Worm/IRCBot.857088 ???

filou3205 · 17.05.2007, 17:39

Hallo ! Ich bin absoluter anfänger in sachen PC und schon habe ich mir einen virus eingefangen und zwar Worm/IRCBot.857088 und weiß nicht wie ich ihn weg bekommen soll habe mich schon in vielen seiten durchgelesen und verstehe leider nur Bahnhof ich benutze avira anti vir. es wäre nett wenn anleitung schritt für schritt

danke im vorraus

**Sunny** · 17.05.2007, 17:42

Hallo und im Trojaner Board!

Erstmal ist es wichtig zu wissen wo der genannte Wurm gefunden wurde, dazu solltest du den letzten Report von Antivir öffnen und nachsehen und welchem Dateipfad dieser zu finden war.

Gruß
Sunny

filou3205 · 17.05.2007, 17:58

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3E3D606C.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/IRCBot.857088' [WORM/IRCBot.857088] gefunden.
Ausgeführte Ein Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3E4E325A.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "4680806d.qua" verschoben!Aktion: ZugriffEin Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3E9C2204.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "46858075.qua" verschoben! verweigernEin Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3EDD69BC.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins QuarantäEin Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3EF40FA3.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "4692807f.qua" verschoben!neverzeichnis untEin Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3F1B0778.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "467d8083.qua" verschoben!er dem Namen "4690807b.qua" veIn der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3E3D606C.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/IRCBot.857088' [WORM/IRCBot.857088] gefunden.
Ausgeführte Aktion: Datei in Ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan]
wurde in der Datei 'C:\WINDOWS\system32\ddccy.dll.VIR' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "46af85cc.qua" verschoben!Quarantäne verschiebenrschoben!
Und seit neustem schreibt er am anfang den fehler C:\Windows/system32/vnscgeoi.dll
C:\Windows/system32/WinFlyer32.dll

**Sunny** · 17.05.2007, 18:02

So, als erstes solltest du den Quarantäne-Ordner von Antivir löschen, besser gesagt den Inhalt!

Er befindet sich hier:

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine

Danach das hier abarbeiten:

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Gruß
Sunny

filou3205 · 17.05.2007, 18:25

so das habe ich gemach aberc:\Windows/system32/vnscgeoi.dll
C:\Windows/system32/WinFlyer32.dll
die fehler treten am anfang auch noch auf und Worm/IRCBot.857088 kommtnur noch die warnung wenn der Bildschirmschoner angeht!!

nochdigger · 17.05.2007, 19:11

Hallo

mach bitte alle versteckten Dateien und Ordner sichtbar.

Zitat:

aberc:\Windows/system32/vnscgeoi.dll
C:\Windows/system32/WinFlyer32.dll
die fehler treten am anfang auch noch auf

zeige uns doch mal ein Hijackthis.log --> HijackThis
benenne vor dem scan die Hijackthis.exe um in z.B. ABC.exe und dann editiere alle Links (z.B. http -> hxxp) und persönlichen Einträge im Log.

Zitat:

und Worm/IRCBot.857088 kommtnur noch die warnung wenn der Bildschirmschoner angeht!!

wird hier ein Pfad angegeben (Pfad/Dateiname)?

MFG

filou3205 · 19.05.2007, 14:56

STATUS: FINISHEDComplete scanning result of "NukerBand.dll", received in VirusTotal at 05.19.2007, 15:48:02 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.18.2007 no virus found
AntiVir 7.4.0.23 05.18.2007 no virus found
Authentium 4.93.8 05.18.2007 no virus found
Avast 4.7.997.0 05.18.2007 no virus found
AVG 7.5.0.467 05.18.2007 no virus found
BitDefender 7.2 05.19.2007 no virus found
CAT-QuickHeal 9.00 05.18.2007 no virus found
ClamAV devel-20070416 05.19.2007 no virus found
DrWeb 4.33 05.19.2007 no virus found
eSafe 7.0.15.0 05.17.2007 no virus found
eTrust-Vet 30.7.3644 05.19.2007 no virus found
Ewido 4.0 05.19.2007 no virus found
FileAdvisor 1 05.19.2007 no virus found
Fortinet 2.85.0.0 05.19.2007 no virus found
F-Prot 4.3.2.48 05.18.2007 no virus found
F-Secure 6.70.13030.0 05.18.2007 no virus found
Ikarus T3.1.1.7 05.19.2007 no virus found
Kaspersky 4.0.2.24 05.19.2007 no virus found
McAfee 5034 05.18.2007 no virus found
Microsoft 1.2503 05.19.2007 no virus found
NOD32v2 2277 05.18.2007 no virus found
Norman 5.80.02 05.18.2007 no virus found
Panda 9.0.0.4 05.19.2007 no virus found
Prevx1 V2 05.19.2007 no virus found
Sophos 4.17.0 05.18.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.19.2007 no virus found
TheHacker 6.1.6.118 05.18.2007 no virus found
VBA32 3.12.0 05.18.2007 no virus found
VirusBuster 4.3.7:9 05.18.2007 no virus found
Webwasher-Gateway 6.0.1 05.18.2007 no virus found

Aditional Information
File size: 147456 bytes
MD5: 3c67d3b5519abc097eac321a69968fef
SHA1: fdc0f887a39c84ff3b90e3e16c68246da87a9062

die beiden dateien kann ich nicht finden bzw auch nicht suchen
C:\WINDOWS\system32\WinFlyer32.dll
C:\WINDOWS\system32\vnscgeoi.dll

**Sunny** · 20.05.2007, 12:32

1.) Lass noch die anderen Dateien bei Virustotal auswerten:

Zitat:

C:\WINDOWS\system32\WinFlyer32.dll
C:\WINDOWS\system32\vnscgeoi.dll

2.) FIXEN: öffen HijackThis -> Do a System Scan only -> mach einen Haken in die von mir vorgegebenen Zeilen:

Zitat:

O2 - BHO: (no name) - {406839F4-B264-44D8-AB73-604A7972353D} - C:\WINDOWS\system32\pmkhi.dll (file missing)
O2 - BHO: Ad Nuker - {459CAF0F-CA9F-4d69-A1A9-B0699D07AB8A} - C:\WINDOWS\system32\NukerBand.dll
O2 - BHO: (no name) - {76B220B8-6893-424A-AB17-74406822FC1B} - C:\WINDOWS\system32\ddccy.dll (file missing)
O8 - Extra context menu item: &NukerBand Serach - res://C:\WINDOWS\system32\NukerBand.dll/MENUSEARCH.HTM
O20 - Winlogon Notify: ddccy - C:\WINDOWS\system32\ddccy.dll (file missing)
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\system32\pmkhi.dll (file missing)

Wenn du alles angehakt hast, klicke auf den Button Fix checked! Das war es dann.

Starte danach HijackThis nochmal und poste nochmals ein neues Hijacklog!

Sunny

17.05.2007, 17:42	#2
Sunny Administrator > Competence Manager	Worm/IRCBot.857088 ??? Hallo und im Trojaner Board! Erstmal ist es wichtig zu wissen wo der genannte Wurm gefunden wurde, dazu solltest du den letzten Report von Antivir öffnen und nachsehen und welchem Dateipfad dieser zu finden war. Gruß Sunny __________________ __________________

Worm/IRCBot.857088 ???

Plagegeister aller Art und deren Bekämpfung: Worm/IRCBot.857088 ???