Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: IRC-Bot mirc.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.02.2009, 17:27   #1
dred ghawl
 
IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



Moin,

ich habe/hatte seit gestern einen Bot auf dem Rechner. Bemerkte ich daran, dass wenn ich im MSN ein Fenster öffnete, dieser sich sofort wieder geschlossen hat und als ich es wieder öffnete, stand da, dass ich davor eine Nachricht geschrieben hätte mit "Hey, heißeste Handytöne für Sie h**p://www.handyton*.net". Also gleich mal gegoogelt etc. Und mit HijackThis einpaar Einträge gelöscht, die ganz klar zu dem Bot gehört haben. Habe dann ne mirc.exe gefunden, die aber genutzt wurde und somit ja nicht gelöscht werden konnte. Habe dann - da der Task-Manager sich gleich wieder geschlossen hat wenn ich es geöffnet habe - mittels cmd den Prozess beendet, die Datei gelöscht und mit HijackThis den Autorun-Eintrag gefixt.

Habe hier eine Liste gefunden: http://www.threatexpert.com/files/mirc.exe.html

Also habe ich solche Dateien gesucht, keine aber mehr gefunden (wahrscheinlich weil ich den Bot ziemlich früh bemerkt habe).

Mein System läuft jetzt wieder normal, vom Bot also keine sichtbare Spur mehr. Wollte nur mal hier anfragen, ob ich noch was haben könnte.

HijackThis Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44:28, on 28.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files (x86)\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files (x86)\Vidalia Bundle\Tor\tor.exe
C:\hp\kbd\kbd.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=84&bd=Pavilion&pf=cndt
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files (x86)\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files (x86)\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [UVS12 Preload] "C:\Program Files (x86)\Corel\Corel VideoStudio 12\uvPL.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Privoxy.lnk = C:\Program Files (x86)\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8773 bytes
         
Malwarebytes hab ich auch durchlaufen lassen, hatte 4 oder so gefunden und gelöscht. Habe die Logfile aber leider nicht mehr.

Dann hatte ich über TRK (Trinity Rescue Kit) mit ClamAV durchscannen lassen. Er hat auch 4 gefunden, aber ich konnte nicht lesen was er damit gemacht hat (stand irgendwas von quarantied, weiß aber nicht wohin...), weil das ziemlich schnell wieder wegging.

Falls noch was gebraucht wird, Bescheid sagen bitte

Bedanke mich im Voraus.

//edit: habe noch das Problem, dass im Sicherheitscenter (habe Vista) mein AntiVir nicht erkannt wird. Außerdem kann ich nicht nach Updates suchen lassen, es kommt immer der Fehler "Es konnte nicht nach neuen Updates gesucht werden". Keine Ahnung ob das mit dem Bot/Trojaner zutun hat.

//edit²: Was ich vergaß: noch ein eScan Log gemacht:
http://nopaste.biz/68216

Geändert von dred ghawl (28.02.2009 um 17:36 Uhr)

Alt 01.03.2009, 18:25   #2
dred ghawl
 
IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



Kann mir denn niemand helfen?
__________________


Alt 01.03.2009, 18:31   #3
Sunny
Administrator
> Competence Manager
 

IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



Hallo dred ghawl und

Es wird sehr schwierig werden diesen Bot zu identifizieren, da du eine 64bit Version von Vista benutzt und die meisten Bereinigungsprogramme dies nicht unterstützen.

Dein Hijacklog ist soweit unbedenklich.
Versuch es mal mit Malwarebytes, das sollte laufen.

Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

(nach dem scannen auf den Button klicken und Funde löschen lassen!)
__________________
__________________

Alt 01.03.2009, 19:22   #4
dred ghawl
 
IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



Wie ich schon geschrieben habe, hab Malwarebytes schon laufen lassen, hatte 4 (oder 7) infizierte Objekte gefunden und beseitigt (habe aber vergessen das Logfile zu speichern). Erneuter Scan bringt keine Funde:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1810
Windows 6.0.6001 Service Pack 1

01.03.2009 19:19:59
mbam-log-2009-03-01 (19-19-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 256319
Laufzeit: 37 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Zitat:
Es wird sehr schwierig werden diesen Bot zu identifizieren, da du eine 64bit Version von Vista benutzt und die meisten Bereinigungsprogramme dies nicht unterstützen.
Was heißt das genau? Dass mein AntiVir zwar aktiv ist, aber nicht so richtig funktioniert (d.h. nicht alle Viren finden kann)?

Achja: kann man mitels cmd mit dem Befehl netstat vielleicht sehen, ob irgendwas sich an einen IRC-Server verbindet? Habe da eine IP (keine Ahnung ob ich die hier posten darf), die mich zu liveperson.com führt, wenn ich sie mit dem Browser aufrufe. Könnte das schädlich sein?

Alt 01.03.2009, 19:28   #5
Sunny
Administrator
> Competence Manager
 

IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



gib bitte unter cmd folgenden Befehl ein:

Code:
ATTFilter
netstat -a -n -b >>c:\ip.txt
         
Poste dann den Inhalt der ip.txt....

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 01.03.2009, 19:30   #6
dred ghawl
 
IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



Ok:

Code:
ATTFilter
Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:135            0.0.0.0:0              ABH™REN
  RpcSs
 [svchost.exe]
  TCP    0.0.0.0:445            0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    0.0.0.0:990            0.0.0.0:0              ABH™REN
  WcesComm
 [svchost.exe]
  TCP    0.0.0.0:2869           0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    0.0.0.0:3260           0.0.0.0:0              ABH™REN
 [StarWindServiceAE.exe]
  TCP    0.0.0.0:3261           0.0.0.0:0              ABH™REN
 [StarWindServiceAE.exe]
  TCP    0.0.0.0:5357           0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    0.0.0.0:49152          0.0.0.0:0              ABH™REN
 [wininit.exe]
  TCP    0.0.0.0:49153          0.0.0.0:0              ABH™REN
  Eventlog
 [svchost.exe]
  TCP    0.0.0.0:49154          0.0.0.0:0              ABH™REN
  Schedule
 [svchost.exe]
  TCP    0.0.0.0:49160          0.0.0.0:0              ABH™REN
 [lsass.exe]
  TCP    0.0.0.0:49161          0.0.0.0:0              ABH™REN
 [services.exe]
  TCP    5.159.155.26:139       0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    127.0.0.1:5354         0.0.0.0:0              ABH™REN
 [mDNSResponder.exe]
  TCP    127.0.0.1:5679         0.0.0.0:0              ABH™REN
  WcesComm
 [svchost.exe]
  TCP    127.0.0.1:7438         0.0.0.0:0              ABH™REN
  WcesComm
 [svchost.exe]
  TCP    127.0.0.1:8118         0.0.0.0:0              ABH™REN
 [privoxy.exe]
  TCP    127.0.0.1:9050         0.0.0.0:0              ABH™REN
 [tor.exe]
  TCP    127.0.0.1:9051         0.0.0.0:0              ABH™REN
 [tor.exe]
  TCP    127.0.0.1:9051         127.0.0.1:49157        HERGESTELLT
 [tor.exe]
  TCP    127.0.0.1:49157        127.0.0.1:9051         HERGESTELLT
 [vidalia.exe]
  TCP    127.0.0.1:49158        127.0.0.1:49159        HERGESTELLT
 [tor.exe]
  TCP    127.0.0.1:49159        127.0.0.1:49158        HERGESTELLT
 [tor.exe]
  TCP    127.0.0.1:49162        127.0.0.1:49163        HERGESTELLT
 [firefox.exe]
  TCP    127.0.0.1:49163        127.0.0.1:49162        HERGESTELLT
 [firefox.exe]
  TCP    127.0.0.1:49164        127.0.0.1:49165        HERGESTELLT
 [firefox.exe]
  TCP    127.0.0.1:49165        127.0.0.1:49164        HERGESTELLT
 [firefox.exe]
  TCP    127.0.0.1:49263        0.0.0.0:0              ABH™REN
 [msnmsgr.exe]
  TCP    127.0.0.1:49263        127.0.0.1:49264        HERGESTELLT
 [msnmsgr.exe]
  TCP    127.0.0.1:49264        127.0.0.1:49263        HERGESTELLT
 [msnmsgr.exe]
  TCP    192.168.0.135:139      0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    192.168.0.135:2869     192.168.0.1:6184       SCHLIESSEN_WARTEN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    192.168.0.135:2869     192.168.0.1:6187       SCHLIESSEN_WARTEN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    192.168.0.135:49236    149.9.0.58:9001        HERGESTELLT
 [tor.exe]
  TCP    192.168.0.135:49237    85.31.187.4:8463       HERGESTELLT
 [tor.exe]
  TCP    192.168.0.135:49245    140.186.70.48:443      HERGESTELLT
 [tor.exe]
  TCP    192.168.0.135:49261    207.46.108.17:1863     HERGESTELLT
 [msnmsgr.exe]
  TCP    192.168.0.135:49291    87.180.196.187:1313    HERGESTELLT
 [msnmsgr.exe]
  TCP    192.168.0.135:49952    207.46.26.30:1863      HERGESTELLT
 [msnmsgr.exe]
  TCP    192.168.0.135:49981    192.251.226.205:443    HERGESTELLT
 [tor.exe]
  TCP    192.168.0.135:50039    70.42.153.135:80       WARTEND
  TCP    192.168.0.135:50040    208.89.12.3:80         HERGESTELLT
 [firefox.exe]
  TCP    192.168.0.135:50041    208.89.12.3:80         HERGESTELLT
 [firefox.exe]
  TCP    192.168.0.135:50044    208.89.13.129:80       HERGESTELLT
 [firefox.exe]
  TCP    192.168.0.135:50064    64.4.37.40:1863        WARTEND
  TCP    192.168.0.135:50109    209.85.135.127:80      HERGESTELLT
 [firefox.exe]
  TCP    [::]:135               [::]:0                 ABH™REN
  RpcSs
 [svchost.exe]
  TCP    [::]:445               [::]:0                 ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    [::]:990               [::]:0                 ABH™REN
  WcesComm
 [svchost.exe]
  TCP    [::]:2869              [::]:0                 ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    [::]:5357              [::]:0                 ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    [::]:49152             [::]:0                 ABH™REN
 [wininit.exe]
  TCP    [::]:49153             [::]:0                 ABH™REN
  Eventlog
 [svchost.exe]
  TCP    [::]:49154             [::]:0                 ABH™REN
  Schedule
 [svchost.exe]
  TCP    [::]:49160             [::]:0                 ABH™REN
 [lsass.exe]
  TCP    [::]:49161             [::]:0                 ABH™REN
 [services.exe]
  TCP    [::1]:5679             [::]:0                 ABH™REN
  WcesComm
 [svchost.exe]
  UDP    0.0.0.0:123            *:*                    
  W32Time
 [svchost.exe]
  UDP    0.0.0.0:500            *:*                    
  IKEEXT
 [svchost.exe]
  UDP    0.0.0.0:3544           *:*                    
  iphlpsvc
 [svchost.exe]
  UDP    0.0.0.0:3702           *:*                    
  FDResPub
 [svchost.exe]
  UDP    0.0.0.0:3702           *:*                    
  FDResPub
 [svchost.exe]
  UDP    0.0.0.0:4500           *:*                    
  IKEEXT
 [svchost.exe]
  UDP    0.0.0.0:5355           *:*                    
  Dnscache
 [svchost.exe]
  UDP    0.0.0.0:53149          *:*                    
 [mDNSResponder.exe]
  UDP    0.0.0.0:53158          *:*                    
  FDResPub
 [svchost.exe]
  UDP    5.159.155.26:137       *:*                    

 Es konnten keine Besitzerinformationen ermittelt werden.
  UDP    5.159.155.26:138       *:*                    

 Es konnten keine Besitzerinformationen ermittelt werden.
  UDP    5.159.155.26:1900      *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    5.159.155.26:5353      *:*                    
 [mDNSResponder.exe]
  UDP    5.159.155.26:56095     *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    127.0.0.1:1900         *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    127.0.0.1:49937        *:*                    
 [wlcomm.exe]
  UDP    127.0.0.1:54362        *:*                    
 [msnmsgr.exe]
  UDP    127.0.0.1:56096        *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    127.0.0.1:60263        *:*                    
  ShellHWDetection
 [svchost.exe]
  UDP    127.0.0.1:65528        *:*                    
 [msnmsgr.exe]
  UDP    192.168.0.135:9        *:*                    
 [msnmsgr.exe]
  UDP    192.168.0.135:137      *:*                    

 Es konnten keine Besitzerinformationen ermittelt werden.
  UDP    192.168.0.135:138      *:*                    

 Es konnten keine Besitzerinformationen ermittelt werden.
  UDP    192.168.0.135:1900     *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    192.168.0.135:5353     *:*                    
 [mDNSResponder.exe]
  UDP    192.168.0.135:56094    *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    192.168.0.135:62976    *:*                    
  iphlpsvc
 [svchost.exe]
  UDP    [::]:123               *:*                    
  W32Time
 [svchost.exe]
  UDP    [::]:500               *:*                    
  IKEEXT
 [svchost.exe]
  UDP    [::]:3702              *:*                    
  FDResPub
 [svchost.exe]
  UDP    [::]:3702              *:*                    
  FDResPub
 [svchost.exe]
  UDP    [::]:5355              *:*                    
  Dnscache
 [svchost.exe]
  UDP    [::]:53150             *:*                    
 [mDNSResponder.exe]
  UDP    [::]:53159             *:*                    
  FDResPub
 [svchost.exe]
  UDP    [::1]:1900             *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [::1]:56092            *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::1067:9ff:aa4b:d792%12]:1900  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::1067:9ff:aa4b:d792%12]:56093  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::18d3:ed2d:2e7b:7e26%18]:1900  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::18d3:ed2d:2e7b:7e26%18]:56090  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::cdf5:1157:dedd:9245%10]:1900  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::cdf5:1157:dedd:9245%10]:56091  *:*                    
  SSDPSRV
 [svchost.exe]

