Trojaner-Board - mirc.exe backdoor

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - mirc.exe backdoor (https://www.trojaner-board.de/1301-mirc-exe-backdoor.html)

Ich habe jetzt Kaspersky als Anti Viren Schutz.

Wenn ich mIRC starte, dann warnt mich Kaspersky vor einem Backdoor.

Genaue Meldung:
Prozess: mirc.exe.\mirc.exe
Inriziert durch Virus: Backdoor.IRC:mlRC-based

Ich bin mir nicht sicher ob es sich wirklich um einen Backdoor Trojaner handelt oder nicht.
Wie soll ich micht jetzt verhalten ?

Trojaner Check wir den Trojaner nicht erkennen oder ?
Wie kann ich sehen ob der Trojaner aktiv ist oder nicht ?

mfg
Mister

Hi,

scanne die Datei doch mal mit anderen Scannern, z.b. OnlineScanner von RAV, bitdefender oder TrendMicro.

Oder schick sie ein an die entsprechenden AV-Firmen oder an virus@rokop-security.de zur Überprüfung
;)

---gerade gefunden----

mfg
Mister

Hallo!

mach doch mal einen kompletten Systemscan mit dem Kaspersky Scanner, und poste dann hier den vollständigen Report.

Du kannst natürlich auch den Onlinescan von bitdefender und/oder trendmicro nutzen. Es bietet sich jedoch an, erstmal die Meldung von KAV zu spezifizieren (siehe obiges Posting).

Trend Micro hat keine Malware gefunden .

Jedoch springt Kaspersky an und erkennt in meinem Temp Ordner (unter Dokumente) einen Optix 1.2 Trojaner.
Wieso findet Kav den Trojaner jetzt und nicht beim Scann vorher ??

Der komplette Scann Bericht folgt morgen.

mfg
Mister

KAV hat bei einem vollsätnigen Scann nichts gefunden .
Der Online Scann war auch erfloglos .
Was soll ich daraus jetzt schliessen ?

Schonmal eine danke für eure Hilfe [img]smile.gif[/img]

mfg
Mister

(Was sind Dropper? Welchen Prog zum scannen von meinen eigen Ports ist gut ??)

<blockquote>Zitat:<hr />Original erstellt von Mister:
KAV hat bei einem vollsätnigen Scann nichts gefunden .
Der Online Scann war auch erfloglos .
Was soll ich daraus jetzt schliessen ?[/QUOTE]Dann dürfte dein System höchstwahrscheinlich schädlingsfrei sein.

<blockquote>Zitat:<hr />(Was sind Dropper? Welchen Prog zum scannen von meinen eigen Ports ist gut ??) [/QUOTE]Dropper:Datei, die speziell erstellt wird, um einen Virus, Wurm oder Trojaner in ein System zu bringen. Die Datei kann ein anderer Dateityp sein als der Virus, Wurm oder Trojaner, der sie eingeführt hat.(Sophos)
Ein Programm, das einen Virus in sich transportiert und beim Ausführen den neuen Rechner infiziert.
Prog zum Scannen: Um den Portstatus anzuzeigen: "ActivePorts", "TCPView"
Fürs Scannen von extern: Klick mich , speziell die "Phase3".

Gruß
Der http://home.arcor.de/cheesebuerger/S...figuren/25.gif

Danke für die Infos.

Mir wurde von einem Umbekannten eine e-mail mit einer exe.Datei geschickt [img]graemlins/balla.gif[/img] :eek:

Ich habe keine Ahnung was das sein soll.
Will das zufällig wer testen ? Reizt mich irgendwie zu wissen was das ist [img]smile.gif[/img] .

mfg
Mister

<blockquote>Zitat:<hr />Original erstellt von Mister:

Mir wurde von einem Umbekannten eine e-mail mit einer exe.Datei geschickt
Ich habe keine Ahnung was das sein soll.
Will das zufällig wer testen ? [/QUOTE]Die Person hinter dieser Emailadresse: virus@rokop-security.de wird dir sicher mehr sagen koennen, wenn du Die Datei dahinschickst. [img]smile.gif[/img]

Eine .exe-Datei von einem Unbekannten.
Ich bin geneigt, mein linkes Ei darauf zu verwetten, dass die nicht ganz koscher ist :D
Du kannst die Datei bei Rokop testen lassen.
Dann weißt du, was damit los ist.
Gruß
Der http://home.arcor.de/cheesebuerger/S...figuren/25.gif

Edit: Man, raman, hier darf man aber auch keine Sekunde Zeit vergeuden... ;)

<blockquote>Zitat:<hr />Original erstellt von Mister:
Trend Micro hat keine Malware gefunden .

Jedoch springt Kaspersky an und erkennt in meinem Temp Ordner (unter Dokumente) einen Optix 1.2 Trojaner.
Wieso findet Kav den Trojaner jetzt und nicht beim Scann vorher ??[/QUOTE]1.) Benenne bitte den genauen Pfad (des besagten Temp-/Dokumentenordners!).
2.) Wie ist der KAV-Monitor konfiguriert, bzw. was hast du auf Nachfrage von KAV gewählt? Besagte Datei löschen?

