Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Help! Backdoor Worm/IRCBot.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.09.2005, 10:16   #1
Frohbarsch
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



Hallo,
mein Virenscanner Antivir PE erkennt im resistenten Modus immer wieder folgenden Wurm im Verzeichnis:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{41689462-3A87-43C8-833C-ED52A9B0A71A}\RP97\A0040665.PIF
Enthält Signatur des Wurmes WORM/IRCBot.154624

Auf das Verzeichnis kann ich natürlich nicht zugreifen, aber wißt ihr (sehr dumme Frage vielleicht) ob es ein wichtiges Verzeichnis ist, bzw die betroffene Datei?

Außerdem, und ich weiß nicht ob dieser Wurm dafür verantwortlich ist, tut mein PC bei fast allen Passwort-Eingabeaufforderungen neuerdings so, als wenn ich eine Taste ständig gedrückt halten würde - d.h. immer wenn wo eine Eingabe ist schießen diese "••••" in einer Reihe los und hören nicht mehr auf, bis ich Tab drücke. Meine Tastatur ist aber in Ordnung, hab ne andere ausprobiert... Wißt ihr was?
Ich poste euch nun noch mein HiJack-Log (die letzte Zeile macht mir Sorgen):

Logfile of HijackThis v1.99.1
Scan saved at 11:15:06, on 17.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\windows\System32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\windows\system32\RUNDLL32.EXE
C:\windows\system32\atwtusb.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\windows\system32\wuauclt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Soulseek\slsk.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\windows\system32\RUNDLL32.exe
C:\windows\system32\RUNDLL32.exe
C:\Programme\Adobe\Photoshop CS\Photoshop.exe
C:\Adobe\Streamline 4.0\Streamline.exe
C:\Programme\Adobe\Illustrator CS\Support Files\Contents\Windows\Illustrator.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Joners\Desktop\Tools\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***//web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***.tele2.at/startpage
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet
O1 - Hosts: 64.91.255.87 ***dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [USRpdA] C:\windows\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{3BE48~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{3BE48~1\reboot.ini -l0x7
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.at/startpage
O17 - HKLM\System\CCS\Services\Tcpip\..\{36F536A3-90E0-4AFD-B49D-563095311E71}: NameServer = 193.170.96.66,195.70.242.5
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: Srv32 - Unknown owner - C:\windows\system32\srv32.exe (file missing)

Vielen Dank schon mal!
Froh

[edit]
links entfernt
[/edit]

Geändert von GUA (17.09.2005 um 12:26 Uhr)

Alt 17.09.2005, 10:29   #2
cacatoa
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



Glaub Dir gerne, daß die letzte Zeile Sorgen macht. Das ist zwar nur noch ein Relikt von dem hier (file missing), aber offensichtlich ist er im Hintergrund immer noch aktiv. Du hast ja gelesen, was er alles kann und tut; und aus diesem Grund kann ich Dir nur empfehlen, Dein System neu aufzusetzen.
Das Verzeichnis ist die Systemwiederherstellungsfunktion von XP. Du kannst es leeren, in dem Du die Systemwiederherstellung ausschaltest, Rechner aus, Rechner an, Systemwiederherstellung wieder an. Dies wird allerdings nichts daran ändern, daß Dein Rechner kompromittiert ist.
Melde Dich nach dem Aufsetzen (an alle Tipps halten) wieder mit einem neuen Logfile.
cacatoa
__________________

__________________

Alt 17.09.2005, 11:19   #3
Frohbarsch
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



UM GOTTES WILLEN!

SO schlimm steht es?
Vielen Dank erstmal für die Antwort.
Das Problem ist: ich kann im Moment meinen PC nicht neu aufsetzen, weil ich noch 2 Wochen Tag und Nacht daran arbeiten muss und dafür auch Internet brauche, und mir diesen Zeitaufwand überhaupt nicht leisten kann. Ich hätte jetzt die wahrscheinlich dümmliche Frage, WIE gefährlich genau ist dieser Trojaner einzuschätzen? Werden meine Bankdaten geklaut? Mein Ebay? Meine Emailpaßwörter? Hilft es, die Passwörter vorrübergehend zu ändern? Und: überträgt er sich automatisch auf andere Rechner, mit denen ich im Netz in Kontakt stehe? Bitte, bitte sag, daß es nicht so schlimm ist!
Ich werde hysterisch...
Danke,
Trauerbarsch
__________________

Alt 17.09.2005, 11:23   #4
Frohbarsch
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



Ach, und noch eine Frage:

hilft es wenigstens, nur Windows neu drüber zu installieren...? Nö wahrscheinlich nicht. Kacke aber auch.

Alt 17.09.2005, 11:25   #5
Rene-gad
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



@Frohbarsch
Zitat:
Das Problem ist: ich kann im Moment meinen PC nicht neu aufsetzen, weil ich noch 2 Wochen Tag und Nacht daran arbeiten muss und dafür auch Internet brauche
Du musst dann damit rechnen, dass nicht ausschließlich DU Zugang zu deinem Rechner hast. Lese mal bitte hier: http://en.wikipedia.org/wiki/Botnet und entscheide selbst ,was du tust, und wie du die Ergebnisse deiner 2-wöchigen Arbeit schützen möchtest.


