Hi,
ich weiss, es gab schon einige posts hier die eine art dieses trojaners behandeln.
Es gibt aber ein paar dinge die ich nicht ganz verstehe. AntiVir meldet diesen
Wurm (WORM/IRCBot.65536) in System Volume Information auf meiner d:-platte,
das ist meine daten-festplatte, also nicht die system-platte. auf andern boards
habe ich mir anleitungen geholt, wie ich diesen trojaner loswerde, unter anderem habe ich mir im abgesicherten modus zugriff auf den ordner verschafft und die betreffende datei gelöscht. das ging wunderbar. der virus wird jetzt auch nicht mehr gefunden.

hier auf dem board wird aber meist empfohlen, bei diesem trojaner das system ganz neu aufzuspielen... woran erkenne ich nun ob mein system noch verseucht ist oder nicht? ich hab hijack laufen lassen und alles gefixed was bei der auswertung als unbekannt oder böse eingestuft wurde...

hier das aktuelle logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:41, on 25.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Eigene Dateien\Web\APACHE\Apache2\bin\Apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\PDF Printer\vspdfprsrv.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CounterSpy\sunserver.exe
D:\Eigene Dateien\Web\APACHE\Apache2\bin\Apache.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Palm\AlarmApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
C:\Dokumente und Einstellungen\Chris\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\WINOPT~1\PopUp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PROMT6\PRMTIE\prmtie.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Programme\Copernic Desktop Search\CopernicDesktopSearchIntegration977.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\PDF Printer\vspdfprsrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunServer] C:\Programme\CounterSpy\sunserver.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alarm Manager.LNK = C:\Programme\Palm\AlarmApp.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152699139078
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\Eigene Dateien\Web\APACHE\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

danke für eure hilfe

lukin

Zitat:

System Volume Information auf meiner d:-platte,
das ist meine daten-festplatte, also nicht die system-platte.

Die Dateien darin bekommst am einfachsten über die Deaktivierung der Systemwiederherstellung raus.

Zitat:

woran erkenne ich nun ob mein system noch verseucht ist oder nicht?

U.U. vllt. noch mit Rootkitaufspürern wie Blacklight oder Rootkit Detector. Die Frage aber ist, aber der IRC-BOT bei Dir im System aktiv war oder noch ist. Denn sobald der aktiv war, hat der das System kompromittiert. Dann MUSS es neu aufgesetzt werden. Aber nun zum Logfile:

Zitat:

C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe

Java sollte aktualisiert werden.

Zitat:

O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PROMT6\PRMTIE\prmtie.dll

Sagt mir nichts. Dir?

Ich bin mir hier nicht ganz sicher. Wenn der nicht aktiv war, dann wundert mich das, dass der in den System Volume Information Ordner gekommen ist, und dann nur in den auf der Datenpartition. Vllt. ist es auch ein False-Positive.
Mach mal nen Check mit eScan (siehe Link in meiner Sig) und Blacklight. Poste die Ergebnisse.

Hi,
vielen dank für die schnelle hilfe!!!

Zitat:

Zitat von cosinus

Die Dateien darin bekommst am einfachsten über die Deaktivierung der Systemwiederherstellung raus.

naja, mit der deaktivierung sind die dateien im system volume information - ordner nicht verschwunden, musste sie von hand rauslöschen.

U.U. vllt. noch mit Rootkitaufspürern wie Blacklight oder Rootkit Detector. Die Frage aber ist, aber der IRC-BOT bei Dir im System aktiv war oder noch ist. Denn sobald der aktiv war, hat der das System kompromittiert. Dann MUSS es neu aufgesetzt werden. Aber nun zum Logfile:

ok... gibt aber wohl kein programm was mir mit 100%iger sicherheit sagen kann ob er aktiv war oder noch ist?

Java sollte aktualisiert werden.

danke. ist geschehen.

Sagt mir nichts. Dir?

ne auch nich wirklich ... PROMT is ein übersetzungsprogramm... wahrscheinlich kann man eine toolbar in nen browser einbinden... brauch ich aber nich und hab das ding mit hijack gefixed.

Ich bin mir hier nicht ganz sicher. Wenn der nicht aktiv war, dann wundert mich das, dass der in den System Volume Information Ordner gekommen ist, und dann nur in den auf der Datenpartition. Vllt. ist es auch ein False-Positive.
Mach mal nen Check mit eScan (siehe Link in meiner Sig) und Blacklight. Poste die Ergebnisse.

also er war definitiv nur auf der daten-platte. escan und blacklite ergaben nichts. 'no hidden items found'
seit dem ich die datei von hand gelöscht hab, bekomme ich auch keine meldung von antivir mehr. ich frag mich auch wie er draufgekommen ist. dachte eigentlich ich bin gut abgesichert.
sollter eigentlich ne nummer sicher gehn und das system neu aufsetzen, aber das ist halt ein mega act, da es mein arbeits-rechner ist und ich darauf tonnenweise programme installiert hab, bis der wieder so eingerichtet ist , puuuh... das dauert tage... wenn du weisst was ich meine ... wäre schon cool wenn jetzt alles bereinigt wäre... wenn ich bloß sicher sein könnte dass er das system nicht kompromittiert hat

gruss und danke nochmal

IMHO ist es recht unwahrscheinlich, dass Dein System doch kompromittiert ist. Um noch etwas sicherer gehen zu können, wäre ein Virencheck von einem anderen System aus, z.B. mit BartPE oder du baust die Platte in einen anderen Rechner als Slave ein und lässt sie von einem definitiv sauberen OS aus checken.
Naja, hundertprozentige Sicherheit gibt es nunmal nicht.