ich hab mir höchstwarhscheinlich einen Backdoor.IRC.SdBot gefangen... der sitzt laut einem scanner in der syscfg.exe und ipcl.exe von windows...
ich weiß jedoch jetzt nicht wie ich weiter vorgehen muss, in den registrys is mir nix besonderes aufgefallen, weiß jemand, wie ich gegen diesen trojaner genau vorgehen muss?

</font><blockquote>Zitat:</font><hr />Original erstellt von ocr-SkY:
ich hab mir höchstwarhscheinlich einen Backdoor.IRC.SdBot gefangen... der sitzt laut einem scanner in der syscfg.exe und ipcl.exe von windows... </font>[/QUOTE]Das ist ein "Standard" SDBot. Du kannst dich ja mal hier ein wenig schlaulesen: http://www.virusbtn.com/resources/vg...AHI+&product=0

Du kannst die Dateien ja mal umbenennen und sehen, ob Windows beim Booten eine nicht mehr vorhandene Datei meldet. Vieleicht kann dir hier jemand einen Tip geben, wie man IRC-Clients einigermasen sicher macht.

thx raman...aber wie soll ich nun vorgehen? ich weiß nicht wie ich den trojaner entfernen soll

</font><blockquote>Zitat:</font><hr />Original erstellt von ocr-SkY:
...aber wie soll ich nun vorgehen? </font>[/QUOTE]Wie beschrieben: Benenn die beiden Dateien um und starte Dein System neu!

Gorgo

die dateien lassen sich nicht umbenennen, zugriff wird verweigert

File C:\WINDOWS\system32\ipcl32.exe is infected with: BackDoor.IRC.Sdbot.based
File C:\WINDOWS\system32\syscfg32.exe is infected with: BackDoor.IRC.Sdbot.based
Diese Dateien sind das...

ot scanning C:\Programme\ICQ\Sounds\Online.wav, because it caused a fatal error on the previous attempt. There exists a possibility that the file could be a threat, but there is no way to know for sure
Not scanning C:\Programme\NoNameScript\logs\xan_wc3.log, because it caused a fatal error on the previous attempt. There exists a possibility that the file could be a threat, but there is no way to know for sure.

Installier mal Trojancheck und poste die Liste der Autostart Einträge und die der laufenden Prozesse.

Gorgo

das mit dem namen ändern und neustarten hat nun geklappt windows hat net nach den dateien gefragt..was bedeutet das nun?
ok habe das programm installed..aber es gibt keine möglichkeit für copy and paste, wie soll ich ein hier reinbringen?

yeah ich hab was gefunden und hclasses root bei HCP war nicht der standarteintrag "%1"
sondern nen verweis auf ne systemdatei im windows ordner...ich denke das wars!

der verweis der HTA file in der registry ging immer zu einer datei namens mshta.exe in windows/sys32
kann mir jemand sagen, ob diese datei wichtig ist oder nicht?

</font><blockquote>Zitat:</font><hr />Original erstellt von ocr-SkY:
was bedeutet das nun?</font>[/QUOTE]Das windows die Dateien nicht beim starten ausgefuehrt hat. Ich kene mich nicht so gut mit IRC-Clients aus, aber es besteht die Moeglichkeit, das sie erst durch den Client gestartet werden. Bieten IRC(MIRC)-Clients nicht eine eigene Scrpitsprache?

</font><blockquote>Zitat:</font><hr />ok habe das programm installed..aber es gibt keine möglichkeit für copy and paste, wie soll ich ein hier reinbringen?</font>[/QUOTE]Dann sag was dabei herausgekommen ist?

BTW: Was sagt dein Scanner? Was fuer einer ist es denn und wie aktuell ist er.

unter registry-shell spawning stimmt etwas nicht..dort sagt TROJAN CHECK, dass die HTA file nicht mit diesem "%1" bezeichnet ist sondern einen verweis auf C:\windows\system32\mshta.exe hat... das ist doch net normal oder?... ich hab jetzt grade versucht diesen verweis wieder auf standart zu setzen also auf "%1" , aber der trojancheck zeigt immer noch diesen verweis an was nun?

Unter Autostart gibt es einen Button Report - kannst Du bitte diesen Report hier mal posten?

mshta.exe ist eine Datei die zum System von Windows gehört.

Gorgo

rofl einfügen funktioniert hier net.. und nen button zum datei anhängen finde ich net..