|
ich hab mir höchstwarhscheinlich einen Backdoor.IRC.SdBot gefangen... der sitzt laut einem scanner in der syscfg.exe und ipcl.exe von windows... ich weiß jedoch jetzt nicht wie ich weiter vorgehen muss, in den registrys is mir nix besonderes aufgefallen, weiß jemand, wie ich gegen diesen trojaner genau vorgehen muss? |
</font><blockquote>Zitat:</font><hr />Original erstellt von ocr-SkY: ich hab mir höchstwarhscheinlich einen Backdoor.IRC.SdBot gefangen... der sitzt laut einem scanner in der syscfg.exe und ipcl.exe von windows... </font>[/QUOTE]Das ist ein "Standard" SDBot. Du kannst dich ja mal hier ein wenig schlaulesen: http://www.virusbtn.com/resources/vg...AHI+&product=0 Du kannst die Dateien ja mal umbenennen und sehen, ob Windows beim Booten eine nicht mehr vorhandene Datei meldet. Vieleicht kann dir hier jemand einen Tip geben, wie man IRC-Clients einigermasen sicher macht. |
thx raman...aber wie soll ich nun vorgehen? ich weiß nicht wie ich den trojaner entfernen soll |
</font><blockquote>Zitat:</font><hr />Original erstellt von ocr-SkY: ...aber wie soll ich nun vorgehen? </font>[/QUOTE]Wie beschrieben: Benenn die beiden Dateien um und starte Dein System neu! Gorgo |
die dateien lassen sich nicht umbenennen, zugriff wird verweigert |
File C:\WINDOWS\system32\ipcl32.exe is infected with: BackDoor.IRC.Sdbot.based File C:\WINDOWS\system32\syscfg32.exe is infected with: BackDoor.IRC.Sdbot.based Diese Dateien sind das... |
ot scanning C:\Programme\ICQ\Sounds\Online.wav, because it caused a fatal error on the previous attempt. There exists a possibility that the file could be a threat, but there is no way to know for sure Not scanning C:\Programme\NoNameScript\logs\xan_wc3.log, because it caused a fatal error on the previous attempt. There exists a possibility that the file could be a threat, but there is no way to know for sure. |
Installier mal Trojancheck und poste die Liste der Autostart Einträge und die der laufenden Prozesse. Gorgo |
das mit dem namen ändern und neustarten hat nun geklappt windows hat net nach den dateien gefragt..was bedeutet das nun? ok habe das programm installed..aber es gibt keine möglichkeit für copy and paste, wie soll ich ein hier reinbringen? |
yeah ich hab was gefunden und hclasses root bei HCP war nicht der standarteintrag "%1" sondern nen verweis auf ne systemdatei im windows ordner...ich denke das wars! |
der verweis der HTA file in der registry ging immer zu einer datei namens mshta.exe in windows/sys32 kann mir jemand sagen, ob diese datei wichtig ist oder nicht? |
</font><blockquote>Zitat:</font><hr />Original erstellt von ocr-SkY: was bedeutet das nun?</font>[/QUOTE]Das windows die Dateien nicht beim starten ausgefuehrt hat. Ich kene mich nicht so gut mit IRC-Clients aus, aber es besteht die Moeglichkeit, das sie erst durch den Client gestartet werden. Bieten IRC(MIRC)-Clients nicht eine eigene Scrpitsprache? </font><blockquote>Zitat:</font><hr />ok habe das programm installed..aber es gibt keine möglichkeit für copy and paste, wie soll ich ein hier reinbringen?</font>[/QUOTE]Dann sag was dabei herausgekommen ist? BTW: Was sagt dein Scanner? Was fuer einer ist es denn und wie aktuell ist er. |
unter registry-shell spawning stimmt etwas nicht..dort sagt TROJAN CHECK, dass die HTA file nicht mit diesem "%1" bezeichnet ist sondern einen verweis auf C:\windows\system32\mshta.exe hat... das ist doch net normal oder?... ich hab jetzt grade versucht diesen verweis wieder auf standart zu setzen also auf "%1" , aber der trojancheck zeigt immer noch diesen verweis an was nun? |
Unter Autostart gibt es einen Button Report - kannst Du bitte diesen Report hier mal posten? mshta.exe ist eine Datei die zum System von Windows gehört. Gorgo |
rofl einfügen funktioniert hier net.. und nen button zum datei anhängen finde ich net.. |
