang, er lädt sogar noch...dann wird das Windows Logo angezeigt, und ich hatte das gestern auch nicht, dass das Logo bzw. das Bild, aber nur da "zittert"! Hab auch keine magnetischen Sachen am Bildschirm liegen!

Wenn ich jetzt neu gestartet habe und in den Task Manger unter Prozesse gehe sehe ich auf einmal gan zandere Dateien z.b. hpotdd01.exe (vielleicht hab ich die auch übersehn, es steht im i-net dass die Datei für den Drucker gebraucht wird). Aber aufeinmal hab ich auch noc hDateien wie MDM.exe, cidaemon.exe, locator.exe, spoolsv.exe oder wuauclt.exe...zur wuauclt.exe datei: der updater startete einfach obwohl ich den deaktiviert hatte...hab dann den dienst wuauclt.exe beendet...updater(also das tray unten in der systemleiste war dann auch weg)...aber nach ein paar sekudnen war der dienst bzw. prozess wieder gestartet und somit auch wieder das updater symbol in der leiste...(hab dann das i-net kabel gezogen und den prozess beendet und dann war erst mal ruhe)!

Außerdem hab ich unte rmsconfig die datei mmrtkrnl.exe gefunden...weiß aber überhaupt nicht was das für eine Datei ist...zudem war in msconfig unter systemstart auch (also unter befehle) eine lehrzeile...nur beim pfad steht was...und das häkchen ist auch gesetzt...!!!

Bitte um Hilfe!!! Bedanke mich auch schon mal im voraus!!! Ich hoffe ihr könnt mir helfen, und dass ich den PC nicht neu machen muss...! gerade fertig mit neu machen...(neue PC-Teile!)!

Gruß,
Euer Canadier

Zitat:

Zitat von Canadier

Bitte um Hilfe!!! Bedanke mich auch schon mal im voraus!!! Ich hoffe ihr könnt mir helfen, und dass ich den PC nicht neu machen muss...! gerade fertig mit neu machen...(neue PC-Teile!)!

Dir wird leider nichts anderes übrig bleiben, als den Rechner neu aufzusetzen.

Zitat:

Troj/IRCBot-B is a backdoor Trojan which allows remote access and control over the computer via IRC channels.

Das heißt, jemand anderes hat vollen Zugriff auf Deinen Rechner. Das bedeutet, der Computer steht zwar noch bei Dir, genutzt wird er aber von jemand anderem. Spamversand ist da eine harmlose Vorstellung, es könnten auch Kinderpornos oder Warez sein. Deswegen: Trenn den Rechner asap vom Netz!

Siehe dazu http://www.microsoft.com/technet/arc.../10imlaws.mspx

Abhilfe schafft nur eine Neuinstallation. Hinweise zur richtigen Vorgehensweise unter http://www.trojaner-info.de/report_i...nleitung.shtml

Ergänzend zur Installationsanleitung sei angemerkt, dass es unter http://www.winboard.org Update-Packs gibt, die den Offline-Update-Vorgang wesentlich vereinfachen. Für sämtliche Downloads von MS-Patches gilt: Nur von einem sauberen Rechner. Das SP2 kannst Du Dir auch von MS per Post schicken lassen (falls Du XP nutzt)!

Gruß
Yopie

P.S.: Bei Gelegenheit wirf auch mal einen Blick auf den Link in meiner Sig.

Hallo,



dartus

Danke erst mal für eure Hilfe!!!
@Yopie: müsste ich dann alles platt machen oder genügtr schon wenn ich windows nur neu mache?!? oder nur eine platte von drei?

