Trojaner-Board - Habe ich einen IRC Virus, Trojaner, oder sonstwas?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Habe ich einen IRC Virus, Trojaner, oder sonstwas? (https://www.trojaner-board.de/27508-habe-irc-virus-trojaner-sonstwas.html)

Habe ich einen IRC Virus, Trojaner, oder sonstwas?

Hallo! :confused:
Seit heute morgen habe ich leider ein mittelprächtiges Problem mit meinem mIRC. Angefangen hat es damit, daß ich einen anderen server (Central Maniac) betreten habe. Dort mußte ich die /ns Befehle ausschreiben, weil nur /nickserv akzeptiert wurde und ansonsten eine Servermeldung kam. gut, ich hab dort schön meine Nicks registriert und meinem Hauptnick untergeordnet, aber ansonsten ging dort nichts. Keinen Channel außer der Lobby konnte ich betreten, egal mit welchem Befehl. Auch durch anklicken war dies nicht möglich. Deshalb hab ich dann gedacht, es läge mal wieder an meinem PC, der seit mir vor einigen Tagen der halbe Arbeitsspeicher kaputtgegangen ist, nur noch lahmt und diesen neu hochgefahren. Seither komme ich mit mIRC überhaupt nicht mehr rein, auf keinem Server. Solange ich euIRC connecte, läuft alles wunderbar. Mein Perform läuft, alles sieht aus wie immer, aber dann, nachdem ich identifiziert bin, kommt nur noch diese Meldung: MANIAC-IRC Unknown command
Ich kann machen was ich will. Selbst wenn ich mein Perform ausschalte und mein Nick nur aus wahllos zusammengestellten buchstaben besteht, bekomme ich diese Meldung, egal was ich eingebe.
Ja, und weil mir das soviel spaß macht, hab ich stundenlang Virenscanner drüberlaufen lassen. Antivir(<--auch im abgesicherten Modus), Spyware Doctor, und auf Empfehlung eines IRC-Nutzers auch noch den BitDefender.
Es wurden ein paar Kleinigkeiten gefunden, aber von denen wußte ich auch vorher schon...unausgepackte ZIP-Files, aber die sind schon länger in Quarantäne und haben nie Ärger gemacht.
So, ich hoffe, daß ich alles ausreichend beschrieben und nichts vergessen habe...und vor allem, daß mir jemand helfen kann. Auf die Gefahr hin, daß das auch unsicher sein könnte, gehe ich jetzt mit einem anderen Client rein... :(
CU *wink* :)

Hallo,

poste ein HijackThis Logfile. Anleitung als Link in meiner Signatur.

Gruß

Schrulli

Thx @Schrulli! :)

Logfile of HijackThis v1.99.1
Scan saved at 19:50:44, on 12.03.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\NOVELL\CLIENT32\NWRECMSG.EXE
C:\NOVELL\CLIENT32\WM95.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE
C:\WINDOWS\SYSTEM\DPMW32.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\CPUCOOL\CPUCOOL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\DIABLO II\GAME.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\MIRC\MIRC.EXE
C:\PROGRAMME\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\SYSTEM\dpmw32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE C:\WINDOWS\SYSTEM\TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [outlook] \outlook\outlook.exe /auto
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\bdnagent.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Workstation Scheduler] C:\novell\client32\wm95.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: CPUCooL.lnk = C:\Programme\CPUCooL\CPUCooL.exe
O4 - Startup: init.bat.pif = C:\PROG\BAT\INIT.BAT
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMMON\YHEXBMESDE.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\COMMON\YHEXBMESDE.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll

So, ich hoffe, daß diesmal alles stimmt und ich nix übersehn hab, was rauszumachen wäre, bevor ich poste. Ich muß dazusagen, daß das genaugenommen das zweite Logfile ist. Das erste ist mir leider abhandengekommen, weil ich es noch nicht abgespeichert hatte, als ich Registry Mechanic auch noch suchen habe lassen und dabei mein Rechner mal wieder überfordert war... Jo, immerhin hab ich jetzt wieder 14 Probleme weniger in der Registry ^^

Hallo,

warum läuft auf dem Rechner den ein Novell Netzwerk?
Poste bitte mal den Inhalt der C:\PROG\BAT\INIT.BAT (im Explorer nach c:\prog\bat klicken dann rechtsklick auf init.bat, dann auf bearbeiten klicken, es öffnet sich der Editor), es sei denn Du kennst diese Datei, bin mir grad nicht sicher, ob sie zu Novell gehört.
Zu Deinem eigentlichem Problem trägt das wohl aber nicht bei, daher führe einen eScan aus, Anleitung als Link in meiner Signatur.

Gruß

Schrulli

Das ist ein Überbleibsel der Firma, in der mein Rechner bis vor wenigen Wochen stand. Da mir die Leute die unterschiedlichsten Horrorgeschichten bezüglich Novell erzählt haben, habe ich es lieber mal da gelassen, wo es ist. Denn solange ich nicht sicher weiß, daß ich 1. Systemadmin bin und 2. Novell sich nicht so ans BIOS gekoppelt hat, daß es mir den PC ruinieren könnte, mache ich da lieber nichts. Laufwerk G: habe ich allerdings gelöscht, weil es immer wieder Downloads in diesem nicht mehr vorhandenen Netzwerk-Laufwerk speichern wollten. Und diesen Dateiinhalt kenne ich. Ich sehe ihn bei jedem Start.

C:\prog\bat>capture s=chef_2003 q=Q_Oki390 l=1 nb nff ti=2
Befehl oder Dateiname nicht gefunden.

