Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: WORM/IRCBot.65536 in System Volume Information

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.11.2006, 14:28   #1
lukin
 
WORM/IRCBot.65536 in System Volume Information - Standard

WORM/IRCBot.65536 in System Volume Information



Hi,
ich weiss, es gab schon einige posts hier die eine art dieses trojaners behandeln.
Es gibt aber ein paar dinge die ich nicht ganz verstehe. AntiVir meldet diesen
Wurm (WORM/IRCBot.65536) in System Volume Information auf meiner d:-platte,
das ist meine daten-festplatte, also nicht die system-platte. auf andern boards
habe ich mir anleitungen geholt, wie ich diesen trojaner loswerde, unter anderem habe ich mir im abgesicherten modus zugriff auf den ordner verschafft und die betreffende datei gelöscht. das ging wunderbar. der virus wird jetzt auch nicht mehr gefunden.

hier auf dem board wird aber meist empfohlen, bei diesem trojaner das system ganz neu aufzuspielen... woran erkenne ich nun ob mein system noch verseucht ist oder nicht? ich hab hijack laufen lassen und alles gefixed was bei der auswertung als unbekannt oder böse eingestuft wurde...

hier das aktuelle logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:41, on 25.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Eigene Dateien\Web\APACHE\Apache2\bin\Apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\PDF Printer\vspdfprsrv.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CounterSpy\sunserver.exe
D:\Eigene Dateien\Web\APACHE\Apache2\bin\Apache.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Palm\AlarmApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
C:\Dokumente und Einstellungen\Chris\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\WINOPT~1\PopUp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PROMT6\PRMTIE\prmtie.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Copernic Desktop Search - {C5F7A735-70F1-477F-8C36-6FF3C736017B} - C:\Programme\Copernic Desktop Search\CopernicDesktopSearchIntegration977.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\PDF Printer\vspdfprsrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunServer] C:\Programme\CounterSpy\sunserver.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alarm Manager.LNK = C:\Programme\Palm\AlarmApp.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/7.20.0003/OCI/setup.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152699139078
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\Eigene Dateien\Web\APACHE\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

danke für eure hilfe

lukin

Alt 25.11.2006, 19:46   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WORM/IRCBot.65536 in System Volume Information - Standard

WORM/IRCBot.65536 in System Volume Information



Zitat:
System Volume Information auf meiner d:-platte,
das ist meine daten-festplatte, also nicht die system-platte.
Die Dateien darin bekommst am einfachsten über die Deaktivierung der Systemwiederherstellung raus.
Zitat:
woran erkenne ich nun ob mein system noch verseucht ist oder nicht?
U.U. vllt. noch mit Rootkitaufspürern wie Blacklight oder Rootkit Detector. Die Frage aber ist, aber der IRC-BOT bei Dir im System aktiv war oder noch ist. Denn sobald der aktiv war, hat der das System kompromittiert. Dann MUSS es neu aufgesetzt werden. Aber nun zum Logfile:
Zitat:
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
Java sollte aktualisiert werden.
Zitat:
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PROMT6\PRMTIE\prmtie.dll
Sagt mir nichts. Dir?

Ich bin mir hier nicht ganz sicher. Wenn der nicht aktiv war, dann wundert mich das, dass der in den System Volume Information Ordner gekommen ist, und dann nur in den auf der Datenpartition. Vllt. ist es auch ein False-Positive.
Mach mal nen Check mit eScan (siehe Link in meiner Sig) und Blacklight. Poste die Ergebnisse.
__________________

__________________

Alt 26.11.2006, 02:56   #3
lukin
 
WORM/IRCBot.65536 in System Volume Information - Standard

WORM/IRCBot.65536 in System Volume Information



Hi,
vielen dank für die schnelle hilfe!!!

Zitat:
Zitat von cosinus Beitrag anzeigen
Die Dateien darin bekommst am einfachsten über die Deaktivierung der Systemwiederherstellung raus.

naja, mit der deaktivierung sind die dateien im system volume information - ordner nicht verschwunden, musste sie von hand rauslöschen.

U.U. vllt. noch mit Rootkitaufspürern wie Blacklight oder Rootkit Detector. Die Frage aber ist, aber der IRC-BOT bei Dir im System aktiv war oder noch ist. Denn sobald der aktiv war, hat der das System kompromittiert. Dann MUSS es neu aufgesetzt werden. Aber nun zum Logfile:

ok... gibt aber wohl kein programm was mir mit 100%iger sicherheit sagen kann ob er aktiv war oder noch ist?