Hier der HiJack log, im normalen windows modus:
Logfile of HijackThis v1.99.1
Scan saved at 01:23:26, on 27.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Tools\Firewall\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Tools\AVPersonal\AVGUARD.EXE
D:\Tools\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
D:\Tools\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Drucker\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Tools\RegSupreme\RegSupreme.exe
D:\TOOLS\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\fleece\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Tools\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SmcService] D:\Tools\Firewall\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Tools\AVPersonal\AVGNT.EXE /min
O4 - Startup: AsusProb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Drucker\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://E:\Tools\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6191D824-3353-4BD7-9D3D-1DF74A9D3DF1}: NameServer = 192.185.253.70,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{6191D824-3353-4BD7-9D3D-1DF74A9D3DF1}: NameServer = 192.185.253.70,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{6191D824-3353-4BD7-9D3D-1DF74A9D3DF1}: NameServer = 192.185.253.70,194.25.2.129
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Tools\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Tools\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Tools\Firewall\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Im moment gibt es auch keine Probleme...bin mir aber nicht ganz sicher ob der Virus noch drauf ist(im Prozess ist nur noch diese locator.exe datei...updater wird auch nicht mehr gestartet!

Gruß,
Euer Canadier!

Hab mir jetzt das Logfile nicht näher angeschaut, nur mal einen Blick auf die Windows-Version geworfen, die mir den Eindruck bestätigte, den ich von Deinen vorherigen Beschreibungen hatte....

Auf jeden Fall die Systempartition formatieren. Die anderen Partitionen dann formatieren, wenn dort mehr als nur Daten-Dateien (also ausführbare Dateien, DLLs) gespeichert werden. Die Daten vorher sichern und nachher (auf dem sauberen System) mit einem Virenscanner (z.B. eScan, siehe http://www.trojaner-board.de/42731-escan-anleitung.html ) scannen, um sicher zu gehen.

Warum musst Du formatieren: http://www.mathematik.uni-marburg.de...c-removal.html
Daraus: "Jeder Versuch, einen Schädling durch ein Programm sicher zu beseitigen, muss scheitern. Es kann klappen. Muss es aber nicht. Und man kann hinterher nicht sicher wissen, ob es nun geklappt hat oder nicht. Man spielt russisches Roulette."
Und siehe den MS-Link weiter oben.

Also: ASAP aus dem Netz, und frisch ans Werk.

Gruß
Yopie

Also ich sag mal so:
Hab drei Partitionen:
C: Mit dem System
D: MIt Tools und Firewall und Virenscanner
und E: mit Tools, Eigenen Dateien und anderen Daten (also größte)!
Der Wurm war auf der Platte E: gefunden worden! Also der Worm/IRCBot...!

Sollte ich also schon E: mit platt machen oder einfach doch alles!?

Gruß,
und danke Canadier

Nenn mal genau den Pfad des Wurms! Vielleicht war er ja gar nicht aktiv, und nur in einer Mail versteckt?

Und scan mal mit eScan, Anleitun genau beachten, und poste das Ergebnis, also die relevanten Teile aus dem Log!

Gruß
Yopie

und noch was: sollte ich, wenn ich mein system platt machen müsste, dies sofort tun oder kann man noch warten?!? wegen der ausbreitung!
Danke nochmal!
Euer Canadier

Wenn der Wurm aktiv ist, solltest Du auf jeden Fall aus dem Netz. Wann Du dann wieder neu aufsetzt, ist egal, denn ohne Internet ist so ein Internet-Wurm nur halb so effektiv.

Gruß
Yopie

@yopie: schau mal unter deinen privaten nachrichten nach!
Gruß,
Canadier

Done. (mindestens zehn Zeichen....)

Bitte nochmal unter privaten Nachrichten nachgucken@yopie!

Übrigns: mit escna wurde bsi jetzt ein Virus entdeckt: File C:\Dokumente und Einstellungen\...\Eigene Dateien\Sonstiges\Programme\mUsicTimeDeluxe_demo.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Hab ich jetzt mit dem Shredder gelöscht unter normalen Windows...war das alles richtig so?
Gruß,
Canadier

not-a-virus: nicht-ein-virus==kein Virus!

Hättest Du nicht löschen müssen! Bin mal eher gespannt, was so unter e: gefunden wird...

Gruß
Yopie

look at your private messages! ;-) @yopie!