Hi!

Hab folgendes Problem. Hatte gestern aus versehen alle Ports bei mir auf und habe mir wohl einen IRC Wurm eingefangen,also en Wurm der zum IRC connected. Wer kann mir helfen,wie bekomme ich den weg?

@krüml0r

Zitat:

Hatte gestern aus versehen alle Ports bei mir auf und habe mir wohl einen IRC Wurm eingefangen,also en Wurm der zum IRC connected. Wer kann mir helfen,wie bekomme ich den weg?

Wenn ich solche informative Postings lese, kann ich nur die Anleitung in meiner Signatur empfeheln.
Welches Betriebssstem? Welcher Antivirus? Firewall? Woher willst du wissen, dass mit deinem Comp etwas faul ist?

Ja sorry für den kurzen Post hatte heute morgen etwas wenig Zeit,weil ich weg musste. Also mein Betribessystem ist Winodws XP proffessionell. Wie ich darauf komm,dass es en Virus ist? Hatte gestern ja eben kurz alle Ports offen. In der Zeit kamen von Antivir 3 Meldungen mit infizierten Dateien. Ausserdem kam diese Fenster "Ihr PC fährt in 30 Sekunden runter". Dann hab ich mal in den Taskmanager geguckt und gesehen das dort immer eine WinPe.exe geladen wird. Habe da mal im inet drunter gesucht und folgende Seite gefunden:

name: ms ownage
Filename: winPE.exe
Description: Added by the W32/Rbot-AJL worm. When started, this infection connects to a remote IRC server where it waits for commands to execute.
File Location: %System%
Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.


Deshalb vermute ich das ich den Wurm habe und würde jetzt gerne wissen,wie ich den wieder weg bekomme.

antivirus is free-av personal edition

danke im vorraus
krüml0r

@krüml0r

Zitat:

Description: Added by the W32/Rbot-AJL worm.

Da musst du wohl doch der Anleitung in meiner Signatur folgen: Hier handelt es sich um einen gefährlichen Backdoor, der enorme und irreparable schaden am PC einrichten kann.

bitte nicht.....

hab jetzt en leichten hals an die entwickler von dem wurm.

@krüml0r

Zitat:

bitte nicht.....

Wenn du hier mich fragst, hast du auch meine Antwort.
Wenn du dich wagst, mit einem aktiven Backdoor dein PC weiter im Internet zu betrieben, habe ich nichts dafür.
Sorry.

also komischerweise seh ich den task jetzt nicht mehr im filemanager. Wenn ich jetzt mal hijack laufen lasse und hie rposte kannst du mir dann genaueres sagen?

Logfile of HijackThis v1.99.1
Scan saved at 17:18:48, on 13.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\klickTel\klickInvers Frühjahr 2005\KMON.EXE
D:\Skype\Phone\Skype.exe
D:\FMS32-PRO\fms32pro.exe
D:\Miranda IM\miranda32.exe
D:\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\ReGetDx\iebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [InversMonitor] "D:\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: AVGUARD.lnk = D:\AVPersonal\AVGUARD.EXE
O4 - Startup: fms32pro.lnk = D:\FMS32-PRO\fms32pro.exe
O4 - Startup: InversMonitor.lnk = ?
O4 - Startup: miranda32.lnk = D:\Miranda IM\miranda32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.neededware.com
O15 - Trusted IP range: http://65.75.152.140
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {CFAC00A4-E9E7-4A40-97A4-1E888B3DF0A6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://toolbar.dworx.org/toolbar/xt.chm::/xtoolbar.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1694863-711F-4EF5-B297-78AE4A5B1789}: NameServer = 217.237.151.225
O18 - Protocol: vskype - (no CLSID) - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe