Hallo,

Ich habe ein Trojaner-Problem
Mein Virus-Scanner (Norton Anti-Virus) meldete mir nen IRC TROJAN unter c:\winnt\system32\incs.bat. Ich habe daraufhin incs.bat gelöscht (war vielleicht nicht so günstig? ). Die Sache scheint aber nicht erledigt zu sein. Jedesmal wenn ich mein System (Win2000) boote, startet nach dem Start eine Anwendung "Update", die sich offensichtlich zu nem IRC-Server verbinden will, der zugehörige Prozess ist explorer.exe. Kann mir jemand nen Tipp geben, wie ich hier weiterverfahren soll?

Danke
Peter999

Lade dir mal TrojanHunter runter und lasse den über dein System laufen. Und sag uns dann am besten mal welcher Trojaner gefunden wird. www.trojanhunter.com

Trojan.IRC.KarmaHotel

This trojan program consists of two scripts in HTML file. When an infected HTML page is opened, the VBS part of trojan is written to disk.
The VBS part, in turn, creates another part (INI file), finds and modifies the initialization file of mIRC client, so that it allows mIRC client to respond to remote commands issued by other users, and turns off all Mirc warnings.
Then mIRC is given a special initialization file that allows others to control the infected PC, download and upload files to it, read private messages in Mirc, etc.
© Kaspersky Lab

Danke erstmal, also, der Trojan Hunter hat nichts gefunden außer ein paar Warnings wegen Files mit Double Extension.... ich hab mit dem Norton alle beteiligten Files entfernen lassen, aber dennoch, jedesmal wenn ich das System starte, startet "Update" - mittlerweile habe ich irc deinstalliert.

Ich habe in einem Forum, wo man Attachments anfügen kann, einen Screenshot ausgestellt. Vielleicht sagt euch das was? http://www.rollenspiele-undmehr.de/viewtopic.php?t=2425

den selben scheiss hab ich auch seit ein paar wochen. werde immer wieder von viren attackiert. bei mir öfftet sich das selbe fenster, wie bei dir. habe auch alles gelöscht, aber es kommt immer wieder. VERDAMMT [img]graemlins/kloppen.gif[/img]

hoffe du hast abhilfe [img]graemlins/balla.gif[/img]

bye!

Dann ladet euch mal ne Testversion von KAV runter scannt damit euer System, Vieleicht findet der ja was.

ciao

P.S. Ansonsten mal mit Trojancheck 6 die Registry Run-Sektionen nach komisch aussehenden Dateien abklappern [img]graemlins/daumenhoch.gif[/img]

is keiner druff. hmmm...

um zu deinen Problem zu kommen ich habe auch seit einiger zeit ca. 2 Wochen einige Probs IRC Trojanern gehabt mein Antivirustool schlug Ständig an es entfernte die infizierten Dateien und nach einiger Zeit bekamm Ich Wieder eine Meldung das der gleiche Trojaner auf meinem system shon wieder vorhanden sei es handelte sich dabei um die Trojaner

Backdoor.IRC.Zcrew
Backdoor.Sdbot
Downloader.Trojan
Backdoor.Dvldr
W32.HLLW.Deloder

nachdem ich das System mit 3 Verschiedenen Antivirus Programmen durchsucht habe und es immernoch zu den meldungen gekommen war versuchte ich es mit einigen Anti-Trojaner Programmen die versuche scheiterten jedoch daran das die Folgen zwar angezeigt wurden jedoch die ursachen nicht behoben

Also machte ich mich selbst auf die suche nach dem Verursacher
und Dabei entdeckte ich in meinem wIN2000 Verzeichnissen Verschiedene Infizierte Dateien
welche ich manuell in Quarantine gesteckt hatte dann machte ich mich auf mir die Ports mal genauer anzusehen und dabei entdeckte ich 2 dateien welche ports geöffnet hielten es handelte sich dabei um die ports 6667 und den port 445

es hat mich 2 Tage gekostet bis ich mein ganzes System durchforstet hatte und alle Dateien enndlich entfernen konnte welche das ganze Verursacht haben

hier möchte ich die Verzeichnisse mit den Dateien nennen die dabei entdeckt wurden