Report mit der Maus markieren - rechte Maustaste -> kopieren -> am besten kurz in den Editor einfügen und etwas in Form bringen und dann wieder copy and paste! ;) Gorgo |
- Standardeinträge Hauptschlüssel (Rootkey) Schlüssel Wert Inhalt HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run ATIPTA C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run DrWebScheduler "C:\Programme\DrWeb for Windows\drwebscd.exe" HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run WebScan C:\Programme\Acceleration Software\Anti-Virus\defscangui.exe -k HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run THGuard "C:\Programme\TrojanHunter 2.5\TH_Guard.exe" HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run winnet C:\PROGRA~1\COMMON~1\Toolbar\winnet.exe Top Registry - Shell Spawning Hauptschlüssel (Rootkey) Schlüssel Wert Inhalt HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %* HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %* HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %* HKEY_CLASSES_ROOT \htafile\Shell\open\Command "%1" %* HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %* Top Registry - Active Setup Hauptschlüssel (Rootkey) Schlüssel Wert Inhalt HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS StubPath RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} StubPath HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub.NT HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED} StubPath %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA844-CC51-11CF-AAFA-00AA00B6015C} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\CChat25.inf,PerUserAdd.NT HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.Install.PerUser HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340} StubPath regsvr32.exe /s /n /i:U shell32.dll HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383} StubPath %SystemRoot%\System32\ie4uinit.exe HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} StubPath %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E} StubPath rundll32 iesetup.dll,IEAccessUserInst Top Registry - Virtuelle Gerätetreiber (VxD) Hauptschlüssel (Rootkey) Schlüssel Wert Inhalt HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\JAVASUP StaticVxD JAVASUP.VXD Top Registry - ICQ Net Hauptschlüssel (Rootkey) Schlüssel Wert Inhalt Top Autostart - Standardeinträge Pfad Dateiname Link zu C:\Dokumente und Einstellungen\SkY\Startmenü\Programme\Autostart\ desktop.ini desktop.ini C:\Dokumente und Einstellungen\SkY\Startmenü\Programme\Autostart\ iMesh.lnk C:\Programme\iMesh\Client\iMeshClient.exe C:\Dokumente und Einstellungen\SkY\Startmenü\Programme\Autostart\ T-Online.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ desktop.ini desktop.ini Top INI Dateien Dateiname Wert Inhalt C:\WINDOWS\win.ini load C:\WINDOWS\system.ini shell Explorer.exe Top Batch und Text Dateien Dateiname Inhalt c:\msdos.sys Kein Inhalt c:\autoexec.bat Kein Inhalt c:\config.sys Kein Inhalt C:\WINDOWS\wininit.ini [Rename] NUL=c:\windows\wininit.ini c:\autoexec.bat Kein Inhalt Top EXPLORER.EXE in C:\ Pfad |
</font><blockquote>Zitat:</font><hr />C:\Dokumente und Einstellungen\SkY\Startmenü\Programme\Autostart\ iMesh.lnk C:\Programme\iMesh\Client\iMeshClient.exe </font>[/QUOTE]Damit kann ich nichts anfangen, weisst Du, was das für ein Programm ist? Benutzt Du Filesharingprogramme? Gorgo |
yo imesh ist sowas ähnliches wie kaazaa |
aber jetzt mal konkret. der virus sitzt in den beiden dateien, die ich oben genannt hab...was muss isch nu tun :( ich hab zu dem virus versucht woanders hilfestellungen zu finden gab aber keine, ist wohl noch zu aktuell |
Hallo! Beende mit Hilfe von Trojancheck die beiden aktiven Prozesse der genannten Dateien, und lösche sie dann. |
naja und wenn sie wichtig für das einwandfreie funktionieren von windows sind? ^^ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board