Java sollte aktualisiert werden.

danke. ist geschehen.


Sagt mir nichts. Dir?

ne auch nich wirklich ... PROMT is ein übersetzungsprogramm... wahrscheinlich kann man eine toolbar in nen browser einbinden... brauch ich aber nich und hab das ding mit hijack gefixed.

Ich bin mir hier nicht ganz sicher. Wenn der nicht aktiv war, dann wundert mich das, dass der in den System Volume Information Ordner gekommen ist, und dann nur in den auf der Datenpartition. Vllt. ist es auch ein False-Positive.
Mach mal nen Check mit eScan (siehe Link in meiner Sig) und Blacklight. Poste die Ergebnisse.
also er war definitiv nur auf der daten-platte. escan und blacklite ergaben nichts. 'no hidden items found'
seit dem ich die datei von hand gelöscht hab, bekomme ich auch keine meldung von antivir mehr. ich frag mich auch wie er draufgekommen ist. dachte eigentlich ich bin gut abgesichert.
sollter eigentlich ne nummer sicher gehn und das system neu aufsetzen, aber das ist halt ein mega act, da es mein arbeits-rechner ist und ich darauf tonnenweise programme installiert hab, bis der wieder so eingerichtet ist , puuuh... das dauert tage... wenn du weisst was ich meine ... wäre schon cool wenn jetzt alles bereinigt wäre... wenn ich bloß sicher sein könnte dass er das system nicht kompromittiert hat

gruss und danke nochmal
__________________

Alt 26.11.2006, 16:54   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
WORM/IRCBot.65536 in System Volume Information - Standard

WORM/IRCBot.65536 in System Volume Information



IMHO ist es recht unwahrscheinlich, dass Dein System doch kompromittiert ist. Um noch etwas sicherer gehen zu können, wäre ein Virencheck von einem anderen System aus, z.B. mit BartPE oder du baust die Platte in einen anderen Rechner als Slave ein und lässt sie von einem definitiv sauberen OS aus checken.
Naja, hundertprozentige Sicherheit gibt es nunmal nicht.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu WORM/IRCBot.65536 in System Volume Information
abgesicherten modus, adobe, antivir, antivir meldet, avira, bho, booten, browser, computer, desktop, dll, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, logfile, monitor, rundll, senden, software, system, urlsearchhook, virus, windows, windows xp



Ähnliche Themen: WORM/IRCBot.65536 in System Volume Information


  1. Win xp, System Volume Information Virus
    Log-Analyse und Auswertung - 07.08.2013 (11)
  2. WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...
    Log-Analyse und Auswertung - 16.06.2011 (12)
  3. system volume information
    Plagegeister aller Art und deren Bekämpfung - 13.06.2009 (6)
  4. Trojaner in der System Volume Information
    Mülltonne - 27.12.2008 (0)
  5. Hilfe!WORM/generic in D://System Volume Information (Mit HJT LOG-FILE!)
    Log-Analyse und Auswertung - 16.08.2008 (8)
  6. System Volume Information infiziert?
    Log-Analyse und Auswertung - 13.05.2008 (4)
  7. System Volume Information
    Alles rund um Windows - 14.02.2008 (32)
  8. System Volume Information
    Log-Analyse und Auswertung - 25.07.2007 (1)
  9. System Volume Information
    Alles rund um Windows - 14.07.2007 (1)
  10. WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!!
    Plagegeister aller Art und deren Bekämpfung - 06.02.2007 (2)
  11. system volume information
    Plagegeister aller Art und deren Bekämpfung - 11.08.2006 (3)
  12. System Volume Information
    Alles rund um Windows - 03.06.2006 (1)
  13. System Volume Information
    Alles rund um Windows - 09.01.2006 (11)
  14. System Volume Information Löschen
    Alles rund um Windows - 25.06.2005 (6)
  15. System volume information
    Alles rund um Windows - 13.02.2005 (1)
  16. System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (4)
  17. System Volume Information??
    Plagegeister aller Art und deren Bekämpfung - 21.11.2004 (2)

Zum Thema WORM/IRCBot.65536 in System Volume Information - Hi, ich weiss, es gab schon einige posts hier die eine art dieses trojaners behandeln. Es gibt aber ein paar dinge die ich nicht ganz verstehe. AntiVir meldet diesen Wurm - WORM/IRCBot.65536 in System Volume Information...
Archiv
Du betrachtest: WORM/IRCBot.65536 in System Volume Information auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.