1 Verzeichnis

C:\WINNT\system32

Libparse.exe
coldbot.exe
77463279.INS
37224256.INS
86102025.INS
46602466.INS
7058408.INS
wget.exe
reader.w
kill.exe
moo.dll
servers.ini
crs32.dll
rconnect.conf
remote.ini
PipeCmdSrv.exe
stde9.bat
eleet.exe
bootdrv.dll
psexec.exe
web.swf
explore.DAT
CRS.EXE
svchost32.exe
rconnect.log
dms.exe
crs32.old
a.a
STDE9.exe
soulja.exe
Km.a
regsvc32.exe
fControl.a
IfControl.a
Sa.exe
zxtt.exe
incs.bat
inst.exe
sb.bat
sh.bat
rb.bat

2 Verzeichnis

C:\WINNT\Web\printers\images

ipp_0003.gif
ipp_0005.gif
hidden32.exe
svchost32.exe
boywonder.dat
Libparse.exe
psexec.exe
commands.txt
navdb.dbx
win32.vxd
wget.exe
eleet.exe
explore.DAT
regkeyadd.reg
bootdrv.dll
server.txt
moo.dll

3 Verzeichnis

C:\WINNT\win32

kill.exe
abc.dll
a.dll
b.dll
identd.exe
attrib.exe
moo.dll
abc2.dll
remote.ini
ntsys.exe.tc3

4 Verzeichnis Das Verzeichniss ist ein Windows Standardverzeichnis wo allerdings diese Dateien nichts drin Verloren haben

C:\WINNT\Fonts

AImIRC.ini
STDE9.exe
Explorer.exe
rundll32.exe
bootdrv.dll
Libparse.exe
r.ini
rconnect.log

5 Verzeichnis

C:\WINNT\system32\fsys

rconnect.log
svchost32.exe
web.swf

6 Verzeichnis

C:\WINNT\system32\www

MDX.DLL
moo.dll
VIEWS.MDX
webserv.mrc

so jetzt Müsste ich alle aufgezählt haben hoffe das der eine oder andere von euch dadurch ein paar lästige zeitgenossen loswerden kann auf jeden fall sollte man nicht vergessen noch die autostart einträge wegzulöschen an welche ihr gelangt in dem ihr auf Start/ Ausführen dann regedit eintippt danach sucht ihr nach dem verzeichnissen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

und löscht dort die einträge zu den obengenannten dateien falls vorhanden

Viele Grüsse von August euren neuen member im Board

p.s bevor ich es vergesse für alle die es interesiert wie diese dateien aufgebaut sind die .bat dateien könnt ihr euch mit dem editor ansehen

zudem kann man mit winrar in die datei eleet.exe und noch einige andere hineinsehen da es selbstextrahierende Dateien sind ihr werdet dort auch noch einige zusätzliche infos dazu finden zb wohin die dateien entpoackt werden und woraus sie bestehen eine kleine suche in einigen suchmascheienen dürfte dann genau aufklären wozu diese dateien da sind

Hallo,

willkommen im Trojaner-Board!

</font><blockquote>Zitat:</font><hr />Original erstellt von AUGUST:
um zu deinen Problem zu kommen ich habe auch seit einiger zeit ca. 2 Wochen einige Probs IRC Trojanern gehabt</font>[/QUOTE]Mein lieber August , das ist aber eine Liste, die fast ihresgleichen sucht. Besorge dir mal einen vernünftigen AV-/Trojanerschutz - wenn sich all das bei laufendem Hintergrundscanner installieren ließ... ei, ei, ei.

Und vor allem: Starte keine _ausführbaren_ Dateien aus unseriösen Quellen wie eben Dateitauschbörsen!