Alt 17.09.2005, 11:32   #6
cacatoa
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



@Frohbarsch:
In meinem Link hatte ich Dir angegeben, was dieser Backdoor so alles kann.
Hier nochmal:
* Aufspüren von E-Mail-Adressen
* Stehlen von Produkt-Registrierungsdaten für bestimmte Software
* Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken
* Durchsuchen von Netzwerken nach Schwachstellen
* Herunterladen und Ausführen beliebiger Dateien
* Starten eines Proxyservers (SOCKS4/SOCKS5)
* Starten und Stoppen von Systemdiensten
* Überwachen der Netzwerkkommunikation (Packetsniffing)
* Hinzufügen und Entfernen von Netzwerkfreigaben
* Senden von E-Mails
* Speichern von Tastenfolgen

...und System neu aufsetzen geht schneller, als man denkt.
cacatoa

Servus Rene-Gad!
__________________
--> Help! Backdoor Worm/IRCBot.

Alt 17.09.2005, 11:35   #7
Rene-gad
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



Cacatoa !

Alt 17.09.2005, 12:01   #8
Cobra
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



Zitat:
Zitat von Frohbarsch
Das Problem ist: ich kann im Moment meinen PC nicht neu aufsetzen, weil ich noch 2 Wochen Tag und Nacht daran arbeiten muss und dafür auch Internet brauche, und mir diesen Zeitaufwand überhaupt nicht leisten kann.
Doch, den kannst Du Dir leisten. Du *mußt* ihn Dir nämlich leisten. Da kann es gar kein Zögern geben: der Rechner muß vom Netz und neu aufgesetzt werden. Halte Dich dabei an Cidres oder meine Anleitung.

Cobra

Alt 17.09.2005, 12:24   #9
Frohbarsch
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



Ihr habt ja recht, und ich habe es auch von anfang an vermutet. ich wollte es nur nicht wahrhaben. vielen dank an euch, ich melde mich wieder mit neu aufgestztem system!

eine scheiße ist das aber schon, muss ich sagen.

totbarsch

Alt 17.09.2005, 12:27   #10
cacatoa
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



@Frohbarsch:
Scheiße sagt man nicht, da geht die ganze Bildung am Arsch!
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 05.08.2007, 12:52   #11
Skedar
 
Help! Backdoor Worm/IRCBot. - Standard

Help! Backdoor Worm/IRCBot.



guten tag liebe comunity ich wollte mal fragen

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Antwort

Themen zu Help! Backdoor Worm/IRCBot.
adobe, antivir, backdoor, bho, computer, cyberlink, desktop, einstellungen, excel, explorer, frage, gainward, google, help, hijackthis, immer wieder, internet, internet explorer, photoshop, rundll, scan, software, solution, system, tastatur, windows, windows xp, wurm




Ähnliche Themen: Help! Backdoor Worm/IRCBot.


  1. Trojaner (via msn): Backdoor:Win32/IRCbot.gen!M
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (7)
  2. Backdoor:Win32/IRCbot.gen!M
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (1)
  3. Backdoor WIN32.IRCBot.glo!A2
    Plagegeister aller Art und deren Bekämpfung - 25.03.2009 (2)
  4. Ich hab einen Virus (Worm/IrcBot.acu.1), kann es nicht löschen !
    Mülltonne - 22.11.2008 (0)
  5. netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  6. Backdoor (ircbot)???, Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 07.12.2007 (20)
  7. How to remove WORM/IrcBot.49664.2 ?
    Plagegeister aller Art und deren Bekämpfung - 25.11.2007 (1)
  8. Worm/IrcBot.soq//Bitte um Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 22.11.2007 (18)
  9. Backdoor.Win32.IRCBot.acu über MSN images.zip
    Plagegeister aller Art und deren Bekämpfung - 01.08.2007 (6)
  10. Worm/IRCBot.857088 ???
    Plagegeister aller Art und deren Bekämpfung - 20.05.2007 (10)
  11. worm/ircbot.1195....
    Plagegeister aller Art und deren Bekämpfung - 08.04.2007 (3)
  12. WORM/IRCBot.65536 in System Volume Information
    Log-Analyse und Auswertung - 26.11.2006 (3)
  13. WORM/IRCBot.NW.36
    Plagegeister aller Art und deren Bekämpfung - 01.03.2006 (8)
  14. Nail.exe TR/Dldr.180Instal.1 und Worm/IRCBot.GT
    Plagegeister aller Art und deren Bekämpfung - 03.10.2005 (1)
  15. Worm/IRCBot
    Plagegeister aller Art und deren Bekämpfung - 11.07.2005 (9)
  16. problem Worm/IRCBot.53792xx
    Plagegeister aller Art und deren Bekämpfung - 06.04.2005 (1)
  17. WORM/IRCBot.76288.I
    Plagegeister aller Art und deren Bekämpfung - 10.09.2004 (2)

Zum Thema Help! Backdoor Worm/IRCBot. - Hallo, mein Virenscanner Antivir PE erkennt im resistenten Modus immer wieder folgenden Wurm im Verzeichnis: C:\SYSTEM VOLUME INFORMATION\_RESTORE{41689462-3A87-43C8-833C-ED52A9B0A71A}\RP97\A0040665.PIF Enthält Signatur des Wurmes WORM/IRCBot.154624 Auf das Verzeichnis kann ich natürlich nicht - Help! Backdoor Worm/IRCBot....
Archiv
Du betrachtest: Help! Backdoor Worm/IRCBot. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.