Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor WIN32.IRCBot.glo!A2

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.03.2009, 15:43   #1
~Snoopy~
 
Backdoor WIN32.IRCBot.glo!A2 - Standard

Backdoor WIN32.IRCBot.glo!A2



Hallo!

Ich habe ein Problem!
Unzwar habe ich gestern Abend mit a-sqared Free einen vollständigen Detailscan durchgeführt! Es wurden 5 Dateien gefunden, 3 davon (hohes Risiko). Als der Scan abgeschlossen war, teilte mir a-sqared free mit, das 3 sehr schädliche Sachen auf meinem Rechner sind, und ich die in Quarantäne schieben soll, damit sie gelöscht werden können! Habe ich gemacht, jedoch hinterher komplett gelöscht! Das waren: Backdoor WIN32.IRCBot.glo!A2,(Er sitzt auf C/Programme/Net Meeting) Und hat sich trotz des löschens wieder selber hergestellt)!!!! Und Backdoor.Win32.Rbot.kos!A2!

Habe im Internet gelesen, das man sein System neu aufspielen soll, und seine Festplatte formatieren!



Hier das Ergebnis von Anti-Malware

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1894
Windows 5.1.2600 Service Pack 3

25.03.2009 12:11:10
mbam-log-2009-03-25 (12-11-08).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 92786
Laufzeit: 30 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\explorer.backup (Heuristics.Reserved.Word.Exploit) -> No action taken.




Hier Ergebnis von ComboFix:


ComboFix 09-03-23.01 - Administrator 2009-03-25 12:18:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1279.635 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.BIE.000\Desktop\ComboFix.exe
AV: Avira Premium Security Suite *On-access scanning disabled* (Updated)
AV: Avira Premium Security Suite *On-access scanning enabled* (Outdated)
FW: Avira Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winxp\system32\mpg4c32.dll
c:\winxp\system32\sysdm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-25 bis 2009-03-25 ))))))))))))))))))))))))))))))
.

2009-03-25 11:37 . 2009-03-25 11:38 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-25 11:37 . 2009-02-11 10:19 38,496 --a------ c:\winxp\system32\drivers\mbamswissarmy.sys
2009-03-25 11:37 . 2009-02-11 10:19 15,504 --a------ c:\winxp\system32\drivers\mbam.sys
2009-03-25 11:33 . 2009-03-25 11:33 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\IECompatCache
2009-03-25 11:31 . 2009-03-25 11:31 <DIR> d-------- c:\programme\CCleaner
2009-03-25 10:29 . 2009-03-25 10:29 <DIR> d-------- C:\fsaua.data
2009-03-25 10:19 . 2009-03-25 10:19 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\PrivacIE
2009-03-25 10:17 . 2009-03-25 10:17 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 10:17 . 2009-03-25 10:17 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-25 10:16 . 2009-03-25 10:16 <DIR> d--hs---- c:\dokumente und einstellungen\Administrator.BIE.000\IETldCache
2009-03-25 10:12 . 2009-03-25 10:12 <DIR> d-------- c:\winxp\ie8updates
2009-03-25 10:09 . 2009-03-25 10:11 <DIR> d--h-c--- c:\winxp\ie8
2009-03-25 10:09 . 2009-02-28 05:55 105,984 -----c--- c:\winxp\system32\dllcache\iecompat.dll
2009-03-22 15:03 . 2009-03-08 22:27 102,664 --a------ c:\winxp\system32\drivers\tmcomm.sys
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\winxp\VistaMizer ExpansionPack
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\WinFlip
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VSE7
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VisualTaskTips
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\VistaDriveIcon
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\TrueTransparency
2009-03-22 13:29 . 2009-03-22 17:34 <DIR> d-------- c:\programme\Thoosje Vista Sidebar
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\QTAddressBar
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\glass2k
2009-03-22 13:29 . 2009-03-22 13:29 <DIR> d-------- c:\programme\Blaero Start Orb
2009-03-22 13:24 . 2009-03-22 13:24 8,294,454 --a------ c:\winxp\startup.bmp
2009-03-22 13:18 . 2009-03-22 13:24 <DIR> d-------- c:\winxp\VistaMizer
2009-03-22 12:53 . 2009-03-22 12:57 <DIR> d-------- c:\winxp\VCP_TEMP
2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\winxp\VCP_SAVE
2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\programme\Wallpapers
2009-03-22 12:53 . 2009-03-22 12:53 <DIR> d-------- c:\programme\Fonts
2009-03-22 12:53 . 2005-09-28 02:31 49,152 --a------ c:\winxp\system32\icon.exe
2009-03-22 12:17 . 2009-03-22 12:17 <DIR> d-------- c:\programme\Stardock
2009-03-22 10:51 . 2009-03-22 10:51 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Styler
2009-03-22 10:46 . 2009-03-22 10:52 <DIR> d-------- c:\programme\Styler
2009-03-22 10:44 . 2008-04-14 13:00 219,136 --a------ c:\winxp\system32\uxtheme.uxtender
2009-03-22 10:34 . 2009-03-25 09:41 <DIR> d-------- c:\programme\AskBarDis
2009-03-22 10:34 . 2009-03-22 10:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
2009-03-22 10:34 . 2009-03-25 00:25 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Azureus
2009-03-22 10:33 . 2009-03-22 10:33 <DIR> d-------- c:\programme\Vuze
2009-03-22 10:30 . 2009-03-22 10:29 73,728 --a------ c:\winxp\system32\javacpl.cpl
2009-03-21 21:07 . 2009-03-22 10:19 <DIR> d-------- c:\programme\BearShare
2009-03-21 19:05 . 2009-03-21 19:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Media Player Classic
2009-03-21 19:04 . 2009-03-21 19:05 <DIR> d-------- c:\programme\K-Lite Codec Pack
2009-03-21 19:04 . 2004-10-14 08:33 2,024,448 --a------ c:\winxp\system32\divx.dll
2009-03-21 17:20 . 2009-03-21 21:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\eMule
2009-03-20 21:06 . 2009-03-20 21:06 <DIR> d-------- c:\programme\Win7codecs
2009-03-20 21:05 . 2009-03-20 21:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Win7codecs
2009-03-20 20:46 . 2009-03-20 20:46 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\DivX
2009-03-13 20:46 . 2009-03-24 23:11 <DIR> d-------- c:\programme\a-squared Free
2009-03-11 07:10 . 2008-04-14 13:00 221,184 --a------ c:\winxp\system32\wmpns.dll
2009-03-08 22:27 . 2009-03-25 11:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\.housecall6.6
2009-03-08 19:51 . 2009-03-08 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2009-03-08 14:29 . 2009-03-08 14:29 1,302,528 --------- c:\winxp\system32\ieframe.dll.mui
2009-03-08 14:29 . 2009-03-08 14:29 57,344 --------- c:\winxp\system32\msrating.dll.mui
2009-03-08 14:28 . 2009-03-08 14:28 2,560 --------- c:\winxp\system32\mshta.exe.mui
2009-03-08 14:27 . 2009-03-08 14:27 81,920 --------- c:\winxp\system32\iedkcs32.dll.mui
2009-03-08 14:27 . 2009-03-08 14:27 4,096 --------- c:\winxp\system32\ie4uinit.exe.mui
2009-03-08 14:09 . 2009-03-08 14:09 638,816 -----c--- c:\winxp\system32\dllcache\iexplore.exe
2009-03-08 14:09 . 2009-03-08 14:09 391,536 -----c--- c:\winxp\system32\dllcache\iedkcs32.dll
2009-03-08 11:30 . 2009-03-08 11:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\3A3D8
2009-03-08 04:41 . 2009-03-08 04:41 5,937,152 -----c--- c:\winxp\system32\dllcache\mshtml.dll
2009-03-08 04:34 . 2009-03-08 04:34 1,469,440 -----c--- c:\winxp\system32\dllcache\inetcpl.cpl
