Hallo zusammen,

ich habe vor kurzem einen Scan mit Malwarebytes gemacht und dabei den Trojaner Trojan.IRCBOT gefunden. Natürlich habe ich ihn sofort entfernt. Trotzdem blieb ein etwas mulmiges Gefühl. Darum wollte ich die erfahrenen User hier bitten, meine Logfiles durchzusehen. Ich habe sie nach Anleitung im Sticky erstellt.

Ich habe sonst keinerlei Probleme mit meinem PC, alles läuft wunderbar. Vielen Dank schon mal für die Hilfe.

Grüße

Dann poste bitte auch alle Logs von Malwarebytes, nur das ohne Funde ist sinnfrei.

Hier der Log vom ersten Fund:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5979

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.03.2011 12:37:29
mbam-log-2011-03-07 (12-37-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 212428
Laufzeit: 32 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\10000001200002i\packager.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\10000001600002i\msiexec.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\1000000b00002i\rundll32.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\300000002ca00002i\OffDiag.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\300000003400002i\dwwin.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\300000003f00002i\CLVIEW.EXE (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\30000000d900002i\DW20.EXE (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\4000001c00002i\vlc.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\400000500002i\acrord32info.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\~webupdatehelper.exe (Trojan.Agent) -> Quarantined and deleted successfully.
         

Danke für Deine Hilfe!

Zitat:

microsoft office enterprise 2007

Aus welcher Quelle stammt denn dieses MS-Office?

Zitat:

Zitat von cosinus

Aus welcher Quelle stammt denn dieses MS-Office?

wie sich im Nachinein rausstellte war es eine unsichere Quelle. Ich verwende dieses Office nun auch schon lange nicht mehr. Ich habe eine der infizierten Dateien mit virustotal checken lassen. Das Ergebnis findet sich unten. Mir ist klar, dass diese office zum einen tatsächlich einen Virus mit sich brachte oder es evtl falscher Alarm war aufgrund der unsicheren Quelle.

Danke!

Code: Alles auswählenAufklappen

ATTFilter

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.12 -
AhnLab-V3 5.0.0.2 2010.02.12 -
AntiVir 7.9.1.160 2010.02.12 -
Antiy-AVL 2.0.3.7 2010.02.11 -
Authentium 5.2.0.5 2010.02.13 -
Avast 4.8.1351.0 2010.02.12 -
AVG 9.0.0.730 2010.02.12 -
BitDefender 7.2 2010.02.13 -
CAT-QuickHeal 10.00 2010.02.12 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.02.12 -
Comodo 3916 2010.02.13 Heur.Packed.Unknown
DrWeb 5.0.1.12222 2010.02.13 -
eSafe 7.0.17.0 2010.02.11 -
eTrust-Vet 35.2.7300 2010.02.12 -
F-Prot 4.5.1.85 2010.02.12 -
F-Secure 9.0.15370.0 2010.02.12 Suspicious:W32/Riskware!Online
Fortinet 4.0.14.0 2010.02.12 -
GData 19 2010.02.13 -
Ikarus T3.1.1.80.0 2010.02.12 -
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.972 2010.02.12 -
Kaspersky 7.0.0.125 2010.02.13 -
McAfee 5890 2010.02.12 -
McAfee+Artemis 5890 2010.02.12 -
McAfee-GW-Edition 6.8.5 2010.02.12 Heuristic.LooksLike.Win32.Suspicious.H!92
Microsoft 1.5406 2010.02.12 -
NOD32 4862 2010.02.12 -
Norman 6.04.08 2010.02.12 -
nProtect 2009.1.8.0 2010.02.12 -
Panda 10.0.2.2 2010.02.12 -
PCTools 7.0.3.5 2010.02.12 -
Prevx 3.0 2010.02.13 High Risk Cloaked Malware
Rising 22.34.01.03 2010.02.11 Packer.Win32.UnkPacker.b
Sophos 4.50.0 2010.02.13 -
Sunbelt 5671 2010.02.11 -
Symantec 20091.2.0.41 2010.02.13 -
TheHacker 6.5.1.3.191 2010.02.12 -
TrendMicro 9.120.0.1004 2010.02.12 PAK_Generic.001
VBA32 3.12.12.2 2010.02.12 -
ViRobot 2010.2.12.2184 2010.02.12 -
VirusBuster 5.0.21.0 2010.02.12 -
         

Zitat:

wie sich im Nachinein rausstellte war es eine unsichere Quelle.

Was heißt im Nachhinein? Gecrackte Software ist immer unsicher!!
Ich wäre dafür du setzt das System sauber neu auf. Folge dem Artikel zur Neuinstallation von Windows. Wir unterstützen in keinster Weise die Verwendung von illegaler SW.

Zitat:

Zitat von cosinus

Was heißt im Nachhinein? Gecrackte Software ist immer unsicher!!
Ich wäre dafür du setzt das System sauber neu auf. Folge dem Artikel zur Neuinstallation von Windows. Wir unterstützen in keinster Weise die Verwendung von illegaler SW.

Das mit der illegalen Software ist mir klar und wie gesgat ich verwende sie ja jetzt auch nicht mehr. Wäre es trotzdem möglich, dass Du über die Logs schaust? Wäre Dir auf jeden Fall sehr sehr dankbar.

viele grüße

1. hast du einen IRC-Bot selbst durch das gecrackte Office installiert, 2. ist eine Entfernung solcher Backdoors keine echte Dauerlösung. Antwort: Nein, ich ich werde aus diesen beiden Gründen nicht mehr weiter bereinigen. Bitte sichere alle noch etwaigen wichtigen Daten (keine ausführbaren Dateien!!) und mach mit der Neuinstallation von Windows weiter. Selbstverständlich helfe ich dabei weiter falls da was unklar ist oder so.