|
Sers @ all Habe zur Zeit das Problem, dass mein Rechner beim Ausführen von Anwendungen neuerdings sehr lange braucht. Beim Windows-Start wird ein Programm gestartet, das sich "mirc" nennt. Aber selbst wenn ich das im Taskmanager schließe ändert sich nichts an der Rechner-Geschwindigkeit. Bin leider net mit allzuviel Fachwissen gesegnet und würde gerne wissen was ich da tun kann. Das Hijack-Programm hab ich mir mal vorgemerkt. Werd den Log davon heute mittag mal nachreichen (bin auf der Arbeit). Über Hilfe dazu würde ich mich sehr freuen. |
Wenn Du nicht weißt was "mirc" ist und es DEIN Rechner ist, dann solltest Du Dir erst einmal sehr viele Gedanken machen. mIRC ist ein IRC-Client. IRC = Internet Relay Chat wenn Du es nicht benötigst, dann DEINSTALLIERE es! Wenn Du es nur selten benötigst, dann deaktiviere den Autostart. mIRC selber verlangsamt aber nicht extrem die Rechengeschwindigkeit aber IRC ist ein "beliebtes" Einfalls-Scheunentor für Malware. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: Wenn Du nicht weißt was "mirc" ist und es DEIN Rechner ist, dann solltest Du Dir erst einmal sehr viele Gedanken machen. mIRC ist ein IRC-Client. IRC = Internet Relay Chat wenn Du es nicht benötigst, dann DEINSTALLIERE es! Wenn Du es nur selten benötigst, dann deaktiviere den Autostart. mIRC selber verlangsamt aber nicht extrem die Rechengeschwindigkeit aber IRC ist ein "beliebtes" Einfalls-Scheunentor für Malware. </font>[/QUOTE]Also was IRC bzw. mirc ist weiss ich :rolleyes: Aber die Anwendung die da gestartet wird heisst auch mirc. Das ist quasi nur der Rahmen eines Fensters und das auch noch minimiert dargestellt. Lässt sich zwar ganz einfach schließen aber der Rechner bleibt danach immer noch langsam. Und im Task-Manager sehe ich auch keinen Prozess der auffällig Ressourcen beansprucht. EDIT : Ach ja mit Norton Antivirus 2002 + neuesten Virdefinitionen bin ich mal komplett durch den ganzen Rechner gegangen --> nix McAffee Avert Stinger (spez. für Würmer, Trojaner) --> nix |
da gab es IMHO mal eine Malware die sich als MIRC getarnt hatte! //Edit schau mal da => http://www.trojaner-board.de/forum/u...c;f=6;t=005342 Versuch mal einen Online-AV-scan: (alternativen!) http://de.bitdefender.com/scan/licence.html http://www.pandasoftware.com/actives..._principal.htm http://de.trendmicro-europe.com/ente...secall_pre.php |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: da gab es IMHO mal eine Malware die sich als MIRC getarnt hatte! //Edit schau mal da => http://www.trojaner-board.de/forum/u...c;f=6;t=005342 Versuch mal einen Online-AV-scan: (alternativen!) hxxp://de.bitdefender.com/scan/licence.html hxxp://www.pandasoftware.com/activescan/de/activescan_principal.htm hxxp://de.trendmicro-europe.com/enterprise/products/housecall_pre.php </font>[/QUOTE]Hmm, so wie in dem anderen Thread stellt sich das bei mir nicht dar. Wie gesagt im Task-Manager ist nix Auffälliges. Naja, ich reich mal den Hijackthis-Log nach : </font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7 Scan saved at 17:11:54, on 24.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe D:\PROGRA~1\NORTON~1\navapw32.exe D:\Programme\Norton Personal Firewall\IAMAPP.EXE C:\WINDOWS\System32\RunDll32.exe D:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\iedriver.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe D:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe D:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\WinTV\Ir.exe D:\Programme\Norton AntiVirus\navapsvc.exe D:\Programme\Norton Personal Firewall\NISUM.EXE D:\Programme\Norton Personal Firewall\SymProxySvc.exe D:\Programme\Norton Personal Firewall\NISSERV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ntvdm.exe D:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\PROGRA~1\INTERN~1\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Roman\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.t-online.de/software/ie401/search.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://portal.droidwars.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WheelMouse] d:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [msbb] C:\Programme\nCase\msbb.exe O4 - HKLM\..