Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Worm/IrcBot.soq//Bitte um Hilfe!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.11.2007, 22:42   #1
Sykfire
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Hallo,

Ich habe einen Wurm auf meinem Rechner der sich zu verbreiten scheint,ohne das ich etwas dagegen tun kann!Brauche dringen Hilfe!Anti Vir hat ihn erkannt."Datei enthält Erkennungsmuster des Wurms:"WORM/IrcBot.soq".
Ich kann ihn nicht löschen!-Er liegt im dateipfad C:/System Volume Information/...A0005881.exe. Ich kann dieses Verzeichniss nicht finden und nicht darauf zugreifen!KAnn mir bitte jemand helfen!???
Danke im Voraus für schnelle Infos + Hilfe
Skyfire

Alt 20.11.2007, 23:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Hi,

Poste zur ersten groben Übersicht des Systems ein Hijackthis-Logfile.
__________________

__________________

Alt 20.11.2007, 23:17   #3
Skyfire2
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Ist mir etwas peinlich,aber irgendwas ist mit meiner anmeldung schiefgelaufen
Also das ist die Logfile,hoffe ich habe nichts vergessen!-

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:33, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\F-Group\Absolute StartUp\ASMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [Absolute StartUp monitor] C:\Programme\F-Group\Absolute StartUp\ASMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Absolute StartUp monitor] C:\Programme\F-Group\Absolute StartUp\ASMon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Comrade.exe] C:\Programme\GameSpy\Comrade\Comrade.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4245 bytes
__________________

Alt 20.11.2007, 23:37   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Das Logfile sieht normal aus. Lediglich Java könnte mal ein Update vertragen.
Führ mal für weitere Analysen folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.11.2007, 00:17   #5
Skyfire2
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Also hier nun die 2 Log Files , es wurden 2 Viren gefunden..:

Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in I\Shell\AutoRun\command: I:\Launch.exe
Executable Command Found in {5bcb18e6-86e8-11dc-80e9-806d6172696f}\Name\Shell\AutoRun\command: I:\Launch.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 29009
Gefundene Viren: 2
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 49
Dauer des Scans bisher: 00:09:41
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 0:14:58,85
Batchende: 0:15:09,07
:_______________________________________________________________



NÄCHSTE LOGFILE:


______________________________________________________________


52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Absolute StartUp monitor" = "C:\Programme\F-Group\Absolute StartUp\ASMon.exe" ["F-Group Software"]
"AlcoholAutomount" = ""C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount" ["Alcohol Soft Development Team"]
"Comrade.exe" = "C:\Programme\GameSpy\Comrade\Comrade.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Absolute StartUp monitor" = "C:\Programme\F-Group\Absolute StartUp\ASMon.exe" ["F-Group Software"]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FDMIECookiesBHO Class"
\InProcServer32\(Default) = "C:\Programme\Free Download Manager\iefdm2.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Anwendungsverwaltung, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}
ASP.NET State Service, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe" [MS]
Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\mspmsnsv.dll" [MS]}
InstallDriver Table Manager, IDriverT, ""C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe"" ["Macrovision Corporation"]
Netzwerkversorgungsdienst, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]}
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
StarWind AE Service, StarWindServiceAE, "C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe" ["Rocket Division Software"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]


---------- (launch time: 2007-11-21 00:07:22)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 148 seconds, including 4 seconds for message boxes)


Alt 21.11.2007, 17:01   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Zitat:
Dauer des Scans bisher: 00:09:41
escan/mwav lief nicht richtig durch, hat wohl nicht alles durchgescannt. Zehn Minuten sind nämlich ein wenig kurz, stell vor dem Scanvorgang sicher, dass auch zumindest alle wichtigen Bereiche überprüft werden.

Das Silentrunners-Logfile schau ich mir gleich mal an.
__________________
--> Worm/IrcBot.soq//Bitte um Hilfe!!

Alt 21.11.2007, 18:46   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Im Silentrunners hab ich nichts gesehen. Mach wie gesagt den mwav/escan nochmal richtig. Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.11.2007, 15:30   #8
Skyfire2
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Hi,

Ich lasse grade nochmal den kompletten Scan durchlaufen.Allerdings kam schon eine Fehlermeldung bezüglich der Trial Version."Ein Error wurde erkannt-kann aber nur mit der Vollversion behoben werden".Scan läuft aber trotzdem weiter.Was kann das sein..?Ich poste den Scan wenn er fertig ist und schicke den Rapid-Link.
Danke!
Sky

Alt 22.11.2007, 15:36   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Zitat:
"Ein Error wurde erkannt-kann aber nur mit der Vollversion behoben werden"
Das ist normal und kein Grund zur Panik, mwav/escan hat leider auch einige kleinere Nachteile und meldet eben einige Fehlalarme sowie auch angebliche Fehler in der Registry.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.11.2007, 19:20   #10
Skyfire2
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



So also der Scan hat 3 Stunden gedauert..BIn ich zu doof Dateien bei Rapidshare hochzuladen??Auf Rapidshare.de finde ich keinen Button.Nur Premium Account usw.?Wo mache ich das denn??

oh;-)habs schon es ist com..
der link für die logfile ist: RapidShare: 1-Click Webhosting


Danke für die Hilfe.-!

