|
Plagegeister aller Art und deren Bekämpfung: WinPE.exe IRC Wurm?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.08.2005, 10:21 | #1 |
| WinPE.exe IRC Wurm? Hi! Hab folgendes Problem. Hatte gestern aus versehen alle Ports bei mir auf und habe mir wohl einen IRC Wurm eingefangen,also en Wurm der zum IRC connected. Wer kann mir helfen,wie bekomme ich den weg? |
13.08.2005, 10:31 | #2 | |
| WinPE.exe IRC Wurm? @krüml0r
__________________Zitat:
Welches Betriebssstem? Welcher Antivirus? Firewall? Woher willst du wissen, dass mit deinem Comp etwas faul ist? |
13.08.2005, 15:42 | #3 |
| WinPE.exe IRC Wurm? Ja sorry für den kurzen Post hatte heute morgen etwas wenig Zeit,weil ich weg musste. Also mein Betribessystem ist Winodws XP proffessionell. Wie ich darauf komm,dass es en Virus ist? Hatte gestern ja eben kurz alle Ports offen. In der Zeit kamen von Antivir 3 Meldungen mit infizierten Dateien. Ausserdem kam diese Fenster "Ihr PC fährt in 30 Sekunden runter". Dann hab ich mal in den Taskmanager geguckt und gesehen das dort immer eine WinPe.exe geladen wird. Habe da mal im inet drunter gesucht und folgende Seite gefunden:
__________________name: ms ownage Filename: winPE.exe Description: Added by the W32/Rbot-AJL worm. When started, this infection connects to a remote IRC server where it waits for commands to execute. File Location: %System% Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry. Deshalb vermute ich das ich den Wurm habe und würde jetzt gerne wissen,wie ich den wieder weg bekomme. antivirus is free-av personal edition danke im vorraus krüml0r |
13.08.2005, 15:44 | #4 | |
| WinPE.exe IRC Wurm? @krüml0r Zitat:
|
13.08.2005, 15:48 | #5 |
| WinPE.exe IRC Wurm? bitte nicht..... hab jetzt en leichten hals an die entwickler von dem wurm. |
13.08.2005, 16:02 | #6 | |
| WinPE.exe IRC Wurm? @krüml0r Zitat:
Wenn du dich wagst, mit einem aktiven Backdoor dein PC weiter im Internet zu betrieben, habe ich nichts dafür. Sorry. |
13.08.2005, 16:12 | #7 |
| WinPE.exe IRC Wurm? also komischerweise seh ich den task jetzt nicht mehr im filemanager. Wenn ich jetzt mal hijack laufen lasse und hie rposte kannst du mir dann genaueres sagen? Logfile of HijackThis v1.99.1 Scan saved at 17:18:48, on 13.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE D:\AVPersonal\AVWUPSRV.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe D:\AVPersonal\AVGNT.EXE C:\Programme\TGTSoft\StyleXP\StyleXP.exe D:\klickTel\klickInvers Frühjahr 2005\KMON.EXE D:\Skype\Phone\Skype.exe D:\FMS32-PRO\fms32pro.exe D:\Miranda IM\miranda32.exe D:\Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\ReGetDx\iebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [InversMonitor] "D:\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: AVGUARD.lnk = D:\AVPersonal\AVGUARD.EXE O4 - Startup: fms32pro.lnk = D:\FMS32-PRO\fms32pro.exe O4 - Startup: InversMonitor.lnk = ? O4 - Startup: miranda32.lnk = D:\Miranda IM\miranda32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: http://www.neededware.com O15 - Trusted IP range: http://65.75.152.140 O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {CFAC00A4-E9E7-4A40-97A4-1E888B3DF0A6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://toolbar.dworx.org/toolbar/xt.chm::/xtoolbar.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E1694863-711F-4EF5-B297-78AE4A5B1789}: NameServer = 217.237.151.225 O18 - Protocol: vskype - (no CLSID) - (no file) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe Geändert von krüml0r (13.08.2005 um 16:21 Uhr) |
Themen zu WinPE.exe IRC Wurm? |
eingefangen, folge, folgendes, gefangen, gestern, helfen, irc, ports, wurm, wurm? |