|
Help! Backdoor Worm/IRCBot. Hallo, mein Virenscanner Antivir PE erkennt im resistenten Modus immer wieder folgenden Wurm im Verzeichnis: C:\SYSTEM VOLUME INFORMATION\_RESTORE{41689462-3A87-43C8-833C-ED52A9B0A71A}\RP97\A0040665.PIF Enthält Signatur des Wurmes WORM/IRCBot.154624 Auf das Verzeichnis kann ich natürlich nicht zugreifen, aber wißt ihr (sehr dumme Frage vielleicht) ob es ein wichtiges Verzeichnis ist, bzw die betroffene Datei? Außerdem, und ich weiß nicht ob dieser Wurm dafür verantwortlich ist, tut mein PC bei fast allen Passwort-Eingabeaufforderungen neuerdings so, als wenn ich eine Taste ständig gedrückt halten würde - d.h. immer wenn wo eine Eingabe ist schießen diese "••••" in einer Reihe los und hören nicht mehr auf, bis ich Tab drücke. Meine Tastatur ist aber in Ordnung, hab ne andere ausprobiert... Wißt ihr was? Ich poste euch nun noch mein HiJack-Log (die letzte Zeile macht mir Sorgen): Logfile of HijackThis v1.99.1 Scan saved at 11:15:06, on 17.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\windows\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\windows\System32\nvsvc32.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\WINDOWS\TBPanel.exe C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Ahead\InCD\InCD.exe C:\windows\system32\RUNDLL32.EXE C:\windows\system32\atwtusb.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Nikon\NkView6\NkvMon.exe C:\windows\system32\wuauclt.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Soulseek\slsk.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\iexplore.exe C:\windows\system32\RUNDLL32.exe C:\windows\system32\RUNDLL32.exe C:\Programme\Adobe\Photoshop CS\Photoshop.exe C:\Adobe\Streamline 4.0\Streamline.exe C:\Programme\Adobe\Illustrator CS\Support Files\Contents\Windows\Illustrator.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Joners\Desktop\Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***//web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***.tele2.at/startpage R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet O1 - Hosts: 64.91.255.87 ***dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [USRpdA] C:\windows\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{3BE48~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{3BE48~1\reboot.ini -l0x7 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.at/startpage O17 - HKLM\System\CCS\Services\Tcpip\..\{36F536A3-90E0-4AFD-B49D-563095311E71}: NameServer = 193.170.96.66,195.70.242.5 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe O23 - Service: Srv32 - Unknown owner - C:\windows\system32\srv32.exe (file missing) Vielen Dank schon mal! Froh [edit] links entfernt [/edit] |
Glaub Dir gerne, daß die letzte Zeile Sorgen macht. Das ist zwar nur noch ein Relikt von dem hier (file missing), aber offensichtlich ist er im Hintergrund immer noch aktiv. Du hast ja gelesen, was er alles kann und tut; und aus diesem Grund kann ich Dir nur empfehlen, Dein System neu aufzusetzen. Das Verzeichnis ist die Systemwiederherstellungsfunktion von XP. Du kannst es leeren, in dem Du die Systemwiederherstellung ausschaltest, Rechner aus, Rechner an, Systemwiederherstellung wieder an. Dies wird allerdings nichts daran ändern, daß Dein Rechner kompromittiert ist. Melde Dich nach dem Aufsetzen (an alle Tipps halten) wieder mit einem neuen Logfile. cacatoa |
UM GOTTES WILLEN! SO schlimm steht es? Vielen Dank erstmal für die Antwort. Das Problem ist: ich kann im Moment meinen PC nicht neu aufsetzen, weil ich noch 2 Wochen Tag und Nacht daran arbeiten muss und dafür auch Internet brauche, und mir diesen Zeitaufwand überhaupt nicht leisten kann. Ich hätte jetzt die wahrscheinlich dümmliche Frage, WIE gefährlich genau ist dieser Trojaner einzuschätzen? Werden meine Bankdaten geklaut? Mein Ebay? Meine Emailpaßwörter? Hilft es, die Passwörter vorrübergehend zu ändern? Und: überträgt er sich automatisch auf andere Rechner, mit denen ich im Netz in Kontakt stehe? Bitte, bitte sag, daß es nicht so schlimm ist! Ich werde hysterisch... Danke, Trauerbarsch |
Ach, und noch eine Frage: hilft es wenigstens, nur Windows neu drüber zu installieren...? Nö wahrscheinlich nicht. Kacke aber auch. |
@Frohbarsch Zitat:
|
@Frohbarsch: In meinem Link hatte ich Dir angegeben, was dieser Backdoor so alles kann. Hier nochmal: * Aufspüren von E-Mail-Adressen * Stehlen von Produkt-Registrierungsdaten für bestimmte Software * Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken * Durchsuchen von Netzwerken nach Schwachstellen * Herunterladen und Ausführen beliebiger Dateien * Starten eines Proxyservers (SOCKS4/SOCKS5) * Starten und Stoppen von Systemdiensten * Überwachen der Netzwerkkommunikation (Packetsniffing) * Hinzufügen und Entfernen von Netzwerkfreigaben * Senden von E-Mails * Speichern von Tastenfolgen ...und System neu aufsetzen geht schneller, als man denkt. cacatoa Servus Rene-Gad! :party: |
|
Zitat:
Cobra |
Ihr habt ja recht, und ich habe es auch von anfang an vermutet. ich wollte es nur nicht wahrhaben. vielen dank an euch, ich melde mich wieder mit neu aufgestztem system! eine scheiße ist das aber schon, muss ich sagen. totbarsch |
@Frohbarsch: Scheiße sagt man nicht, da geht die ganze Bildung am Arsch! ;) cacatoa |
guten tag liebe comunity ich wollte mal fragen [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board