Ich habe mir einen Wurm eingefangen WORM/IRCBot.24040' [worm]
wurde in der Datei 'C:\WINDOWS\system32\sysprinters.dll' gefunden.

Habe versucht den Worm zu isolieren jedoch bin ich mir mit dem Logfile nicht ganz sicher. kann mir da jemand weiterhelfen?

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
D:\zertifizierte Programme\Logitech\iTouch\iTouch\iTouch.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Plaxo\2.6.2.7\PlaxoHelper.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Logfile\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\zertifizierte Programme\Logitech\iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\WINDOWS\System32\LVComS.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.6.2.7\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download all links using BitComet - res://D:\bittorent\Programm\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\bittorent\Programm\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/29a7c313af7afc272f16/netzip/RdxIE601_de.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hi,
leider dumm gelaufen für dich: Der IRCbot ist ein Backdoortrojaner, das heißt jemand anderes kontrolliert jetzt deinen Computer.
Um den Rechner wieder fest in deine Hand zu kriegen, bleibt dier leider nichts anderes übrig als neuaufzusetzen

Du hast nicht zufällig in letzter Zeit von jemandem ein Photoalbum via InstantMessenger bekommen? Derzeit breitet sich der Wurm auf die Weise sehr stark aus und es ist recht wahrscheinlich, dass du dir den Buben auf dieselbe Art und Weise eingefangen hast.

Für dich im Endeffekt unwichtig, aber für uns hilfreich, wäre es wenn du die Datei:

Zitat:

C:\WINDOWS\system32\sysprinters.dll

noch bei virsutotal auswerten lassen würdest und das ergebnis hier posten könntest.

lg myrtille

EDIT:hier werden noch einige andere (bereits bekannte) Dateien genannt, die der Trojaner erstellt, derzeit aber nicht erkannt werden und auch nicht so leicht entfernt werden können.

Hab mir sowas schon gedacht nach etwas stöbern im Netz.. die XP CD ist schon mal hervorgekramt und im Laufwerk plaziert...

jo klar werde ich doch noch machen bevor die HD gelöscht wird.

Besten dank
joderno

Könnte dies als lösung reichen? Jedoch wird ja Der folgende Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• _Hazafibb = %SYSDIR%\%zufällige Buchstabenkombination%.exe

der Virus erstellt ein “install” Verzeichnis unter C:\ in welcher sich eine ghost.exe befindet –> sollte umgehend gelöscht werden, desweiteren eine “sysprinters.dll” unter Windows/system32 die auch sofort gelöscht werden sollte, danach sollte das System relativ befreit sein, nat. noch mit registriersuchern nach “myalbum2007″ die registry durchsuchen bzw. allg. in der Windowssuche alle Dateien dieses Namens, nat. auch die zip Datei in den msn empfangenen Daten.

Die Frage ist halt nur, glaubst du alles gefunden zu haben?

Du hast schonmal mehr gefunden als dein Antivirenprogramm, was dir sicherlich schonmal klargemacht hat, dass man sich auf solche Programme eben nicht 100%ig verlassen kann. Aber glaubst du, dass das alles war? Glaubst du, dass der Ersteller des Trojaners nicht sicher gestellt hat, dass ein bischen Löschen und Fummeln in der Registry seinen Trojaner nicht zerstört?

Vermutlich steckt er noch woanders. Die von Sunny genannten Dateien, werden wohl immer erstellt, auch wenn man sie nicht finden kann, zudem würde ich vermuten, dass sich der Trojaner in die Systemwiederherstellung einträgt um sich von dort aus wiederzubeleben und wahrscheinlich noch an 3-4 Stellen von denen hier noch niemand was weiß.
Wirklich beantworten kann dir die Frage nur der Ersteller des Virus und selbst der weiß nicht (und das ist das große Problem an der Sache) was passiert ist nachdem das "Backdoor" auf deinem Rechner aktiviert worden ist.
Du müsstest jetzt also noch alle Leute finden, die auf deinen Rechner hätten gelangen können und diese fragen ob und was sie auf deinem Rechner versteckt haben.

Natürlich findet man meistens früher oder später raus was der Trojaner selbst tut, bzw tun kann (und kann diesen so entfernen), was aber nach der Installtion des Trojaners von Leuten die Zugang haben alles auf deinem Rechner manipuliert wurde, kann keiner sagen. Deswegen empfehlen wir auch die Neuinstallation.

lg myrtille
EDIT:
Ok irgendwie hab ich da eben was verwechselt:
Ob der Trojaner nen Server aufsetzt um Dateien über deinen Rechner zu vertreiben ist noch nicht klar, allerdings gewährt er auf jedenfall Leuten Einlass.
Sophos sagt übrigens du hättest außerdem noch eine new.txt an Bord, die du noch nicht gefunden hast.

Hallo,

Zitat:

danach sollte das System relativ befreit sein

es scheint eine Neudefinition des Wortes "relativ" hier vorzuliegen...

Es ist noch gar nicht so lange her ,da war man sich relativ sicher,daß :

- die Erde eine Scheibe ist...
-der Storch die Babys bringt...
-der Weihnachtsmann am Nordpol wohnt....

Irrlicht

GRINS ok Relativ ist etwas wage ausgedrückt.

hab mein system neu aufgesetzt!