![]() |
|
Plagegeister aller Art und deren Bekämpfung: Habe ich einen IRC Virus, Trojaner, oder sonstwas?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Habe ich einen IRC Virus, Trojaner, oder sonstwas? Hallo! ![]() Seit heute morgen habe ich leider ein mittelprächtiges Problem mit meinem mIRC. Angefangen hat es damit, daß ich einen anderen server (Central Maniac) betreten habe. Dort mußte ich die /ns Befehle ausschreiben, weil nur /nickserv akzeptiert wurde und ansonsten eine Servermeldung kam. gut, ich hab dort schön meine Nicks registriert und meinem Hauptnick untergeordnet, aber ansonsten ging dort nichts. Keinen Channel außer der Lobby konnte ich betreten, egal mit welchem Befehl. Auch durch anklicken war dies nicht möglich. Deshalb hab ich dann gedacht, es läge mal wieder an meinem PC, der seit mir vor einigen Tagen der halbe Arbeitsspeicher kaputtgegangen ist, nur noch lahmt und diesen neu hochgefahren. Seither komme ich mit mIRC überhaupt nicht mehr rein, auf keinem Server. Solange ich euIRC connecte, läuft alles wunderbar. Mein Perform läuft, alles sieht aus wie immer, aber dann, nachdem ich identifiziert bin, kommt nur noch diese Meldung: MANIAC-IRC Unknown command Ich kann machen was ich will. Selbst wenn ich mein Perform ausschalte und mein Nick nur aus wahllos zusammengestellten buchstaben besteht, bekomme ich diese Meldung, egal was ich eingebe. Ja, und weil mir das soviel spaß macht, hab ich stundenlang Virenscanner drüberlaufen lassen. Antivir(<--auch im abgesicherten Modus), Spyware Doctor, und auf Empfehlung eines IRC-Nutzers auch noch den BitDefender. Es wurden ein paar Kleinigkeiten gefunden, aber von denen wußte ich auch vorher schon...unausgepackte ZIP-Files, aber die sind schon länger in Quarantäne und haben nie Ärger gemacht. So, ich hoffe, daß ich alles ausreichend beschrieben und nichts vergessen habe...und vor allem, daß mir jemand helfen kann. Auf die Gefahr hin, daß das auch unsicher sein könnte, gehe ich jetzt mit einem anderen Client rein... ![]() CU *wink* ![]() |
![]() | #2 |
> MalwareDB ![]() ![]() ![]() ![]() ![]() | ![]() Habe ich einen IRC Virus, Trojaner, oder sonstwas?__________________
__________________ |
![]() | #3 |
![]() | ![]() Habe ich einen IRC Virus, Trojaner, oder sonstwas? Thx @Schrulli!
__________________![]() Logfile of HijackThis v1.99.1 Scan saved at 19:50:44, on 12.03.06 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\NOVELL\CLIENT32\NWRECMSG.EXE C:\NOVELL\CLIENT32\WM95.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE C:\WINDOWS\SYSTEM\DPMW32.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\CPUCOOL\CPUCOOL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\DIABLO II\GAME.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\MIRC\MIRC.EXE C:\PROGRAMME\HIJACK THIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\SYSTEM\dpmw32.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE C:\WINDOWS\SYSTEM\TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [outlook] \outlook\outlook.exe /auto O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\bdnagent.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Workstation Scheduler] C:\novell\client32\wm95.exe O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe" O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: CPUCooL.lnk = C:\Programme\CPUCooL\CPUCooL.exe O4 - Startup: init.bat.pif = C:\PROG\BAT\INIT.BAT O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMMON\YHEXBMESDE.DLL O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMMON\YHEXBMESDE.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll So, ich hoffe, daß diesmal alles stimmt und ich nix übersehn hab, was rauszumachen wäre, bevor ich poste. Ich muß dazusagen, daß das genaugenommen das zweite Logfile ist. Das erste ist mir leider abhandengekommen, weil ich es noch nicht abgespeichert hatte, als ich Registry Mechanic auch noch suchen habe lassen und dabei mein Rechner mal wieder überfordert war... Jo, immerhin hab ich jetzt wieder 14 Probleme weniger in der Registry ^^ |
![]() | #4 |
> MalwareDB ![]() ![]() ![]() ![]() ![]() | ![]() Habe ich einen IRC Virus, Trojaner, oder sonstwas? Hallo, warum läuft auf dem Rechner den ein Novell Netzwerk? Poste bitte mal den Inhalt der C:\PROG\BAT\INIT.BAT (im Explorer nach c:\prog\bat klicken dann rechtsklick auf init.bat, dann auf bearbeiten klicken, es öffnet sich der Editor), es sei denn Du kennst diese Datei, bin mir grad nicht sicher, ob sie zu Novell gehört. Zu Deinem eigentlichem Problem trägt das wohl aber nicht bei, daher führe einen eScan aus, Anleitung als Link in meiner Signatur. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
![]() | #5 |
![]() | ![]() Habe ich einen IRC Virus, Trojaner, oder sonstwas? Das ist ein Überbleibsel der Firma, in der mein Rechner bis vor wenigen Wochen stand. Da mir die Leute die unterschiedlichsten Horrorgeschichten bezüglich Novell erzählt haben, habe ich es lieber mal da gelassen, wo es ist. Denn solange ich nicht sicher weiß, daß ich 1. Systemadmin bin und 2. Novell sich nicht so ans BIOS gekoppelt hat, daß es mir den PC ruinieren könnte, mache ich da lieber nichts. Laufwerk G: habe ich allerdings gelöscht, weil es immer wieder Downloads in diesem nicht mehr vorhandenen Netzwerk-Laufwerk speichern wollten. Und diesen Dateiinhalt kenne ich. Ich sehe ihn bei jedem Start. C:\prog\bat>capture s=chef_2003 q=Q_Oki390 l=1 nb nff ti=2 Befehl oder Dateiname nicht gefunden. C:\prog\bat>capture s=chef_2003 q=Q_tobitA4 l=3 nb nff ti=2 Befehl oder Dateiname nicht gefunden. C:\prog\bat>
__________________ I don't like Mondays... ![]() |
![]() | #6 |
> MalwareDB ![]() ![]() ![]() ![]() ![]() | ![]() Habe ich einen IRC Virus, Trojaner, oder sonstwas? Hallo, ich wüßte nicht, welche Hardwarebezogenen Auswirkungen Novell auf den Rechner haben könnte? Um 1. und 2. Auszuschließen, solltest Du den Rechner dann doch vielleicht neu aufspielen. Die WIN98 Cd hast Du ja dazubekommen ![]() Scanne C:\WINDOWS\RunDLL.exe C:\WINDOWS\SYSTEM\runonce.exe online bei Jotti und poste das Ergebnis hier. Gruß Schrulli
__________________ --> Habe ich einen IRC Virus, Trojaner, oder sonstwas? |
![]() |
Themen zu Habe ich einen IRC Virus, Trojaner, oder sonstwas? |
abgesicherten, abgesicherten modus, antivir, arbeitsspeicher, ausreichend, central, client, confused, empfehlung, helfen, irc, klicke, lahm, lahmt, modus, neu, nicht mehr, problem, quara, quarantäne, scan, scanner, server, spyware, spyware doctor, trojaner, virenscan, virenscanner, virus |