Sers @ all

Habe zur Zeit das Problem, dass mein Rechner beim Ausführen von Anwendungen neuerdings sehr lange braucht. Beim Windows-Start wird ein Programm gestartet, das sich "mirc" nennt. Aber selbst wenn ich das im Taskmanager schließe ändert sich nichts an der Rechner-Geschwindigkeit. Bin leider net mit allzuviel Fachwissen gesegnet und würde gerne wissen was ich da tun kann. Das Hijack-Programm hab ich mir mal vorgemerkt. Werd den Log davon heute mittag mal nachreichen (bin auf der Arbeit). Über Hilfe dazu würde ich mich sehr freuen.

Wenn Du nicht weißt was "mirc" ist und es DEIN Rechner ist, dann solltest Du Dir erst einmal sehr viele Gedanken machen.

mIRC ist ein IRC-Client. IRC = Internet Relay Chat
wenn Du es nicht benötigst, dann DEINSTALLIERE es!
Wenn Du es nur selten benötigst, dann deaktiviere den Autostart.

mIRC selber verlangsamt aber nicht extrem die Rechengeschwindigkeit aber IRC ist ein "beliebtes" Einfalls-Scheunentor für Malware.

</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Wenn Du nicht weißt was "mirc" ist und es DEIN Rechner ist, dann solltest Du Dir erst einmal sehr viele Gedanken machen.

mIRC ist ein IRC-Client. IRC = Internet Relay Chat
wenn Du es nicht benötigst, dann DEINSTALLIERE es!
Wenn Du es nur selten benötigst, dann deaktiviere den Autostart.

mIRC selber verlangsamt aber nicht extrem die Rechengeschwindigkeit aber IRC ist ein "beliebtes" Einfalls-Scheunentor für Malware. </font>[/QUOTE]Also was IRC bzw. mirc ist weiss ich
Aber die Anwendung die da gestartet wird heisst auch mirc. Das ist quasi nur der Rahmen eines Fensters und das auch noch minimiert dargestellt. Lässt sich zwar ganz einfach schließen aber der Rechner bleibt danach immer noch langsam. Und im Task-Manager sehe ich auch keinen Prozess der auffällig Ressourcen beansprucht.

EDIT :
Ach ja mit Norton Antivirus 2002 + neuesten Virdefinitionen bin ich mal komplett durch den ganzen Rechner gegangen --&gt; nix
McAffee Avert Stinger (spez. für Würmer, Trojaner) --&gt; nix

da gab es IMHO mal eine Malware die sich als MIRC getarnt hatte!

//Edit schau mal da =&gt; http://www.trojaner-board.de/forum/u...c;f=6;t=005342

Versuch mal einen Online-AV-scan:
(alternativen!)
http://de.bitdefender.com/scan/licence.html
http://www.pandasoftware.com/actives..._principal.htm
http://de.trendmicro-europe.com/ente...secall_pre.php

</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
da gab es IMHO mal eine Malware die sich als MIRC getarnt hatte!

//Edit schau mal da =&gt; http://www.trojaner-board.de/forum/u...c;f=6;t=005342

Versuch mal einen Online-AV-scan:
(alternativen!)
hxxp://de.bitdefender.com/scan/licence.html
hxxp://www.pandasoftware.com/activescan/de/activescan_principal.htm
hxxp://de.trendmicro-europe.com/enterprise/products/housecall_pre.php </font>[/QUOTE]Hmm, so wie in dem anderen Thread stellt sich das bei mir nicht dar. Wie gesagt im Task-Manager ist nix Auffälliges. Naja, ich reich mal den Hijackthis-Log nach :

</font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7
Scan saved at 17:11:54, on 24.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
D:\PROGRA~1\NORTON~1\navapw32.exe
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\WINDOWS\System32\RunDll32.exe
D:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\iedriver.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
D:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
D:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\WinTV\Ir.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Roman\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.t-online.de/software/ie401/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://portal.droidwars.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WheelMouse] d:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [msbb] C:\Programme\nCase\msbb.exe
O4 - HKLM\..\Run: [iedriver] C:\WINDOWS\System32\iedriver.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] d:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] d:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.t-online.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - hxxp://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - hxxp://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - hxxp://212.102.242.16/activex/AxisCamControl.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38001.3015625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9F05CD4-0F4D-4FC8-897B-D15F03FEABCE}: NameServer = 217.237.151.225 194.25.2.129

</font>[/QUOTE]Ach ja die Online-Scanner geh ich grad alle durch.