2009-03-08 04:34 . 2009-03-08 04:34 1,206,784 -----c--- c:\winxp\system32\dllcache\urlmon.dll
2009-03-08 04:34 . 2009-03-08 04:34 914,944 -----c--- c:\winxp\system32\dllcache\wininet.dll
2009-03-08 04:34 . 2009-03-08 04:34 236,544 -----c--- c:\winxp\system32\dllcache\webcheck.dll
2009-03-08 04:34 . 2009-03-08 04:34 193,536 -----c--- c:\winxp\system32\dllcache\msrating.dll
2009-03-08 04:34 . 2009-03-08 04:34 109,568 -----c--- c:\winxp\system32\dllcache\occache.dll
2009-03-08 04:34 . 2009-03-08 04:34 105,984 -----c--- c:\winxp\system32\dllcache\url.dll
2009-03-08 04:34 . 2009-03-08 04:34 43,008 -----c--- c:\winxp\system32\dllcache\licmgr10.dll
2009-03-08 04:33 . 2009-03-08 04:33 759,296 -----c--- c:\winxp\system32\dllcache\VGX.dll
2009-03-08 04:33 . 2009-03-08 04:33 726,528 -----c--- c:\winxp\system32\dllcache\jscript.dll
2009-03-08 04:33 . 2009-03-08 04:33 420,352 -----c--- c:\winxp\system32\dllcache\vbscript.dll
2009-03-08 04:33 . 2009-03-08 04:33 229,376 -----c--- c:\winxp\system32\dllcache\ieaksie.dll
2009-03-08 04:33 . 2009-03-08 04:33 125,952 -----c--- c:\winxp\system32\dllcache\ieakeng.dll
2009-03-08 04:33 . 2009-03-08 04:33 25,600 -----c--- c:\winxp\system32\dllcache\jsproxy.dll
2009-03-08 04:33 . 2009-03-08 04:33 18,944 -----c--- c:\winxp\system32\dllcache\corpol.dll
2009-03-08 04:32 . 2009-03-08 04:32 611,840 -----c--- c:\winxp\system32\dllcache\mstime.dll
2009-03-08 04:32 . 2009-03-08 04:32 173,056 -----c--- c:\winxp\system32\dllcache\ie4uinit.exe
2009-03-08 04:32 . 2009-03-08 04:32 163,840 -----c--- c:\winxp\system32\dllcache\ieakui.dll
2009-03-08 04:32 . 2009-03-08 04:32 128,512 -----c--- c:\winxp\system32\dllcache\advpack.dll
2009-03-08 04:32 . 2009-03-08 04:32 94,720 -----c--- c:\winxp\system32\dllcache\inseng.dll
2009-03-08 04:32 . 2009-03-08 04:32 72,704 -----c--- c:\winxp\system32\dllcache\admparse.dll
2009-03-08 04:32 . 2009-03-08 04:32 71,680 -----c--- c:\winxp\system32\dllcache\iesetup.dll
2009-03-08 04:32 . 2009-03-08 04:32 55,808 -----c--- c:\winxp\system32\dllcache\iernonce.dll
2009-03-08 04:31 . 2009-03-08 04:31 1,638,912 -----c--- c:\winxp\system32\dllcache\mshtml.tlb
2009-03-08 04:31 . 2009-03-08 04:31 348,160 -----c--- c:\winxp\system32\dllcache\dxtmsft.dll
2009-03-08 04:31 . 2009-03-08 04:31 216,064 -----c--- c:\winxp\system32\dllcache\dxtrans.dll
2009-03-08 04:31 . 2009-03-08 04:31 183,808 -----c--- c:\winxp\system32\dllcache\iepeers.dll
2009-03-08 04:31 . 2009-03-08 04:31 66,560 -----c--- c:\winxp\system32\dllcache\mshtmled.dll
2009-03-08 04:31 . 2009-03-08 04:31 48,128 -----c--- c:\winxp\system32\dllcache\mshtmler.dll
2009-03-08 04:31 . 2009-03-08 04:31 46,592 -----c--- c:\winxp\system32\dllcache\pngfilt.dll
2009-03-08 04:31 . 2009-03-08 04:31 45,568 -----c--- c:\winxp\system32\dllcache\mshta.exe
2009-03-08 04:31 . 2009-03-08 04:31 34,816 -----c--- c:\winxp\system32\dllcache\imgutil.dll
2009-03-08 04:30 . 2009-03-08 04:30 66,560 -----c--- c:\winxp\system32\dllcache\tdc.ocx
2009-03-08 04:24 . 2009-03-08 04:24 68,608 -----c--- c:\winxp\system32\dllcache\hmmapi.dll
2009-03-08 04:22 . 2009-03-08 04:22 156,160 -----c--- c:\winxp\system32\dllcache\msls31.dll
2009-03-05 13:29 . 2009-03-08 22:19 <DIR> d-------- c:\programme\Common Files
2009-03-05 13:22 . 2009-03-08 22:28 <DIR> d-------- c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\tor
2009-03-02 19:10 . 2009-03-02 19:10 67,584 --a------ c:\winxp\system32\ff_vfw.dll
2009-03-02 12:29 . 2009-03-02 12:29 505,128 --a------ c:\winxp\system32\msvcp71.dll
2009-03-02 12:29 . 2009-03-02 12:29 353,576 --a------ c:\winxp\system32\msvcr71.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 20:36 --------- d-----w c:\programme\Google
2009-03-09 16:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-08 17:44 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-08 17:43 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-02-19 17:00 --------- d-----w c:\programme\Windows Live
2009-02-19 16:59 --------- d-----w c:\programme\Windows Live SkyDrive
2009-02-04 17:36 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Leadertech
2009-02-04 17:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2009-02-04 09:41 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Nokia Multimedia Player
2009-02-03 14:43 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Datalayer
2009-02-03 14:41 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Nokia
2009-02-03 14:37 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\AdobeUM
2009-02-03 14:29 --------- d-----w c:\programme\DIFX
2009-02-03 14:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-02-03 14:29 --------- d-----w c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\PC Suite
2008-12-28 19:12 737,280 ----a-w c:\winxp\iun6002.exe
2008-06-04 17:25 84,418 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-06-03 11:33 16,384 --sha-w c:\winxp\system32\config\systemprofile\Cookies\index.dat
2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2008-06-03 11:33 32,768 --sha-w c:\winxp\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060320080604\index.dat
.