<blockquote>Zitat:<hr />Original erstellt von Mister:
KAV hat bei einem vollsätnigen Scann nichts gefunden .
Der Online Scann war auch erfloglos .
Was soll ich daraus jetzt schliessen ?[/QUOTE]1.) Dass die Malware bereits vom KAV-Monitor gelöscht wurde.
2.) Dass sich die Malware nur inaktiv im Temp-Ordner befand, ohne Schaden anzurichten. Dies kann _auch_ eine Datei sein, die z.B. via E-Mail hereinkam.

Allerdings sollte geprüft werden, ob nicht ggf. eine Malware aktiv ist, die von KAV nicht erkannt wird. Dazu bemühe z.B. die Prozessviewer von Trojancheck, Adaware und/oder Spybot.

<blockquote>Zitat:<hr />Original erstellt von Mister:
Mir wurde von einem Umbekannten eine e-mail mit einer exe.Datei geschickt [img]graemlins/balla.gif[/img] :eek:

Ich habe keine Ahnung was das sein soll.
Will das zufällig wer testen ? Reizt mich irgendwie zu wissen was das ist [img]smile.gif[/img] [/QUOTE]1.) Die Datei unter keinen Umständen öffnen.
2.) Sie an jemanden zur Prüfung weiterleiten, der weiß, wie er sie "begutachten" kann, ohne Schaden zu erleiden oder welchen zu verursachen. Ein gutes Beispiel ist in der Tat rokop-security.

Vorteile: Man weiß, um welche Malware es sich handelt und somit, inwiefern ggf. deine aktuellen Probleme damit zu tun haben _könnten_. Auch würde undetected Malware auf diese Weise recht bald detected Malware werden. ;)

[ 03. Juli 2003, 01:47: Beitrag editiert von: mmk ]

Es handelte sich bei der exe um den I-Worm.Hybris.
[img]graemlins/balla.gif[/img]
Rokop hat keine 24 stunden für die Antwort gebraucht [img]graemlins/daumenhoch.gif[/img]

@ mmk

Was soll ich genau mit Trojaner Check machen ?
Die laufenden Prozesse untersuchen oder was genau ?
Ich verstehe Trojaner Check nicht so ganz :(

Ein paar komische Prozesse finde ich :
wie Z.B.
wTi[]
[System Prozess]
System WinLogon32Systen
+ noch ein paar Anwendungen . Ich kann jedoch nicht den Text kopieren . Könnte aber Screenshot schicken [img]smile.gif[/img] .

Ad Aware habe ich benutzt . Und die entsprechenden Datein gelöscht .

Was ist der Unterschied ziwschen Spybot und Ad Aware ?

mfg und dank
Mister

[ 03. Juli 2003, 14:39: Beitrag editiert von: Mister ]

<blockquote>Zitat:<hr />Original erstellt von Mister:
Was soll ich genau mit Trojaner Check machen ?
Die laufenden Prozesse untersuchen oder was genau ?
Ich verstehe Trojaner Check nicht so ganz :( [/QUOTE]Mit Trojancheck kannman sowohl die laufenden Prozesse, als auch die Autostart-Punkte des Systems überprüfen und - bei entsprechender Einstellung - bei Veränderungen der Autostarteinträge benachrichtigt werden.
Das ist sinnvoll, da sich ein Trojanerserver, um seine Aufgabe zu erfüllen, irgendwann ja mal starten muss. I.d.R. passiert das eben über den Startaufruf bei Systemstart.

<blockquote>Zitat:<hr />Ein paar komische Prozesse finde ich :
wie Z.B.
wTi[]
[System Prozess]
System WinLogon32Systen
+ noch ein paar Anwendungen . Ich kann jedoch nicht den Text kopieren . Könnte aber Screenshot schicken [img]smile.gif[/img] .[/QUOTE]Tu das mal, wenn du magst.

<blockquote>Zitat:<hr />Was ist der Unterschied ziwschen Spybot und Ad Aware ?[/QUOTE]Nur ein marginaler. Beide Programme haben die Aufgabe, Spyware zu erkennen und zu eliminieren.
Die Programme unterscheiden sich nur hinsichtlich ihres Funktionsumfanges und der Effektivität bei der Erkennung bestimmter Malware.
Es ist durchaus sinnvoll, beide Programme zu nutzen, da sie sich gut ergänzen.

Gruß
Der http://home.arcor.de/cheesebuerger/S...figuren/25.gif

Exe ist auf dem Weg zu Rokop.

Danke für die Hilfe hier im Board [img]smile.gif[/img] .

Um nicht extra einen neune thread zu öffnen :

Wo stelle ich Activ X (?) aus ?
Ich finde keinen passenden thread hier im Board und unter Internetoptionen finde ich diese Funktion leider nicht :(

Win XP

mfg
Mister