IRC.Kelebek
 

Hallo zusammen,

kennt wer o. a. angebliche Backdoor? Google gibt nicht viel her, hat die noch nen anderen Namen unter der sie vielleicht bekannter ist?

infekt gefunden mit e-scan, W2k, Bandy-script 6.3

danke für infos

Gruß

Daleth

Hallo Daleth,

Viren tragen verschiedene Alias-Namen. Troj/Ircfloo-A scheint einer der Alias-Namen zu sein: "Troj/Ircfloo-A is a backdoor Trojan for the Windows platform. The Trojan allows a malicious user remote access to an infected computer via the IRC network."

Deine Information ist sehr mager. Sei so nett und gib den File mit dem Dateinamen und der Datei-Endung an. Nenne uns das Ergebnis des eScan, wieviele Viren auf Deinem System gefunden worden sind und wie sie heißen.

kannst auch hier mal nachlesen
Vireninfo
http://www.cosgan.org/images/midi/liebe/a055.gif

Hi, danke schonmal,

hab mal den hijak log und die meldung von stop-sign gepostet, vielleicht fällt euch ja was auf, oder is das nen fehlalarm?



File c:\progra~1\mozilla\bandy\bandy-~1\bandy-~1.exe is infected with: IRC.Kelebek

Logfile of HijackThis v1.99.0
Scan saved at 19:31:01, on 14.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\winnt\System32\smss.exe
C:\winnt\system32\winlogon.exe
C:\winnt\system32\services.exe
C:\winnt\system32\lsass.exe
C:\winnt\system32\svchost.exe
C:\winnt\system32\spoolsv.exe
C:\PROGRA~1\SICHER~1\AVG6\avgserv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\winnt\system32\regsvc.exe
C:\winnt\system32\MSTask.exe
C:\winnt\system32\stisvc.exe
C:\winnt\system32\spool\ugplot\ugiipqd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe
C:\winnt\System32\WBEM\WinMgmt.exe
C:\winnt\system32\svchost.exe
C:\WINNT\system32\ZoneLabs\minilog.exe
C:\winnt\Explorer.EXE



C:\Programme\Sicherheit\AVG6\avgcc32.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sicherheit\ZoneAlarm\zapro.exe
C:\winnt\system32\ntvdm.exe
C:\Programme\Ontrack\PowerDesk\PDEXPLO.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\T_ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\Mozilla\mozilla.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\eAcceleration\eanthology.exe
C:\PROGRA~1\ACCELE~1\ANTI-V~1\STOPSI~1.EXE
C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe
C:\Programme\Ontrack\PowerDesk\PDExplo.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~~PDTEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://navigate.aol.de/redirect/goto...pecial_kinosp2
F2 - REG:system.ini: UserInit=C:\winnt\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Office\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVG_CC] C:\Programme\Sicherheit\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EanthologyApp] "C:\Programme\Gemeinsame Dateien\eAcceleration\eanthology.exe" /b Startup
O4 - HKLM\..\Run: [webscan] C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Sicherheit\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\Messenger\AIM\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\winnt\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\winnt\web\related.htm (file missing)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2101A94F-7A63-4A51-B7B0-740D7289F6C1}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{2101A94F-7A63-4A51-B7B0-740D7289F6C1}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\SICHER~1\AVG6\avgserv.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\winnt\System32\dmadmin.exe
O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe
O23 - Service: Unigraphics Plot Server (ugiipqd) - Unigraphics Solutions, Inc - C:\winnt\system32\spool\ugplot\ugiipqd.exe
O23 - Service: Unigraphics License Server (uglmd) - Macrovision Corporation - C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

@ Daleth

nicht sehr ergiebig, was man dazu findet an Information. Es scheint sich wohl um neue Malware zu handeln. Da ich nicht weiss, wie gefährlich dieser Trojaner ist, den Du auf Deinem System hast, kann ich nichts dazu sagen. Aber .. Du könntest diese Datei versenden, bitte:

--> sende sie bitte passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread und dem Kennwort "IRC.Kelebek". Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann. Wir würden gerne erfahren, um welche Malware es sich handelt, bei dieser

c:\progra~1\mozilla\bandy\bandy-~1\bandy-~1.exe is infected with: IRC.Kelebek

Dein Logfile zeigt zwar eine Menge - mir - unbekannter Programme, ist aber nicht auffällig.

--> Boote in den VGA Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\winnt\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\winnt\web\related.htm (file missing)

boote in den normalen Modus.

.. auf Weiteres müssen wir dann warten, bis *Christian* Deine Datei analysiert hat.

hi schadowdance,

werd den file morgen verschicken, kannste mir noch sagen was es mit den einträgen, die ich fixen soll aufsich hat?

THX

Daleth

@ Dalet

ja, die beiden Einträge sollte man fixen, auch dann, wenn die Files nicht unvollständig sind. Sie können möglicherweise Ad- oder Spyware anziehen. Die beiden Files auf Deinem System sind unvollständig: der File ist da, aber die Datei fehlt. Solche Einträge werden gelöscht.

Und "fixen" (löschen/entfernen) heisst, dass Du im Programm Hijack This ein Häkchen vor die Einträge machst .. schau mal da nach: HijackThis.