Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.IRCBot.acu über MSN images.zip

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.07.2007, 23:21   #1
seltenhier
 
Backdoor.Win32.IRCBot.acu über MSN images.zip - Standard

Backdoor.Win32.IRCBot.acu über MSN images.zip



Hallo,

habe schon gegoogelt und im Forum hier auch nichts passendes zu fogendem
"Virus" gefunden

gescant mit virustotal online

Kaspersky - Backdoor.Win32.IRCBot.acu
AntiVir - Worm/IRCBot.acu.1
und noch ungefähr 5 andere Namen für den gleichen Virus.

Diese Datei wurde über MSN an alle möglichen MSN User versendet.
Habe kurz vorher noch extra ein Bild angefordert und danach wurde mir von meinem Freund ein images.zip File zugesandt.
Da von vertrauenswürdiger Person, habe ich es entpackt und angeklickt.

Mein System win98se
unter HijackThis wird nichts gefunden was für die "myphotos.zip" typisch war.
das bedeutet keine sysprinters.dll , ghost.exe usw.

Gesucht habe ich allerdings mit windows Boardmitteln also der Explorer Dateisuche.

Hat jemand schon einen Link mit Anleitung zur Dateisuche und Entfernung?

Code:
ATTFilter
ogfile of HijackThis v1.99.1
Scan saved at 22:15:31, on 26.07.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\CARPSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\TOOLS\HIJACKTHIS\HIJACKTHIS_199\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\INTERNETTOOLS\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAMME\DAP\DAPBHO.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\INTERNETTOOLS\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\INTERNETTOOLS\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\InternetTools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\InternetTools\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\InternetTools\NeoTrace Express\NTXtoolbar.htm (HKCU)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
         
Hoffe habe alle postkriterien eingehalten ;-)

Grüße

Geändert von seltenhier (31.07.2007 um 23:28 Uhr)

Alt 31.07.2007, 23:31   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Win32.IRCBot.acu über MSN images.zip - Standard

Backdoor.Win32.IRCBot.acu über MSN images.zip



Zitat:
Da von vertrauenswürdiger Person, habe ich es entpackt und angeklickt.
Und nun haste den Salat.
Da dir der Schädling eine nette Hintertür hinterlässt ist ein Neuaufsetzen angesagt.

Jedenfalls normalerweise. Ich kann nicht beurteilen, inwiefern der MSN-Schädling mit Win98 "kompatibel" ist, ich würde hier aber kein Risiko eingehen.

Zitat:
gescant mit virustotal online

Kaspersky - Backdoor.Win32.IRCBot.acu
AntiVir - Worm/IRCBot.acu.1
Welche Datei in welchem Ordner hast du gescannt?
__________________

__________________

Alt 01.08.2007, 09:43   #3
seltenhier
 
Backdoor.Win32.IRCBot.acu über MSN images.zip - Standard

Backdoor.Win32.IRCBot.acu über MSN images.zip



habe die images39.zip auf virustotal hochgeladen und überprüfen lassen...
auf meinem PC hatte ich sie entpackt und angeklickt....

keine Auswirkungen bis jetzt zu spüren.
Ist es normal das bei bei jedem Start von Outlook Express der neu installierte MSN Messenenger mitgestartet wird(Taskleiste) ?

Processexplorer und Windows Taskmanager zeigt nichts neues an.
offene Ports könnte ich noch prüfen.
__________________

Geändert von seltenhier (01.08.2007 um 10:21 Uhr)

Alt 01.08.2007, 10:59   #4
inFiniTY
Gesperrt
 
Backdoor.Win32.IRCBot.acu über MSN images.zip - Standard

Backdoor.Win32.IRCBot.acu über MSN images.zip



Du wirst von dem Virus auch nichts spüren...
Das ist eine Hintertür, also musst du alle deine Passwörter und Daten als Fremden bekannt ansehen.Das einzige was hilft ist neu aufsetzen

Backdoorprogramme lösen normalerweise eine Kompromittierung aus.

Alt 01.08.2007, 11:59   #5
seltenhier
 
Backdoor.Win32.IRCBot.acu über MSN images.zip - Standard

Backdoor.Win32.IRCBot.acu über MSN images.zip



Hallo,

infinity soweit klar..aber die Backdoor muß sich entfernen lassen.
dafür suche ich eine Lösung bzw einen Link.

ich habe noch saubere Registrierungsdateien die ich einsetzen könnte, somit wäre die Regitrieung sauber.
Die Dateien welche die Backdoor installiert müßte ich aber vorher wenigstens noch entfernen damit keine Neueintragung in die Registry erfolgt.

Ist es normal das bei Start von Outlook Express der MSN Messenger mitgestartet wird?

