Hallo,

ich hab mal wieder ein problem [img]graemlins/headbang.gif[/img]

heute habe ich eine querry im irc bekommen, von einer person die mir sehr bekannt ist und mit der ich schon lange kontakt habe. Der link führte mich auf eine seite mit einem flash pingpong game. später erfuhr ich dann, dass die seite zu einem irc wurm führt. er verbreitet sich indem er selbstständig querrys mit dem pingpong.swf verschickt. Ich habe keine Pobleme, mit programmen oder sonstigem. Es öffneten sich auch keine dosfenster oder sowas. Kann das was sehr böses sein, also etwas das irgendwas anderes ausser mein irc befällt?

Mein OS ist windows xp, ungepatcht

Vielen dank für Hilfe.

P.S.

Jedoch habe ich einen unbekannten Prozess: umcss
Google hat kein ergebniss gebracht.

[ 12. April 2004, 18:14: Beitrag editiert von: FaT ]

So is gibt schon neue entwicklungen

Bitdefender Online Scan hat folgendes gefunden:
Trojan.Win32.Hotmail.dr

er war in den temporären internet dateien. es wurde alle gelöscht.

</font><blockquote>Zitat:</font><hr />Original erstellt von FaT:
Kann das was sehr böses sein,
</font>[/QUOTE]Ja
</font><blockquote>Zitat:</font><hr />Original erstellt von FaT:

also etwas das irgendwas anderes ausser mein irc befällt?
</font>[/QUOTE]Ja
</font><blockquote>Zitat:</font><hr />Original erstellt von FaT:

Mein OS ist windows xp, ungepatcht</font>[/QUOTE]SEHR schlecht

thx für die antworten,

was bedeutet jetzt der prozess umcss.exe?
wie erkenne ich eine schwerwiegende vireninfektion? z.b. Einen keylogger :/

habe umcss bei mir nicht und auch nicht ergooglen können. Auch habe ich bei Bitdefender oder Google nichts über diese Malware gefunden.
Wie erkennst Du einen Keylogger? Denke mal im "Normalfall" garnicht
bis Du Dich wunderst warum alle Deine Passworte falsch sind und dein konto abgeräumt

Ohne AV-Programm erkennt man eine schwerwiegende Vireninfektion an den schwerwiegenden Folgen.
Nein im Ernst, die "Infektion" wird erst durch die Folgen schwerwiegend und ohne AV-Programme hast du keine Möglichkeit von vornherein die Folgen abzuschätzen.
Also AV-Programm updaten!
Eventuell einen Online-Virenscan mit "Konkurrenz"-Programmen machen:
http://www.pandasoftware.com/actives..._principal.htm
http://de.trendmicro-europe.com/ente...secall_pre.php
http://us.mcafee.com/root/mfs/default.asp
http://www3.ca.com/threatinfo/virusinfo/scan.aspx

also anscheinend ist der prozess umcss der wurm

ich habe auch die exe datei gefunden is 20kb gross, und im windows/system32 ordner. ich trau mich nur net löschen

wie gesagt, die datei ist vorhanden UND in der Registry findet man auch einen Eintrag. Die EXE datei wurde exakt zur selben zeit erstellt als ich den link geklickt habe [img]graemlins/balla.gif[/img]

den reg schlüssel kann ich löschen, nur die datei nicht, es kommt die fehlermeldung das die datei in verwendung ist, der prozess ist jedoch deaktiviert.

Löschen dürfte Okay sein (trau Dich) *bg*
Starte mal im Abgesicherten Modus und lösche dann.
Schalte auch die Systemwiederherstellung aus, sonst bleibt das Stück vermutlich im _restore-Ordner als Kopie

ok thx

also ich bin das ding glaub ich los
ich bin so vorgegangen: (ich hatte keine systemwiederherstellung deaktiviert ..)

prozess umcss beendet
regedit und den eintrag umcss gelöscht.

neustart ohne verbindung ins internet
umcss.exe im system32 ordner gelöscht.

DANACH systemwiederherstellung deaktiviert.
Er findet keine umcss.exe mehr.

Ich glaub ich habs geschafft [img]graemlins/kloppen.gif[/img]

ne, ich habs net geschafft ;_;

ich verschicke immer noch querrys mit inhalten wie "hey", mehr net.

ich hab schon deeinstalliert und neu gemacht, weiss einer sonst noch ne lösung?

Hallo!

Die umcss.exe einfach zu löschen, ohne a) zu klären, um welche Malware es sich dabei handelt und b) ohne sie zu sichern, war ein Fehler (das System nicht zu patchen, aber noch ein größerer).