[ 24. Mai 2004, 17:08: Beitrag editiert von: Akyrion ]

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Du musst dringend (!) dein System auf den neuesten Stand bringen!


Diese Dateien...

C:\WINDOWS\System32\iedriver.exe

rundll32.exe (bitte mit Hilfe der Windows-Suche alle Dateien diesen Namens ermitteln und prüfen)

c:\windows\system32\rundll32\svchost.exe
c:\windows\system32\secure\rundll32.exe

...bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Ergebnisse dann hier posten.


(Zugehörige Registry-Einträge:
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
O4 - HKLM\..\Run: [iedriver] C:\WINDOWS\System32\iedriver.exe)


Das ist Adware, die teilweise aber nur mit Vorsicht entfernt werden sollte (Spybot Search and Destroy verwenden), da ansonsten das Windows Netzwerk Schaden nehmen könnte:

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O4 - HKLM\..\Run: [msbb] C:\Programme\nCase\msbb.exe
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\roman\lokale einstellungen\temp\~vis0000\gain_3202.exe"

</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Du musst dringend (!) dein System auf den neuesten Stand bringen!


Diese Dateien...

C:\WINDOWS\System32\iedriver.exe

rundll32.exe (bitte mit Hilfe der Windows-Suche alle Dateien diesen Namens ermitteln und prüfen)

c:\windows\system32\rundll32\svchost.exe
c:\windows\system32\secure\rundll32.exe

...bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Ergebnisse dann hier posten.


(Zugehörige Registry-Einträge:
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
O4 - HKLM\..\Run: [iedriver] C:\WINDOWS\System32\iedriver.exe)


Das ist Adware, die teilweise aber nur mit Vorsicht entfernt werden sollte (Spybot Search and Destroy verwenden), da ansonsten das Windows Netzwerk Schaden nehmen könnte:

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O4 - HKLM\..\Run: [msbb] C:\Programme\nCase\msbb.exe
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\roman\lokale einstellungen\temp\~vis0000\gain_3202.exe" </font>[/QUOTE]Zu überprüfende Datei: iedriver.exe

iedriver.exe Infiziert: TrojanClicker.Win32.Iedriver


Zu überprüfende Datei: rundll32.exe

rundll32.exe Ok

Svchost.exe --&gt; Die Größe der Datei übersteigt 1024 Kb

c:\windows\system32\secure\ --&gt; keine datei rundll32.exe

Was mach ich jetzt mit der infizierten Datei ? Kann ich die einfach löschen ? Kann ich die reparieren ? Muss ich die durch eine saubere ersetzen ?

</font><blockquote>Zitat:</font><hr />Original erstellt von Akyrion:
Zu überprüfende Datei: iedriver.exe

iedriver.exe Infiziert: TrojanClicker.Win32.Iedriver</font>[/QUOTE]Diese Datei sowie der auf sie verweisende Registry-Eintrag sind zu löschen. Es ist der Schädling selbst, somit kann die Datei nicht "repariert" oder ersetzt werden.


</font><blockquote>Zitat:</font><hr />Zu überprüfende Datei: rundll32.exe

rundll32.exe Ok</font>[/QUOTE]Wie viele rundll32.exe wurden gefunden, und in welchem Ordner befand sich die von dir geprüfte?

</font><blockquote>Zitat:</font><hr />Svchost.exe --&gt; Die Größe der Datei übersteigt 1024 Kb</font>[/QUOTE]In welchem Ordner befindet sich die von dir geprüfte Svchost.exe und wie groß ist sie?

</font><blockquote>Zitat:</font><hr />c:\windows\system32\secure\ --&gt; keine datei rundll32.exe</font>[/QUOTE]Lösch den Registry-Eintrag.