Danach ändere ich sämtlich Passwörter.
Unter diesem französichem Link hat wohl jemand das gleichen Problem.

problème virus sur MSN

Kann da jemand etwas übersetzen?


Geändert von seltenhier (01.08.2007 um 12:12 Uhr)

Alt 01.08.2007, 13:01   #6
seltenhier
 
Backdoor.Win32.IRCBot.acu über MSN images.zip - Standard

Backdoor.Win32.IRCBot.acu über MSN images.zip



Hallo,

ich habe noch saubere Registrierungsdateien die ich einsetzen könnte, somit wäre die Registrierung sauber.
Die Dateien welche die Backdoor installiert müßte ich aber vorher wenigstens noch entfernen damit keine Neueintragung in die Registry erfolgt.Diese Dateien suche.

Ich könnte die Installation des Viruses mit Hilfe eines Tools überwachen lassen, indem ich Ihn nocheinmal "darüber installiere" .Welches Tool ist am besten geeigent Systemänderungen zu Protokollieren?Registry ist nicht notwendig, da habe ich ja eine saubere.

Alt 01.08.2007, 13:41   #7
inFiniTY
Gesperrt
 
Backdoor.Win32.IRCBot.acu über MSN images.zip - Standard

Backdoor.Win32.IRCBot.acu über MSN images.zip



seltenhier, ja du kannst zwar den Backdoor selbst villeicht entfernen aber du hast keine chance ihn komplett aus dem System zu entfernen!
Nachdem der Virus aktiviert wurde verankert er sich so tief in deinem System das du wirklich keine Chance hast ihn aus dem System zu entfernen, er ist dann komplett unsichtbar für Virenscanner und sonstiges.
Du musst dein System neu aufsetzen, folge dem Link in meiner Signatur.

Antwort

Themen zu Backdoor.Win32.IRCBot.acu über MSN images.zip
adobe, bho, bild, download, explorer, file, forum, hijack, hijackthis, internet, internet explorer, kriterien, microsoft, msn, namen, object, programme, registry, rundll, rundll32.exe, senden, software, system, urlsearchhook, virus, virustotal, windows




Ähnliche Themen: Backdoor.Win32.IRCBot.acu über MSN images.zip


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Windows7 Spyware infekt, komplette Traffic Umleitung, versteckte images und eventueller hardwaregestützter "Backdoor"
    Log-Analyse und Auswertung - 17.12.2013 (23)
  3. backdoor.WIN32.ZAccess.mbs wurde gefunden system ausfall folge windwos nur noch über abgesicherten modus startbar
    Plagegeister aller Art und deren Bekämpfung - 30.07.2013 (21)
  4. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  5. Spam-Mails Delivery failed; rojan.Win32.Jorik.IRCbot.qwg
    Überwachung, Datenschutz und Spam - 27.08.2012 (8)
  6. Win32/IRCBot.JWAPGDK trojan
    Log-Analyse und Auswertung - 24.02.2012 (7)
  7. Backdoor:Win32/IRCbot.gen!M und Win32/Oficla.V
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  8. JAVA/Bytverify.I.1 und Backdoor.Win32.IRCBot!IK gefunden
    Plagegeister aller Art und deren Bekämpfung - 06.10.2010 (5)
  9. Trojaner (via msn): Backdoor:Win32/IRCbot.gen!M
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (7)
  10. Backdoor:Win32/IRCbot.gen!M
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (1)
  11. Backdoor WIN32.IRCBot.glo!A2
    Plagegeister aller Art und deren Bekämpfung - 25.03.2009 (2)
  12. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  13. Escan findet wieder "backdoor (ircbot) trojans"
    Plagegeister aller Art und deren Bekämpfung - 15.04.2008 (13)
  14. Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc.
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (9)
  15. Backdoor (ircbot)???, Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 07.12.2007 (20)
  16. Help! Backdoor Worm/IRCBot.
    Plagegeister aller Art und deren Bekämpfung - 05.08.2007 (10)
  17. HijackThis file OK? Win32:Ircbot-BAX [Wrm]
    Log-Analyse und Auswertung - 18.06.2007 (2)

Zum Thema Backdoor.Win32.IRCBot.acu über MSN images.zip - Hallo, habe schon gegoogelt und im Forum hier auch nichts passendes zu fogendem "Virus" gefunden gescant mit virustotal online Kaspersky - Backdoor.Win32.IRCBot.acu AntiVir - Worm/IRCBot.acu.1 und noch ungefähr 5 andere - Backdoor.Win32.IRCBot.acu über MSN images.zip...
Archiv
Du betrachtest: Backdoor.Win32.IRCBot.acu über MSN images.zip auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.