\Run: [iedriver] C:\WINDOWS\System32\iedriver.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] d:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe O4 - HKLM\..\Run: [Lexmark X73 Button Manager] d:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherchieren (HKLM) O14 - IERESET.INF: START_PAGE_URL=hxxp://www.t-online.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - hxxp://active.macromedia.com/director/cabs/sw.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - hxxp://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - hxxp://212.102.242.16/activex/AxisCamControl.ocx O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38001.3015625 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C9F05CD4-0F4D-4FC8-897B-D15F03FEABCE}: NameServer = 217.237.151.225 194.25.2.129 </font>[/QUOTE]Ach ja die Online-Scanner geh ich grad alle durch. [ 24. Mai 2004, 17:08: Beitrag editiert von: Akyrion ] |
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Du musst dringend (!) dein System auf den neuesten Stand bringen! Diese Dateien... C:\WINDOWS\System32\iedriver.exe rundll32.exe (bitte mit Hilfe der Windows-Suche alle Dateien diesen Namens ermitteln und prüfen) c:\windows\system32\rundll32\svchost.exe c:\windows\system32\secure\rundll32.exe ...bitte hier prüfen: http://www.kaspersky.com/de/scanforvirus Ergebnisse dann hier posten. (Zugehörige Registry-Einträge: O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKLM\..\Run: [iedriver] C:\WINDOWS\System32\iedriver.exe) Das ist Adware, die teilweise aber nur mit Vorsicht entfernt werden sollte (Spybot Search and Destroy verwenden), da ansonsten das Windows Netzwerk Schaden nehmen könnte: O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O4 - HKLM\..\Run: [msbb] C:\Programme\nCase\msbb.exe O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\roman\lokale einstellungen\temp\~vis0000\gain_3202.exe" |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Du musst dringend (!) dein System auf den neuesten Stand bringen! Diese Dateien... C:\WINDOWS\System32\iedriver.exe rundll32.exe (bitte mit Hilfe der Windows-Suche alle Dateien diesen Namens ermitteln und prüfen) c:\windows\system32\rundll32\svchost.exe c:\windows\system32\secure\rundll32.exe ...bitte hier prüfen: http://www.kaspersky.com/de/scanforvirus Ergebnisse dann hier posten. (Zugehörige Registry-Einträge: O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKLM\..\Run: [iedriver] C:\WINDOWS\System32\iedriver.exe) Das ist Adware, die teilweise aber nur mit Vorsicht entfernt werden sollte (Spybot Search and Destroy verwenden), da ansonsten das Windows Netzwerk Schaden nehmen könnte: O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O4 - HKLM\..\Run: [msbb] C:\Programme\nCase\msbb.exe O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\roman\lokale einstellungen\temp\~vis0000\gain_3202.exe" </font>[/QUOTE]Zu überprüfende Datei: iedriver.exe iedriver.exe Infiziert: TrojanClicker.Win32.Iedriver Zu überprüfende Datei: rundll32.exe rundll32.exe Ok Svchost.exe --> Die Größe der Datei übersteigt 1024 Kb c:\windows\system32\secure\ --> keine datei rundll32.exe Was mach ich jetzt mit der infizierten Datei ? Kann ich die einfach löschen ? Kann ich die reparieren ? Muss ich die durch eine saubere ersetzen ? |
</font><blockquote>Zitat:</font><hr />Original erstellt von Akyrion: Zu überprüfende Datei: iedriver.exe iedriver.exe Infiziert: TrojanClicker.Win32.Iedriver</font>[/QUOTE]Diese Datei sowie der auf sie verweisende Registry-Eintrag sind zu löschen. Es ist der Schädling selbst, somit kann die Datei nicht "repariert" oder ersetzt werden. </font><blockquote>Zitat:</font><hr />Zu überprüfende Datei: rundll32.exe rundll32.exe Ok</font>[/QUOTE]Wie viele rundll32.exe wurden gefunden, und in welchem Ordner befand sich die von dir geprüfte? </font><blockquote>Zitat:</font><hr />Svchost.exe --> Die Größe der Datei übersteigt 1024 Kb</font>[/QUOTE]In welchem Ordner befindet sich die von dir geprüfte Svchost.exe und wie groß ist sie? </font><blockquote>Zitat:</font><hr />c:\windows\system32\secure\ --> keine datei rundll32.exe</font>[/QUOTE]Lösch den Registry-Eintrag. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board