Hallo,
mein Virenscanner Antivir PE erkennt im resistenten Modus immer wieder folgenden Wurm im Verzeichnis:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{41689462-3A87-43C8-833C-ED52A9B0A71A}\RP97\A0040665.PIF
Enthält Signatur des Wurmes WORM/IRCBot.154624

Auf das Verzeichnis kann ich natürlich nicht zugreifen, aber wißt ihr (sehr dumme Frage vielleicht) ob es ein wichtiges Verzeichnis ist, bzw die betroffene Datei?

Außerdem, und ich weiß nicht ob dieser Wurm dafür verantwortlich ist, tut mein PC bei fast allen Passwort-Eingabeaufforderungen neuerdings so, als wenn ich eine Taste ständig gedrückt halten würde - d.h. immer wenn wo eine Eingabe ist schießen diese "••••" in einer Reihe los und hören nicht mehr auf, bis ich Tab drücke. Meine Tastatur ist aber in Ordnung, hab ne andere ausprobiert... Wißt ihr was?
Ich poste euch nun noch mein HiJack-Log (die letzte Zeile macht mir Sorgen):

Logfile of HijackThis v1.99.1
Scan saved at 11:15:06, on 17.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\windows\System32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\windows\system32\RUNDLL32.EXE
C:\windows\system32\atwtusb.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\windows\system32\wuauclt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Soulseek\slsk.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\windows\system32\RUNDLL32.exe
C:\windows\system32\RUNDLL32.exe
C:\Programme\Adobe\Photoshop CS\Photoshop.exe
C:\Adobe\Streamline 4.0\Streamline.exe
C:\Programme\Adobe\Illustrator CS\Support Files\Contents\Windows\Illustrator.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Joners\Desktop\Tools\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***//web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***.tele2.at/startpage
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet
O1 - Hosts: 64.91.255.87 ***dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [USRpdA] C:\windows\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{3BE48~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{3BE48~1\reboot.ini -l0x7
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.at/startpage
O17 - HKLM\System\CCS\Services\Tcpip\..\{36F536A3-90E0-4AFD-B49D-563095311E71}: NameServer = 193.170.96.66,195.70.242.5
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: Srv32 - Unknown owner - C:\windows\system32\srv32.exe (file missing)

Vielen Dank schon mal!
Froh

[edit]
links entfernt
[/edit]

Glaub Dir gerne, daß die letzte Zeile Sorgen macht. Das ist zwar nur noch ein Relikt von dem hier (file missing), aber offensichtlich ist er im Hintergrund immer noch aktiv. Du hast ja gelesen, was er alles kann und tut; und aus diesem Grund kann ich Dir nur empfehlen, Dein System neu aufzusetzen.
Das Verzeichnis ist die Systemwiederherstellungsfunktion von XP. Du kannst es leeren, in dem Du die Systemwiederherstellung ausschaltest, Rechner aus, Rechner an, Systemwiederherstellung wieder an. Dies wird allerdings nichts daran ändern, daß Dein Rechner kompromittiert ist.
Melde Dich nach dem Aufsetzen (an alle Tipps halten) wieder mit einem neuen Logfile.
cacatoa

UM GOTTES WILLEN!

SO schlimm steht es?
Vielen Dank erstmal für die Antwort.
Das Problem ist: ich kann im Moment meinen PC nicht neu aufsetzen, weil ich noch 2 Wochen Tag und Nacht daran arbeiten muss und dafür auch Internet brauche, und mir diesen Zeitaufwand überhaupt nicht leisten kann. Ich hätte jetzt die wahrscheinlich dümmliche Frage, WIE gefährlich genau ist dieser Trojaner einzuschätzen? Werden meine Bankdaten geklaut? Mein Ebay? Meine Emailpaßwörter? Hilft es, die Passwörter vorrübergehend zu ändern? Und: überträgt er sich automatisch auf andere Rechner, mit denen ich im Netz in Kontakt stehe? Bitte, bitte sag, daß es nicht so schlimm ist!
Ich werde hysterisch...
Danke,
Trauerbarsch

Ach, und noch eine Frage:

hilft es wenigstens, nur Windows neu drüber zu installieren...? Nö wahrscheinlich nicht. Kacke aber auch.

@Frohbarsch

Zitat:

Das Problem ist: ich kann im Moment meinen PC nicht neu aufsetzen, weil ich noch 2 Wochen Tag und Nacht daran arbeiten muss und dafür auch Internet brauche

Du musst dann damit rechnen, dass nicht ausschließlich DU Zugang zu deinem Rechner hast. Lese mal bitte hier: http://en.wikipedia.org/wiki/Botnet und entscheide selbst ,was du tust, und wie du die Ergebnisse deiner 2-wöchigen Arbeit schützen möchtest.

@Frohbarsch:
In meinem Link hatte ich Dir angegeben, was dieser Backdoor so alles kann.
Hier nochmal:
* Aufspüren von E-Mail-Adressen
* Stehlen von Produkt-Registrierungsdaten für bestimmte Software
* Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken
* Durchsuchen von Netzwerken nach Schwachstellen
* Herunterladen und Ausführen beliebiger Dateien
* Starten eines Proxyservers (SOCKS4/SOCKS5)
* Starten und Stoppen von Systemdiensten
* Überwachen der Netzwerkkommunikation (Packetsniffing)
* Hinzufügen und Entfernen von Netzwerkfreigaben
* Senden von E-Mails
* Speichern von Tastenfolgen

...und System neu aufsetzen geht schneller, als man denkt.
cacatoa

Servus Rene-Gad!

Cacatoa !

Zitat:

Zitat von Frohbarsch

Das Problem ist: ich kann im Moment meinen PC nicht neu aufsetzen, weil ich noch 2 Wochen Tag und Nacht daran arbeiten muss und dafür auch Internet brauche, und mir diesen Zeitaufwand überhaupt nicht leisten kann.

Doch, den kannst Du Dir leisten. Du *mußt* ihn Dir nämlich leisten. Da kann es gar kein Zögern geben: der Rechner muß vom Netz und neu aufgesetzt werden. Halte Dich dabei an Cidres oder meine Anleitung.

Cobra

Ihr habt ja recht, und ich habe es auch von anfang an vermutet. ich wollte es nur nicht wahrhaben. vielen dank an euch, ich melde mich wieder mit neu aufgestztem system!

eine scheiße ist das aber schon, muss ich sagen.

totbarsch

@Frohbarsch:
Scheiße sagt man nicht, da geht die ganze Bildung am Arsch!
cacatoa

guten tag liebe comunity ich wollte mal fragen

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]