Trojaner-Board - Backdoor.Win32.IRCBot.acu über MSN images.zip

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Backdoor.Win32.IRCBot.acu über MSN images.zip (https://www.trojaner-board.de/41589-backdoor-win32-ircbot-acu-msn-images-zip.html)

Backdoor.Win32.IRCBot.acu über MSN images.zip

Hallo,

habe schon gegoogelt und im Forum hier auch nichts passendes zu fogendem
"Virus" gefunden

gescant mit virustotal online

Kaspersky - Backdoor.Win32.IRCBot.acu
AntiVir - Worm/IRCBot.acu.1
und noch ungefähr 5 andere Namen für den gleichen Virus.

Diese Datei wurde über MSN an alle möglichen MSN User versendet.
Habe kurz vorher noch extra ein Bild angefordert und danach wurde mir von meinem Freund ein images.zip File zugesandt.
Da von vertrauenswürdiger Person, habe ich es entpackt und angeklickt.

Mein System win98se
unter hijackthis wird nichts gefunden was für die "myphotos.zip" typisch war.
das bedeutet keine sysprinters.dll , ghost.exe usw.

Gesucht habe ich allerdings mit windows Boardmitteln also der Explorer Dateisuche.

Hat jemand schon einen Link mit Anleitung zur Dateisuche und Entfernung?

Code:

ogfile of HijackThis v1.99.1

Scan saved at 22:15:31, on 26.07.07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\CARPSERV.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\CTFMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

D:\TOOLS\HIJACKTHIS\HIJACKTHIS_199\HIJACKTHIS_199\HIJACKTHIS.EXE
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\INTERNETTOOLS\ICQTOOLBAR\TOOLBAR.DLL

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAMME\DAP\DAPBHO.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\INTERNETTOOLS\ICQTOOLBAR\TOOLBAR.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\INTERNETTOOLS\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\InternetTools\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\InternetTools\ICQLite\ICQLite.exe

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - D:\InternetTools\NeoTrace Express\NTXtoolbar.htm (HKCU)

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab

Hoffe habe alle postkriterien eingehalten ;-)

Grüße

Zitat:

Da von vertrauenswürdiger Person, habe ich es entpackt und angeklickt.

Und nun haste den Salat.
Da dir der Schädling eine nette Hintertür hinterlässt ist ein Neuaufsetzen angesagt.

Jedenfalls normalerweise. Ich kann nicht beurteilen, inwiefern der MSN-Schädling mit Win98 "kompatibel" ist, ich würde hier aber kein Risiko eingehen.

Zitat:

gescant mit virustotal online

Kaspersky - Backdoor.Win32.IRCBot.acu
AntiVir - Worm/IRCBot.acu.1

Welche Datei in welchem Ordner hast du gescannt?

habe die images39.zip auf virustotal hochgeladen und überprüfen lassen...
auf meinem PC hatte ich sie entpackt und angeklickt....

keine Auswirkungen bis jetzt zu spüren.
Ist es normal das bei bei jedem Start von Outlook Express der neu installierte MSN Messenenger mitgestartet wird(Taskleiste) ?

Processexplorer und Windows Taskmanager zeigt nichts neues an.
offene Ports könnte ich noch prüfen.

Du wirst von dem Virus auch nichts spüren...
Das ist eine Hintertür, also musst du alle deine Passwörter und Daten als Fremden bekannt ansehen.Das einzige was hilft ist neu aufsetzen

Backdoorprogramme lösen normalerweise eine Kompromittierung aus.

Hallo,

infinity soweit klar..aber die Backdoor muß sich entfernen lassen.
dafür suche ich eine Lösung bzw einen Link.

ich habe noch saubere Registrierungsdateien die ich einsetzen könnte, somit wäre die Regitrieung sauber.
Die Dateien welche die Backdoor installiert müßte ich aber vorher wenigstens noch entfernen damit keine Neueintragung in die Registry erfolgt.

Ist es normal das bei Start von Outlook Express der MSN Messenger mitgestartet wird?

Danach ändere ich sämtlich Passwörter.
Unter diesem französichem Link hat wohl jemand das gleichen Problem.

problème virus sur MSN

Kann da jemand etwas übersetzen?

Hallo,

ich habe noch saubere Registrierungsdateien die ich einsetzen könnte, somit wäre die Registrierung sauber.
Die Dateien welche die Backdoor installiert müßte ich aber vorher wenigstens noch entfernen damit keine Neueintragung in die Registry erfolgt.Diese Dateien suche.

Ich könnte die Installation des Viruses mit Hilfe eines Tools überwachen lassen, indem ich Ihn nocheinmal "darüber installiere" .Welches Tool ist am besten geeigent Systemänderungen zu Protokollieren?Registry ist nicht notwendig, da habe ich ja eine saubere.

seltenhier, ja du kannst zwar den Backdoor selbst villeicht entfernen aber du hast keine chance ihn komplett aus dem System zu entfernen!
Nachdem der Virus aktiviert wurde verankert er sich so tief in deinem System das du wirklich keine Chance hast ihn aus dem System zu entfernen, er ist dann komplett unsichtbar für Virenscanner und sonstiges.
Du musst dein System neu aufsetzen, folge dem Link in meiner Signatur.