C:\prog\bat>capture s=chef_2003 q=Q_tobitA4 l=3 nb nff ti=2
Befehl oder Dateiname nicht gefunden.

C:\prog\bat>

Hallo,

ich wüßte nicht, welche Hardwarebezogenen Auswirkungen Novell auf den Rechner haben könnte?
Um 1. und 2. Auszuschließen, solltest Du den Rechner dann doch vielleicht neu aufspielen. Die WIN98 Cd hast Du ja dazubekommen:rolleyes:
Scanne

C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\runonce.exe

online bei Jotti und poste das Ergebnis hier.

Gruß

Schrulli

Ups, sorry , hatte mich verlesen.
Und die CD habe ich leider nicht. Ich bekomme eine, sobald meine Mum ihre alte gefunden hat, aber bis dahin sieht's schlecht aus... :(

Hallo,

öffne diese Seite http://virusscan.jotti.org/de/, da kannst Du die zwei Dateien dann hochladen.
Alternativ kannst Du auch diese nehmen.

Gruß

Schrulli

Datei: Rundll.exe
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Nr.1 ist also mal nicht infiziert...

This is a report processed by VirusTotal on 03/12/2006 at 21:38:50 (CET) after scanning the file "Rundll.exe" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.11.2006 no virus found
Avast 4.6.695.0 03.10.2006 no virus found
AVG 718 03.10.2006 no virus found
Avira 6.34.0.53 03.11.2006 no virus found
BitDefender 7.2 03.12.2006 no virus found
CAT-QuickHeal 8.00 03.10.2006 no virus found
ClamAV devel-20060126 03.11.2006 no virus found
DrWeb 4.33 03.12.2006 no virus found
eTrust-InoculateIT 23.71.100 03.12.2006 no virus found
eTrust-Vet 12.4.2115 03.10.2006 no virus found
Ewido 3.5 03.12.2006 no virus found
Fortinet 2.71.0.0 03.12.2006 no virus found
F-Prot 3.16c 03.11.2006 no virus found
Ikarus 0.2.59.0 03.10.2006 no virus found
Kaspersky 4.0.2.24 03.12.2006 no virus found
McAfee 4716 03.11.2006 no virus found
NOD32v2 1.1439 03.11.2006 no virus found
Norman 5.70.10 03.10.2006 no virus found
Panda 9.0.0.4 03.12.2006 no virus found
Sophos 4.03.0 03.12.2006 no virus found
Symantec 8.0 03.12.2006 no virus found
TheHacker 5.9.5.111 03.11.2006 no virus found
UNA 1.83 03.10.2006 no virus found
VBA32 3.10.5 03.12.2006 no virus found

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

Datei: Runonce.exe
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

This is a report processed by VirusTotal on 03/12/2006 at 21:36:32 (CET) after scanning the file "Runonce.exe" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.11.2006 no virus found
Avast 4.6.695.0 03.10.2006 no virus found
AVG 718 03.10.2006 no virus found
Avira 6.34.0.53 03.11.2006 no virus found
BitDefender 7.2 03.12.2006 no virus found
CAT-QuickHeal 8.00 03.10.2006 no virus found
ClamAV devel-20060126 03.11.2006 no virus found
DrWeb 4.33 03.12.2006 no virus found
eTrust-InoculateIT 23.71.100 03.12.2006 no virus found
eTrust-Vet 12.4.2115 03.10.2006 no virus found
Ewido 3.5 03.12.2006 no virus found
Fortinet 2.71.0.0 03.12.2006 no virus found
F-Prot 3.16c 03.11.2006 no virus found
Ikarus 0.2.59.0 03.10.2006 no virus found
Kaspersky 4.0.2.24 03.12.2006 no virus found
McAfee 4716 03.11.2006 no virus found
NOD32v2 1.1439 03.11.2006 no virus found
Norman 5.70.10 03.10.2006 no virus found
Panda 9.0.0.4 03.12.2006 no virus found
Sophos 4.03.0 03.12.2006 no virus found
Symantec 8.0 03.12.2006 no virus found
TheHacker 5.9.5.111 03.11.2006 no virus found
UNA 1.83 03.10.2006 no virus found
VBA32 3.10.5 03.12.2006 no virus found

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

Hallo,

da kann ich Dir auch erstmal nicht mehr sagen, frage mich nur, warum Du
C:\PROGRAMME\DIABLO II\GAME.EXE
laufen hast, wenn Du ein HJT machst?

[Edit]

Zitat:

Es wurden ein paar Kleinigkeiten gefunden, aber von denen wußte ich auch vorher schon...unausgepackte ZIP-Files, aber die sind schon länger in Quarantäne und haben nie Ärger gemacht.

was waren es den für Kleinigkeiten, vielleicht hift uns das weiter.[/Edit]

Gruß

Schrulli

Ja, danke trotzdem!
Und tjo...erwischt... Das D2 hatte ich laufen, weil da grad jemand ganz dringend meine Hilfe gebraucht hat. Im letzten Moment hat er dann noch jemand anderen gefunden, der mit ihm gemult hat. Ja, und ich hab da eben nicht drangedacht ^^ :crazy:

Hallo,

schön da Du den Report gepostet hast.

Du hast (immernoch) einen Backdoor Trojaner auf dem Rechner
Dieser mit diesen Informationen "bearbeitbar", allerdings hier, auch wegen den Novell Geschichte der Rat, das System Neuaufzusetzen.

[edit]warum hast Du den Report rausgenommen? [/edit]

Gruß

Schrulli