Hier geht's zum AV-Scanner:
http://datsec.de/frame.asp?b=b5&p=p2

@Peter999

Es handelte sich um diesen Wurm:
http://www.viruslist.com/eng/viruslist.html?id=59741

Hallo mmk

Es ist ja nicht so das meine Antivirenprogramme nichts gesagt hätten sondern das sie es zwar gemeldet haben jedoch die ursachen nicht behoben haben zumindest die standardeinträge wie es sie bei allen namenhaften herstellern von Antivirussoftware zu dem Trojaner zu sehen gibt waren nicht vorhanden statdessen alle in abgeänderten formen

und ein hintergrundwächter würde mir auch nur die änderungen in der Registry aufzeigen das waren gerade mal 2 Einträge allerdings die kettenreaktion welche diese verursachen ist fenomenal und gut gescriptet was die installation des ganzen betrifft so stell dir vor sind nur 2 dateien für alle diese Dateinamen die ich oben genannt habe verantwortlich in denen alles schön sauber verpackt gewesen ist

nach den entpacken der dateien haben die restlichen scripte wie zb für das iroffer und das mybot xdcc usw. den rest erledigt den download die anderen dateien

Übrigens die Antivirenprogramme waren Norton Antivirus Prof 2003 /PCillin 2003/MC AFFEE

Werde auch mal einige andere Testen falls jemand noch eine gute Idee hat

So KAV habe ich nun auch noch 2 mal über den PC laufen lassen und er konnte auch nichts entdecken habe den Norton wieder drauf und siehe da bekomme eine meldung das er eine datei gefunden hat es handelt sich dabei wieder um die im verzeichniss anbelegte C:\WINNT\System32\inst.exe Datei verbringe jetzt shon fast den ganzen tag Daran nach den verursacher im system zu suchen anscheinend reproduziert sich die Datei immernoch selbst in der Registry finde ich auch keinen verweis auf die datei irgendwo muss noch eine befehlszeile auf dem PC liegen welche zuständig ist die Datei zu reproduzieren vieleicht hat ja jemand noch eine idee wonach man auschau halten könnte eine verbindung nach draussen besteht nicht mehr nur noch das was ich auch erlaube es muss irgendwo von innen kommen aus einer .bat oder änlichen datei

Mfg AUGUST

Hallo,

nutze bitte Trojancheck 6 ( http://trojancheck.de ), und poste hier dann den Bericht über die Registry-Einträge sowie alle laufenden Prozesse.

@AUGUST: Guckst Du hier .

Gruß,
Cassandra

Hallo mmk
habe mir jetzt ein neues Prog mal gesaugt was eventuell aufschluss über die anwendungen im Hintergrund liefern wird es handelt sich dabei um REGRUN Control Center bin ganz zuversichtlich das ich noch das Fehlende teilchen des Puzzels herausfinden werde den zumindest nach aussen geht nichts mehr es ist jetzt nur noch eine Reproduktionsache innerhalb des Netzwerkes allerding schlagen die Antivir sofort Alarm sobald sich die Datei die inst.exe in ihre Ordner entpacken will Norton erkennt es als Backdoor.Dvldr an jetzt muss ich nur noch herausfinden welche Datei und in welchen fällen versucht wird den Trojaner zu installieren es kommt aber mit 99% sicherheit irgendwo aus dem internen netzwerk

Danke auch an dich Cassandra der Link hatte mich auf eine Idee gebracht habe alle anderen PCS in meinen Netzwerk überprüft auf die gleichen Dateien und Infektionen weil die Vermutung nahe lag das eventuell innerhalb des Netzwerkes sich der Trojaner Regeneriert allerdings erfolglos

falls jemand interesse haben sollte mal zu sehen wie solch eine befehlsdatei des trojaners ausieht würde ich einiges Posten was ich hier herausgefunden habe bei meinen nachforschungen

Mfg. August