------- Sigcheck -------

2008-04-14 13:00 589312 bf517c3fa60065df6d97744648602957 c:\winxp\system32\user32.dll
2008-04-14 13:00 580096 b0050cc5340e3a0760dd8b417ff7aebd c:\winxp\VistaMizer\old\user32.dll

2008-04-14 13:00 552448 ad37df3fb8f168e42c09b77b487f6812 c:\winxp\system32\winlogon.exe
2008-04-14 13:00 513024 f09a527b422e25c478e38caa0e44417a c:\winxp\VistaMizer\old\winlogon.exe

2008-08-14 19:22 2068352 c789b5aea9ab71c5bef6dd568f744842 c:\winxp\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
2008-08-14 14:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\winxp\Driver Cache\i386\ntkrnlpa.exe
2008-08-14 14:19 2325632 a076cfede0cf47fa54ea053d854541cd c:\winxp\system32\ntkrnlpa.exe
2008-08-14 14:19 2068352 326c258774eb791e78fea8a9e14d5c3e c:\winxp\VistaMizer\old\ntkrnlpa.exe

2008-08-14 19:22 2191488 59282efe7147c011530e51ff92ba86ac c:\winxp\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
2008-08-14 14:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\winxp\Driver Cache\i386\ntoskrnl.exe
2008-08-14 14:19 2448768 e9a2ba9155ea7a7b19e6130dbe9e629b c:\winxp\system32\ntoskrnl.exe
2008-08-14 14:19 2191488 934fbea25f8de017abfc6169b8446d94 c:\winxp\VistaMizer\old\ntoskrnl.exe