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:135            0.0.0.0:0              ABH™REN
  RpcSs
 [svchost.exe]
  TCP    0.0.0.0:445            0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    0.0.0.0:990            0.0.0.0:0              ABH™REN
  WcesComm
 [svchost.exe]
  TCP    0.0.0.0:2869           0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    0.0.0.0:3260           0.0.0.0:0              ABH™REN
 [StarWindServiceAE.exe]
  TCP    0.0.0.0:3261           0.0.0.0:0              ABH™REN
 [StarWindServiceAE.exe]
  TCP    0.0.0.0:5357           0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    0.0.0.0:49152          0.0.0.0:0              ABH™REN
 [wininit.exe]
  TCP    0.0.0.0:49153          0.0.0.0:0              ABH™REN
  Eventlog
 [svchost.exe]
  TCP    0.0.0.0:49154          0.0.0.0:0              ABH™REN
  Schedule
 [svchost.exe]
  TCP    0.0.0.0:49160          0.0.0.0:0              ABH™REN
 [lsass.exe]
  TCP    0.0.0.0:49161          0.0.0.0:0              ABH™REN
 [services.exe]
  TCP    5.159.155.26:139       0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    127.0.0.1:5354         0.0.0.0:0              ABH™REN
 [mDNSResponder.exe]
  TCP    127.0.0.1:5679         0.0.0.0:0              ABH™REN
  WcesComm
 [svchost.exe]
  TCP    127.0.0.1:7438         0.0.0.0:0              ABH™REN
  WcesComm
 [svchost.exe]
  TCP    127.0.0.1:8118         0.0.0.0:0              ABH™REN
 [privoxy.exe]
  TCP    127.0.0.1:9050         0.0.0.0:0              ABH™REN
 [tor.exe]
  TCP    127.0.0.1:9051         0.0.0.0:0              ABH™REN
 [tor.exe]
  TCP    127.0.0.1:9051         127.0.0.1:49157        HERGESTELLT
 [tor.exe]
  TCP    127.0.0.1:49157        127.0.0.1:9051         HERGESTELLT
 [vidalia.exe]
  TCP    127.0.0.1:49158        127.0.0.1:49159        HERGESTELLT
 [tor.exe]
  TCP    127.0.0.1:49159        127.0.0.1:49158        HERGESTELLT
 [tor.exe]
  TCP    127.0.0.1:49162        127.0.0.1:49163        HERGESTELLT
 [firefox.exe]
  TCP    127.0.0.1:49163        127.0.0.1:49162        HERGESTELLT
 [firefox.exe]
  TCP    127.0.0.1:49164        127.0.0.1:49165        HERGESTELLT
 [firefox.exe]
  TCP    127.0.0.1:49165        127.0.0.1:49164        HERGESTELLT
 [firefox.exe]
  TCP    127.0.0.1:49263        0.0.0.0:0              ABH™REN
 [msnmsgr.exe]
  TCP    127.0.0.1:49263        127.0.0.1:49264        HERGESTELLT
 [msnmsgr.exe]
  TCP    127.0.0.1:49264        127.0.0.1:49263        HERGESTELLT
 [msnmsgr.exe]
  TCP    192.168.0.135:139      0.0.0.0:0              ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    192.168.0.135:2869     192.168.0.1:6184       SCHLIESSEN_WARTEN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    192.168.0.135:2869     192.168.0.1:6187       SCHLIESSEN_WARTEN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    192.168.0.135:49236    149.9.0.58:9001        HERGESTELLT
 [tor.exe]
  TCP    192.168.0.135:49237    85.31.187.4:8463       HERGESTELLT
 [tor.exe]
  TCP    192.168.0.135:49245    140.186.70.48:443      HERGESTELLT
 [tor.exe]
  TCP    192.168.0.135:49261    207.46.108.17:1863     HERGESTELLT
 [msnmsgr.exe]
  TCP    192.168.0.135:49291    87.180.196.187:1313    HERGESTELLT
 [msnmsgr.exe]
  TCP    192.168.0.135:49952    207.46.26.30:1863      HERGESTELLT
 [msnmsgr.exe]
  TCP    192.168.0.135:49981    192.251.226.205:443    HERGESTELLT
 [tor.exe]
  TCP    192.168.0.135:50039    70.42.153.135:80       WARTEND
  TCP    192.168.0.135:50040    208.89.12.3:80         HERGESTELLT
 [firefox.exe]
  TCP    192.168.0.135:50041    208.89.12.3:80         HERGESTELLT
 [firefox.exe]
  TCP    192.168.0.135:50044    208.89.13.129:80       HERGESTELLT
 [firefox.exe]
  TCP    192.168.0.135:50109    209.85.135.127:80      HERGESTELLT
 [firefox.exe]
  TCP    [::]:135               [::]:0                 ABH™REN
  RpcSs
 [svchost.exe]
  TCP    [::]:445               [::]:0                 ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    [::]:990               [::]:0                 ABH™REN
  WcesComm
 [svchost.exe]
  TCP    [::]:2869              [::]:0                 ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    [::]:5357              [::]:0                 ABH™REN

