| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Help! Backdoor Worm/IRCBot.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.09.2005, 10:16
| #1 |
 |  Help! Backdoor Worm/IRCBot. Hallo, mein Virenscanner Antivir PE erkennt im resistenten Modus immer wieder folgenden Wurm im Verzeichnis: C:\SYSTEM VOLUME INFORMATION\_RESTORE{41689462-3A87-43C8-833C-ED52A9B0A71A}\RP97\A0040665.PIF Enthält Signatur des Wurmes WORM/IRCBot.154624 Auf das Verzeichnis kann ich natürlich nicht zugreifen, aber wißt ihr (sehr dumme Frage vielleicht) ob es ein wichtiges Verzeichnis ist, bzw die betroffene Datei? Außerdem, und ich weiß nicht ob dieser Wurm dafür verantwortlich ist, tut mein PC bei fast allen Passwort-Eingabeaufforderungen neuerdings so, als wenn ich eine Taste ständig gedrückt halten würde - d.h. immer wenn wo eine Eingabe ist schießen diese "••••" in einer Reihe los und hören nicht mehr auf, bis ich Tab drücke. Meine Tastatur ist aber in Ordnung, hab ne andere ausprobiert... Wißt ihr was? Ich poste euch nun noch mein HiJack-Log (die letzte Zeile macht mir Sorgen): Logfile of HijackThis v1.99.1 Scan saved at 11:15:06, on 17.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\windows\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\windows\System32\nvsvc32.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\WINDOWS\TBPanel.exe C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Ahead\InCD\InCD.exe C:\windows\system32\RUNDLL32.EXE C:\windows\system32\atwtusb.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Nikon\NkView6\NkvMon.exe C:\windows\system32\wuauclt.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Soulseek\slsk.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\iexplore.exe C:\windows\system32\RUNDLL32.exe C:\windows\system32\RUNDLL32.exe C:\Programme\Adobe\Photoshop CS\Photoshop.exe C:\Adobe\Streamline 4.0\Streamline.exe C:\Programme\Adobe\Illustrator CS\Support Files\Contents\Windows\Illustrator.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Joners\Desktop\Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***//web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***.tele2.at/startpage R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet O1 - Hosts: 64.91.255.87 ***dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [USRpdA] C:\windows\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{3BE48~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{3BE48~1\reboot.ini -l0x7 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.at/startpage O17 - HKLM\System\CCS\Services\Tcpip\..\{36F536A3-90E0-4AFD-B49D-563095311E71}: NameServer = 193.170.96.66,195.70.242.5 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe O23 - Service: Srv32 - Unknown owner - C:\windows\system32\srv32.exe (file missing) Vielen Dank schon mal! Froh [edit] links entfernt [/edit] Geändert von GUA (17.09.2005 um 12:26 Uhr) |
| Themen zu Help! Backdoor Worm/IRCBot. |
| adobe, antivir, backdoor, bho, computer, cyberlink, desktop, einstellungen, excel, explorer, frage, gainward, google, help, hijackthis, immer wieder, internet, internet explorer, photoshop, rundll, scan, software, solution, system, tastatur, windows, windows xp, wurm |
Baum-Darstellung