2008-04-14 13:00 1555456 8715ec841e2b29fb2f2c03f47360e99b c:\winxp\explorer.exe
2008-04-14 13:00 1036800 418045a93cd87a352098ab7dabe1b53e c:\winxp\VCP_SAVE\explorer.exe
2008-04-14 13:00 4922880 5c68baa6d3a3a4e8892abb1a878eacf9 c:\winxp\VCP_TEMP\explorer.exe
2008-04-14 13:00 4922880 5c68baa6d3a3a4e8892abb1a878eacf9 c:\winxp\VistaMizer\old\explorer.exe

2008-04-14 13:00 25088 7270f0b822cb67f0c32bef7fb00ca4d4 c:\winxp\system32\ctfmon.exe
2008-04-14 13:00 15360 01b4e6e990b6c5ea8856d96c7fd044b2 c:\winxp\VistaMizer\old\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-26 68856]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2008-04-14 25088]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"VisualTaskTips"="c:\programme\VisualTaskTips\VisualTaskTips.exe" [2008-06-22 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-22 148888]
"DrvIcon"="c:\programme\VistaDriveIcon\DrvIcon.exe" [2008-04-13 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

c:\dokumente und einstellungen\Administrator.BIE.000\Startmen\Programme\Autostart\
Styler.lnk - c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2009-03-22 15086]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BearShare"="c:\programme\BearShare\BearShare.exe" /pause

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\Programme\\Alice Software\\AliceEinwahl.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009

R1 avfwot;avfwot;c:\winxp\system32\drivers\avfwot.sys [2008-07-22 71592]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-07-22 344321]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-22 164097]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\avwebgrd.exe [2008-07-22 258305]
R2 ASKService;ASKService;c:\programme\AskBarDis\bar\bin\AskService.exe [2009-03-22 464264]
R2 ASKUpgrade;ASKUpgrade;c:\programme\AskBarDis\bar\bin\ASKUpgrade.exe [2009-03-22 234888]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-07-22 41217]
R3 avfwim;AvFw Packet Filter Miniport;c:\winxp\system32\drivers\avfwim.sys [2008-07-22 71464]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe --> c:\programme\NOS\bin\getPlus_HelperSvc.exe [?]
S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" --> c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\winxp\system32\rundll32.exe" "c:\winxp\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\programme\AskBarDis\bar\bin\askBar.dll
BHO-{74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - c:\programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\programme\AskBarDis\bar\bin\askBar.dll
HKCU-Run-TuneUp MemOptimizer - c:\programme\TuneUp Utilities 2009\MemOptimizer.exe
HKCU-Run-PcSync - c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe
HKCU-Run-Vidalia - c:\programme\Vidalia Bundle\Vidalia\vidalia.exe
HKCU-Run-ICQ - c:\programme\ICQLite\ICQ.exe
HKLM-Run-Adobe Photo Downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
HKLM-Run-BearShare - c:\programme\BearShare\BearShare.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.bearshare.com/de/
uInternet Connection Wizard,ShellNext = iexplore
LSP: avsda.dll
TCP: {0244F007-DB83-4C2A-BB9F-E2ADB6B2A270} = 213.191.74.11 213.191.92.82
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.BIE.000\Anwendungsdaten\Mozilla\Firefox\Profiles\3dpdnlqm.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
FF - plugin: c:\programme\Win7codecs\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\Win7codecs\rm\browser\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 12:23:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1214440339-2146953373-1547161642-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b4,c5,cb,56,d2,33,42,45,ac,33,0b,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b4,c5,cb,56,d2,33,42,45,ac,33,0b,\

[HKEY_USERS\S-1-5-21-1214440339-2146953373-1547161642-500\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1224)
c:\winxp\system32\SETUPAPI.dll
c:\winxp\system32\sfc_os.dll
c:\winxp\system32\COMRes.dll
c:\winxp\system32\cscui.dll

- - - - - - - > 'lsass.exe'(1304)
c:\winxp\system32\SETUPAPI.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\Avira Premium Security Suite\sched.exe
c:\programme\a-squared Free\a2service.exe
c:\programme\Avira\Avira Premium Security Suite\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\winxp\system32\WgaTray.exe
c:\programme\Styler\Styler.exe
c:\winxp\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-25 12:25:50 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2009-03-25 11:25:46