 Es konnten keine Besitzerinformationen ermittelt werden.
  TCP    [::]:49152             [::]:0                 ABH™REN
 [wininit.exe]
  TCP    [::]:49153             [::]:0                 ABH™REN
  Eventlog
 [svchost.exe]
  TCP    [::]:49154             [::]:0                 ABH™REN
  Schedule
 [svchost.exe]
  TCP    [::]:49160             [::]:0                 ABH™REN
 [lsass.exe]
  TCP    [::]:49161             [::]:0                 ABH™REN
 [services.exe]
  TCP    [::1]:5679             [::]:0                 ABH™REN
  WcesComm
 [svchost.exe]
  UDP    0.0.0.0:123            *:*                    
  W32Time
 [svchost.exe]
  UDP    0.0.0.0:500            *:*                    
  IKEEXT
 [svchost.exe]
  UDP    0.0.0.0:3544           *:*                    
  iphlpsvc
 [svchost.exe]
  UDP    0.0.0.0:3702           *:*                    
  FDResPub
 [svchost.exe]
  UDP    0.0.0.0:3702           *:*                    
  FDResPub
 [svchost.exe]
  UDP    0.0.0.0:4500           *:*                    
  IKEEXT
 [svchost.exe]
  UDP    0.0.0.0:5355           *:*                    
  Dnscache
 [svchost.exe]
  UDP    0.0.0.0:53149          *:*                    
 [mDNSResponder.exe]
  UDP    0.0.0.0:53158          *:*                    
  FDResPub
 [svchost.exe]
  UDP    5.159.155.26:137       *:*                    

 Es konnten keine Besitzerinformationen ermittelt werden.
  UDP    5.159.155.26:138       *:*                    

 Es konnten keine Besitzerinformationen ermittelt werden.
  UDP    5.159.155.26:1900      *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    5.159.155.26:5353      *:*                    
 [mDNSResponder.exe]
  UDP    5.159.155.26:56095     *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    127.0.0.1:1900         *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    127.0.0.1:49937        *:*                    
 [wlcomm.exe]
  UDP    127.0.0.1:54362        *:*                    
 [msnmsgr.exe]
  UDP    127.0.0.1:56096        *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    127.0.0.1:60263        *:*                    
  ShellHWDetection
 [svchost.exe]
  UDP    127.0.0.1:65528        *:*                    
 [msnmsgr.exe]
  UDP    192.168.0.135:9        *:*                    
 [msnmsgr.exe]
  UDP    192.168.0.135:137      *:*                    

 Es konnten keine Besitzerinformationen ermittelt werden.
  UDP    192.168.0.135:138      *:*                    

 Es konnten keine Besitzerinformationen ermittelt werden.
  UDP    192.168.0.135:1900     *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    192.168.0.135:5353     *:*                    
 [mDNSResponder.exe]
  UDP    192.168.0.135:56094    *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    192.168.0.135:62976    *:*                    
  iphlpsvc
 [svchost.exe]
  UDP    [::]:123               *:*                    
  W32Time
 [svchost.exe]
  UDP    [::]:500               *:*                    
  IKEEXT
 [svchost.exe]
  UDP    [::]:3702              *:*                    
  FDResPub
 [svchost.exe]
  UDP    [::]:3702              *:*                    
  FDResPub
 [svchost.exe]
  UDP    [::]:5355              *:*                    
  Dnscache
 [svchost.exe]
  UDP    [::]:53150             *:*                    
 [mDNSResponder.exe]
  UDP    [::]:53159             *:*                    
  FDResPub
 [svchost.exe]
  UDP    [::1]:1900             *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [::1]:56092            *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::1067:9ff:aa4b:d792%12]:1900  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::1067:9ff:aa4b:d792%12]:56093  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::18d3:ed2d:2e7b:7e26%18]:1900  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::18d3:ed2d:2e7b:7e26%18]:56090  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::cdf5:1157:dedd:9245%10]:1900  *:*                    
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::cdf5:1157:dedd:9245%10]:56091  *:*                    
  SSDPSRV
 [svchost.exe]
         
Ist das normal dass im cmd diese Fehler auftauchen?

