Trojaner-Board - Worm/IRCBot.857088 ???

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Worm/IRCBot.857088 ??? (https://www.trojaner-board.de/39008-worm-ircbot-857088-a.html)

Worm/IRCBot.857088 ???

:heulen: Hallo ! Ich bin absoluter anfänger in sachen PC und schon habe ich mir einen virus eingefangen und zwar Worm/IRCBot.857088 und weiß nicht wie ich ihn weg bekommen soll habe mich schon in vielen seiten durchgelesen und verstehe leider nur Bahnhof ich benutze avira anti vir. es wäre nett wenn anleitung schritt für schritt

danke im vorraus

Hallo und http://www.world-of-smilies.com/wos_...hilder1020.gif im Trojaner Board!

Erstmal ist es wichtig zu wissen wo der genannte Wurm gefunden wurde, dazu solltest du den letzten Report von Antivir öffnen und nachsehen und welchem Dateipfad dieser zu finden war. ;)

Gruß
Sunny

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3E3D606C.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/IRCBot.857088' [WORM/IRCBot.857088] gefunden.
Ausgeführte Ein Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3E4E325A.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "4680806d.qua" verschoben!Aktion: ZugriffEin Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3E9C2204.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "46858075.qua" verschoben! verweigernEin Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3EDD69BC.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins QuarantäEin Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3EF40FA3.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "4692807f.qua" verschoben!neverzeichnis untEin Virus oder unerwünschtes Programm 'WORM/IRCBot.857088' [worm]
wurde in der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3F1B0778.exe' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "467d8083.qua" verschoben!er dem Namen "4690807b.qua" veIn der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3E3D606C.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/IRCBot.857088' [WORM/IRCBot.857088] gefunden.
Ausgeführte Aktion: Datei in Ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan]
wurde in der Datei 'C:\WINDOWS\system32\ddccy.dll.VIR' gefunden.
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "46af85cc.qua" verschoben!Quarantäne verschiebenrschoben!
Und seit neustem schreibt er am anfang den fehler C:\Windows/system32/vnscgeoi.dll
C:\Windows/system32/WinFlyer32.dll

So, als erstes solltest du den Quarantäne-Ordner von Antivir löschen, besser gesagt den Inhalt!

Er befindet sich hier:

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine

Danach das hier abarbeiten:

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Gruß
Sunny

so das habe ich gemach aberc:\Windows/system32/vnscgeoi.dll
C:\Windows/system32/WinFlyer32.dll
die fehler treten am anfang auch noch auf und Worm/IRCBot.857088 kommtnur noch die warnung wenn der Bildschirmschoner angeht!!

Hallo

mach bitte alle versteckten Dateien und Ordner sichtbar.

Zitat:

aberc:\Windows/system32/vnscgeoi.dll
C:\Windows/system32/WinFlyer32.dll
die fehler treten am anfang auch noch auf

zeige uns doch mal ein Hijackthis.log --> HijackThis
benenne vor dem scan die Hijackthis.exe um in z.B. ABC.exe und dann editiere alle Links (z.B. http -> hxxp) und persönlichen Einträge im Log.

Zitat:

und Worm/IRCBot.857088 kommtnur noch die warnung wenn der Bildschirmschoner angeht!!

wird hier ein Pfad angegeben (Pfad/Dateiname)?

MFG

Logfile of HijackThis v1.99.1
Scan saved at 20:41:08, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Ad Nuker\App\pop.exe
C:\Programme\Ad Nuker\App\MSF.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Alexander Jenny Jaso\Desktop\ABNC.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://freemailng2703.web.de/online/frame.htm?si=sbSH.1hK5In.1bfphm.2M**&v=1
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {406839F4-B264-44D8-AB73-604A7972353D} - C:\WINDOWS\system32\pmkhi.dll (file missing)
O2 - BHO: Ad Nuker - {459CAF0F-CA9F-4d69-A1A9-B0699D07AB8A} - C:\WINDOWS\system32\NukerBand.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {76B220B8-6893-424A-AB17-74406822FC1B} - C:\WINDOWS\system32\ddccy.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Ad Nuker - {459CAF0F-CA9F-4d69-A1A9-B0699D07AB8A} - C:\WINDOWS\system32\NukerBand.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinFlyer32.dll] "rundll32.exe" C:\WINDOWS\system32\WinFlyer32.dll,Run
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\vnscgeoi.dll",setvm
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &NukerBand Serach - res://C:\WINDOWS\system32\NukerBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ddccy - C:\WINDOWS\system32\ddccy.dll (file missing)
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\system32\pmkhi.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

Fixe mit HijackThis folgende Einträg:

Zitat:

O2 - BHO: (no name) - {406839F4-B264-44D8-AB73-604A7972353D} - C:\WINDOWS\system32\pmkhi.dll (file missing)
O2 - BHO: Ad Nuker - {459CAF0F-CA9F-4d69-A1A9-B0699D07AB8A} - C:\WINDOWS\system32\NukerBand.dll
O2 - BHO: (no name) - {76B220B8-6893-424A-AB17-74406822FC1B} - C:\WINDOWS\system32\ddccy.dll (file missing)
O8 - Extra context menu item: &NukerBand Serach - res://C:\WINDOWS\system32\NukerBand.dll/MENUSEARCH.HTM
O20 - Winlogon Notify: ddccy - C:\WINDOWS\system32\ddccy.dll (file missing)
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\system32\pmkhi.dll (file missing)

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\WinFlyer32.dll
C:\WINDOWS\system32\vnscgeoi.dll
C:\WINDOWS\system32\NukerBand.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

--------------------------------------------------------------------------------

Fixe mit HijackThis folgende Einträg:

Zitat:
O2 - BHO: (no name) - {406839F4-B264-44D8-AB73-604A7972353D} - C:\WINDOWS\system32\pmkhi.dll (file missing)
O2 - BHO: Ad Nuker - {459CAF0F-CA9F-4d69-A1A9-B0699D07AB8A} - C:\WINDOWS\system32\NukerBand.dll
O2 - BHO: (no name) - {76B220B8-6893-424A-AB17-74406822FC1B} - C:\WINDOWS\system32\ddccy.dll (file missing)
O8 - Extra context menu item: &NukerBand Serach - res://C:\WINDOWS\system32\NukerBand.dll/MENUSEARCH.HTM
O20 - Winlogon Notify: ddccy - C:\WINDOWS\system32\ddccy.dll (file missing)
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\system32\pmkhi.dll (file missing)
:confused:
sorry aber wie geht das ?

STATUS: FINISHEDComplete scanning result of "NukerBand.dll", received in VirusTotal at 05.19.2007, 15:48:02 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.18.2007 no virus found
AntiVir 7.4.0.23 05.18.2007 no virus found
Authentium 4.93.8 05.18.2007 no virus found
Avast 4.7.997.0 05.18.2007 no virus found
AVG 7.5.0.467 05.18.2007 no virus found
BitDefender 7.2 05.19.2007 no virus found
CAT-QuickHeal 9.00 05.18.2007 no virus found
ClamAV devel-20070416 05.19.2007 no virus found
DrWeb 4.33 05.19.2007 no virus found
eSafe 7.0.15.0 05.17.2007 no virus found
eTrust-Vet 30.7.3644 05.19.2007 no virus found
Ewido 4.0 05.19.2007 no virus found
FileAdvisor 1 05.19.2007 no virus found
Fortinet 2.85.0.0 05.19.2007 no virus found
F-Prot 4.3.2.48 05.18.2007 no virus found
F-Secure 6.70.13030.0 05.18.2007 no virus found
Ikarus T3.1.1.7 05.19.2007 no virus found
Kaspersky 4.0.2.24 05.19.2007 no virus found
McAfee 5034 05.18.2007 no virus found
Microsoft 1.2503 05.19.2007 no virus found
NOD32v2 2277 05.18.2007 no virus found
Norman 5.80.02 05.18.2007 no virus found
Panda 9.0.0.4 05.19.2007 no virus found
Prevx1 V2 05.19.2007 no virus found
Sophos 4.17.0 05.18.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.19.2007 no virus found
TheHacker 6.1.6.118 05.18.2007 no virus found
VBA32 3.12.0 05.18.2007 no virus found
VirusBuster 4.3.7:9 05.18.2007 no virus found
Webwasher-Gateway 6.0.1 05.18.2007 no virus found

Aditional Information
File size: 147456 bytes
MD5: 3c67d3b5519abc097eac321a69968fef
SHA1: fdc0f887a39c84ff3b90e3e16c68246da87a9062

die beiden dateien kann ich nicht finden bzw auch nicht suchen
C:\WINDOWS\system32\WinFlyer32.dll
C:\WINDOWS\system32\vnscgeoi.dll

1.) Lass noch die anderen Dateien bei Virustotal auswerten:

Zitat:

C:\WINDOWS\system32\WinFlyer32.dll
C:\WINDOWS\system32\vnscgeoi.dll

2.) FIXEN: öffen HijackThis -> Do a System Scan only -> mach einen Haken in die von mir vorgegebenen Zeilen:

Zitat:

Wenn du alles angehakt hast, klicke auf den Button Fix checked! Das war es dann. ;)

Starte danach HijackThis nochmal und poste nochmals ein neues Hijacklog!

Sunny