Vor Suchlauf: 12 Verzeichnis(se), 67.633.278.976 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 67,756,871,680 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

288 --- E O F --- 2009-03-13 14:02:07

Alt 25.03.2009, 15:44   #2
~Snoopy~
 
Backdoor WIN32.IRCBot.glo!A2 - Standard

Backdoor WIN32.IRCBot.glo!A2



Hier das Ergebnis HJT:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:33:48, on 25.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\AskBarDis\bar\bin\AskService.exe
C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\WgaTray.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINXP\System32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Styler\Styler.exe
C:\WINXP\explorer.exe
C:\Programme\Alice Software\AliceEinwahl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (file missing)
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [VisualTaskTips] "C:\Programme\VisualTaskTips\VisualTaskTips.exe" noTrayIcon
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Styler.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0244F007-DB83-4C2A-BB9F-E2ADB6B2A270}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programme\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 7241 bytes
__________________


Alt 25.03.2009, 17:04   #3
~Snoopy~
 
Backdoor WIN32.IRCBot.glo!A2 - Standard

Backdoor WIN32.IRCBot.glo!A2



Kann mir denn keiner helfen? Ich muss dringend Online Banking machen, was ich jetzt bestimmt nicht tun werde!
__________________

Antwort

Themen zu Backdoor WIN32.IRCBot.glo!A2
0 bytes, administrator, avira, backdoor, combofix, components, content.ie5, desktop, downloader, einstellungen, festplatte, festplatte formatieren, firefox, firewall, helper, heuristics.reserved.word.exploit, installation, internet, internet explorer, jusched.exe, laufende prozesse, mozilla, neu, opera, photoshop, preferences, problem, registrierungsschlüssel, richtlinie, rundll, security, security suite, software, suchlauf, system, system neu, windows recovery, windows xp, wmp



Ähnliche Themen: Backdoor WIN32.IRCBot.glo!A2


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  3. Spam-Mails Delivery failed; rojan.Win32.Jorik.IRCbot.qwg
    Überwachung, Datenschutz und Spam - 27.08.2012 (8)
  4. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  5. Win32/IRCBot.JWAPGDK trojan
    Log-Analyse und Auswertung - 24.02.2012 (7)
  6. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  7. Backdoor:Win32/IRCbot.gen!M und Win32/Oficla.V
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  8. JAVA/Bytverify.I.1 und Backdoor.Win32.IRCBot!IK gefunden
    Plagegeister aller Art und deren Bekämpfung - 06.10.2010 (5)
  9. Trojaner (via msn): Backdoor:Win32/IRCbot.gen!M
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (7)
  10. Backdoor:Win32/IRCbot.gen!M
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (1)
  11. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  12. Escan findet wieder "backdoor (ircbot) trojans"
    Plagegeister aller Art und deren Bekämpfung - 15.04.2008 (13)
  13. Benötige Hilfe zur Entfernung von: backdoor ircbot ; ezula etc.
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (9)
  14. Backdoor (ircbot)???, Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 07.12.2007 (20)
  15. Help! Backdoor Worm/IRCBot.
    Plagegeister aller Art und deren Bekämpfung - 05.08.2007 (10)
  16. Backdoor.Win32.IRCBot.acu über MSN images.zip
    Plagegeister aller Art und deren Bekämpfung - 01.08.2007 (6)
  17. HijackThis file OK? Win32:Ircbot-BAX [Wrm]
    Log-Analyse und Auswertung - 18.06.2007 (2)

Zum Thema Backdoor WIN32.IRCBot.glo!A2 - Hallo! Ich habe ein Problem! Unzwar habe ich gestern Abend mit a-sqared Free einen vollständigen Detailscan durchgeführt! Es wurden 5 Dateien gefunden, 3 davon (hohes Risiko). Als der Scan abgeschlossen - Backdoor WIN32.IRCBot.glo!A2...
Archiv
Du betrachtest: Backdoor WIN32.IRCBot.glo!A2 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.