Code:
ATTFilter
x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5

x: Fehler bei der Windows Sockets-Initialisierung: 5
         

Alt 01.03.2009, 19:33   #7
Sunny
Administrator
> Competence Manager
 

IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



Wichtiger ist die Frage wieso du dich über das TOR-Netzwerk verbunden hast?!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 01.03.2009, 19:34   #8
dred ghawl
 
IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



Habe ich eigentlich nicht. Das Ding ist bei mir gerade einfach nur installiert (wollte ich mal wieder entfernen, vergessen).

//edit: eben getan.

Alt 01.03.2009, 19:36   #9
Sunny
Administrator
> Competence Manager
 

IRC-Bot mirc.exe - Standard

IRC-Bot mirc.exe



Dann muss ich passen, ich werde mal jemanden hinzuziehen der sich mit Netzwerken bzw. Routings besser auskennt.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu IRC-Bot mirc.exe
antivir, antivirus, avira, bho, bonjour, browser, computer, datei gelöscht, fehler, firefox, frage, gebraucht, hijack, hijackthis, internet, internet explorer, logfile, mozilla, nach updates, problem, prozess, rundll, senden, software, system, vista, windows, windows sidebar




Ähnliche Themen: IRC-Bot mirc.exe


  1. Trojaner: mirc flash, wie kann ich ihn löschen?
    Log-Analyse und Auswertung - 18.06.2010 (13)
  2. Mirc Virus bei Windows Server2003 *HILFE*
    Plagegeister aller Art und deren Bekämpfung - 16.07.2009 (8)
  3. mirc.exe lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 30.09.2008 (2)
  4. Internet langsam nach mirc besuch
    Log-Analyse und Auswertung - 31.07.2007 (7)
  5. Exe.Corrupted & win32.mIRC wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 30.07.2007 (1)
  6. MiRc Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.11.2006 (10)
  7. HiJackThis Log - mIRC?!?!?
    Log-Analyse und Auswertung - 15.10.2006 (1)
  8. not-a-virus:Client-IRC.Win32.mIRC.62
    Log-Analyse und Auswertung - 01.10.2006 (2)
  9. not-a-virus:Client-IRC.Win32.mIRC.16 <- Virus oder nicht?!
    Plagegeister aller Art und deren Bekämpfung - 14.07.2005 (8)
  10. not-a-virus:RiskWare.mIRC.6.16 ?!
    Plagegeister aller Art und deren Bekämpfung - 27.05.2005 (3)
  11. Problem mit eScan - löscht mIRC.exe
    Antiviren-, Firewall- und andere Schutzprogramme - 02.02.2005 (6)
  12. mIRC wurm und Troj LADDER.A /Troj RAS.DLDR
    Plagegeister aller Art und deren Bekämpfung - 24.12.2004 (1)
  13. IRC Wrum ... mirc. exe ?! Was tun? Help!
    Plagegeister aller Art und deren Bekämpfung - 08.05.2004 (2)
  14. mirc JoeSystem ?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2003 (1)
  15. mirc.exe backdoor
    Plagegeister aller Art und deren Bekämpfung - 06.07.2003 (15)

Zum Thema IRC-Bot mirc.exe - Moin, ich habe/hatte seit gestern einen Bot auf dem Rechner. Bemerkte ich daran, dass wenn ich im MSN ein Fenster öffnete, dieser sich sofort wieder geschlossen hat und als ich - IRC-Bot mirc.exe...
Archiv
Du betrachtest: IRC-Bot mirc.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.