Erstell bitte ein HijackThis-Logfile:
http://www.trojaner-board.de/forum/u...c;f=6;t=004852

Hi,

die umcss wurde genau heute um 17.51 Uhr erstellt, als ich den link angeklickt haben, ausserdem hatten alle die mit dem virus infiziert sind, diese datei und den Hintergrundprozess. Darum bin ich mir jetzt recht sicher das es sich dabei um den Virus gehandelt haben muss!

Ich habe mir jetzt den McAfee draufgemacht, den ich hier noch hatte, alle updates gemacht und er hat prompt das hier gefunden:

C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temp\zeqrb.exe =&gt; zeqrb.exe

auch bei dieser exe datei finde ich den registry eintrag.

es wurde als morphine erkannt. Es kann nicht gelöscht oder gesäubert werden. Was soll ich nun mit zeqrb.exe machen?

Logfile of HijackThis v1.97.7
Scan saved at 22:28:49, on 12.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\SystemTools\Gamers.IRC\mirc.exe
C:\SpieleTools\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\System32\msiexec.exe
C:\SystemTools\Network Associates\Common Framework\FrameworkService.exe
C:\SystemTools\Network Associates\VirusScan\Mcshield.exe
C:\SystemTools\Network Associates\VirusScan\VsTskMgr.exe
C:\SystemTools\Network Associates\Common Framework\UpdaterUI.exe
C:\SystemTools\Network Associates\VirusScan\shstat.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\SystemTools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.k-clan.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ShStatEXE] "C:\SystemTools\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\SystemTools\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\SystemTools\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...46/mcfscan.cab

hier noch die logfile

[ 12. April 2004, 22:50: Beitrag editiert von: FaT ]

</font><blockquote>Zitat:</font><hr />Original erstellt von FaT:
zeqrb.exe
...
Es kann nicht gelöscht oder gesäubert werden. </font>[/QUOTE]Auch nicht bei Start im abgesicherten Modus?

Welches FileSystem benutzt Du?
NTFS oder FAT32?

Hi,

nachdem mich heute ZoneAlarm gefragt hab, ob ich umcss.exe den Zugang zum Internet gewähren möchte, wird mein Rechner wohl auch von diesem Ding befallen sein.

Nachdem ich ein bisschen gegoogelt habe, habe ich umcss.exe den Zugang zum Internet verwehrt, sowie den Task beendet und konnte die Datei (C:\Windows\system32\umcss.exe) ohne Probleme verschieben.

In der Registry fand ich noch einen Schlüssel unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run angelegt, der den Wert 'umcss.exe' hatte. =&gt; umcss.exe würde mit Windows gestartet werden.

Ansonsten konnte ich auf Anhieb keine weiteren Spuren feststellen und da ich - wenn ich mich recht erinnere - den Link mit Mozilla geöffnet habe, sollte auch von den Temporären Dateien keine Gefahr ausgehen..

Auf http://text.broadbandreports.com/forum/remark,9966962 habe ich noch folgendes gelesen:
</font><blockquote>Zitat:</font><hr />
[...]
The exececutable
spawns a connection to a irc-server called apollo.uplinkearth.com at
port 6667.
[...]
it also adds a line in mirc.ini telling it to load a script called custom1.mrc, which
adds a "on join" to remote, sending several messages to channel visitors, including
one with the URL above.
[...]
</font>[/QUOTE]Als ich den Link empfangen habe, hatte ich auch mIRC verwendet, konnte jedoch kein neues mIRC-Script finden. (Liegt vielleicht daran, dass ich mIRC auf Laufwerk D: installiert habe)
Auf jeden Fall wäre das ein möglicher Grund für das Versenden der Nachrichten. @FaT

Es wundert mich ein bisschen, dass ZoneAlarm mich erst heute wegen umcss.exe gefragt hat, trotzdem ich den Link schon vor gut einer Woche angeklickt habe und seitdem meinen Rechner seitdem schon mehrfach rauf- und runtergefahren habe.
Außerdem wundert es mich, dass bei ZoneAlarm stand: "This Program has accessed the internet before". (Habe ich ihm aber sicher nicht erlaubt und sonst nutzt keiner meinen PC)

Ich hoffe, dass ich ein bisschen weiterhelfen konnte und würde mich freuen, hier über eventuelle neue Erkenntnisse (vor allem zu den Schäden..) zu lesen.

gruß uru

[ 19. April 2004, 20:06: Beitrag editiert von: URU ]

umcss.exe ist ein Backdoor namens IRCBot.gen
Infos findest du bei google.de

Bitte löschen deinen Link zum Download.