Alt 22.11.2007, 19:24   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Es muss nicht rapidshare sein. Du kannst auch Fileupload nehmen.

File-Upload.net - Ihr kostenloser File Hoster!

Edit: Ich seh grad, du hast die falsche Datei hochgeladen. Nicht das MWAV.LOG solltest du hochladen, sondern das listing.txt. Aus dem mwav/escan-Logfile filterst du mit der FIND.BAT relevante Einträge heraus, schau dazu mal in die escan-Anleitung.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.11.2007, 19:26   #12
Skyfire2
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



habs gefunde..grade editiert;-=)
:http://rapidshare.com/files/71536391/MWAV.LOG

Danke für die Hilfe.-

Alt 22.11.2007, 22:44   #13
Skyfire2
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



Oh..So das sollte jetzt das richtige sein hoffe ich!
Beruhigt mich ja nicht grade.."9 Viren gefunden".-!=?

RapidShare: 1-Click Webhosting
Danke

Alt 22.11.2007, 22:51   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Cool

Worm/IrcBot.soq//Bitte um Hilfe!!



Sorry, aber du hast wirklich selber schuld

Zitat:
Datei C:\Downloads\Crysis Keygen.RAR/Crysis_Keygen-Razor1911.exe infiziert von "Backdoor.Win32.Rbot.enj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
=> System neu aufsetzen und nie wieder executables aus dubiosen Quellen runterladen und ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.11.2007, 23:08   #15
Skyfire2
 
Worm/IrcBot.soq//Bitte um  Hilfe!! - Standard

Worm/IrcBot.soq//Bitte um Hilfe!!



omg was ist das denn...
mein bruder war wohl mal wieder am rechner
System neu aufsetzen..
gibts keine andere möglichkeit den loszuwerden?.

Antwort

Themen zu Worm/IrcBot.soq//Bitte um Hilfe!!
anti, anti vir, brauche, datei, dringen, dringen hilfe, enthält, hilfe!, hilfe!!, infos, löschen, nicht löschen, rechner, schei, schnelle, volume, wurm, zugreife, zugreifen



Ähnliche Themen: Worm/IrcBot.soq//Bitte um Hilfe!!


  1. Worm.Koobface - bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (32)
  2. kann trojaner WORM/IrcBot.49664.1 nicht entfernen aus Datei 1033v.exe (s.HJTLog)
    Log-Analyse und Auswertung - 07.05.2009 (1)
  3. Ich hab einen Virus (Worm/IrcBot.acu.1), kann es nicht löschen !
    Mülltonne - 22.11.2008 (0)
  4. netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  5. How to remove WORM/IrcBot.49664.2 ?
    Plagegeister aller Art und deren Bekämpfung - 25.11.2007 (1)
  6. Help! Backdoor Worm/IRCBot.
    Plagegeister aller Art und deren Bekämpfung - 05.08.2007 (10)
  7. Worm/IRCBot.857088 ???
    Plagegeister aller Art und deren Bekämpfung - 20.05.2007 (10)
  8. worm/ircbot.1195....
    Plagegeister aller Art und deren Bekämpfung - 08.04.2007 (3)
  9. WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!!
    Plagegeister aller Art und deren Bekämpfung - 06.02.2007 (2)
  10. WORM/IRCBot.65536 in System Volume Information
    Log-Analyse und Auswertung - 26.11.2006 (3)
  11. WORM/IRCBot.NW.36
    Plagegeister aller Art und deren Bekämpfung - 01.03.2006 (8)
  12. WORM Probleme. Bitte um Hilfe ! ! !
    Log-Analyse und Auswertung - 01.01.2006 (5)
  13. WORM/Alcra.B bitte hilfe
    Log-Analyse und Auswertung - 04.10.2005 (4)
  14. Nail.exe TR/Dldr.180Instal.1 und Worm/IRCBot.GT
    Plagegeister aller Art und deren Bekämpfung - 03.10.2005 (1)
  15. Worm/IRCBot
    Plagegeister aller Art und deren Bekämpfung - 11.07.2005 (9)
  16. problem Worm/IRCBot.53792xx
    Plagegeister aller Art und deren Bekämpfung - 06.04.2005 (1)
  17. WORM/IRCBot.76288.I
    Plagegeister aller Art und deren Bekämpfung - 10.09.2004 (2)

Zum Thema Worm/IrcBot.soq//Bitte um Hilfe!! - Hallo, Ich habe einen Wurm auf meinem Rechner der sich zu verbreiten scheint,ohne das ich etwas dagegen tun kann!Brauche dringen Hilfe!Anti Vir hat ihn erkannt."Datei enthält Erkennungsmuster des Wurms:"WORM/IrcBot.soq". Ich - Worm/IrcBot.soq//Bitte um Hilfe!!...
Archiv
Du betrachtest: Worm/IrcBot.soq//Bitte um Hilfe!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.