HILFE! -> BDS/Botnut.IRC.3 Einstellungen

[chRis]

Also Tag erstmal an alle...
bin neu in dem Forum hier und hab gleich mal eine Frage:
Also ich hab seit heute einen IRC Wurm namens "BDS/Botnut.IRC.3" auf m Rechner. AntiVir (neustes Update), Ad-aware und Spybot - Search & Destroy konnten den Wurm nicht löschen. Ad-aware und Spybot haben den Wurm nich gefunden und AntiVir findet ihn, kann jedoch nichts dagegen tun.

Beschreibung:
Wenn ich auf eine Textdatei (Editor) klick dann öffnet sich immer mein AntiVir Prog und sagt das die Datei infiziert ist. Daraufhin öffnet sich mIRC und will connecten. Das is bei jeder Textdatei der Fall.
Hab zwar schon mein IRC deinstalliert aber der Wurm erstellt immerwieder ein neues IRC in WINDOWS/SYSTEM32/rundll32 ... löschen bringt ja auch nichts denn beim erneuten anklicken einer .txt-Datei fängt das Ganze wieder von vorn an...

Ich hoffe ihr könnt mir schnellstmöglichst helfen.
MfG

[Storm]

Moin chRis!

Also als allererstes würde ich mal einen oder mehrere Onlinescanner drüberlaufen lassen, fang am besten mit Trendmicro housecall an...

Auch AntiVir sollte in der Lage sein, die Malware zu löschen, wenn Du Dein System vorher im abgesicherten Modus startest (beim booten F8 gedrückt halten, abgesicherten Modus laden und dann mit AntiVir scannen)

Viel Glück!

Storm

[chRis]

also erstmal danke, ich probier das jetzt mit dem abgesicherten modus, wenn das nich klappt würd mich das mal freun wenn du mir die dl links zu ein paar onlince scannern geben könntest.

ciao ciao

ps: 'schland : holland
2 : 1

[Joerg]

Versuch mal: http://www.bitdefender.de/scan/licence.html
Benötigt IE und aktivieres ActiveX

Den Fußball-Tipp hab ich auch abgegeben, aber ich glaube, da steckte auch Zweckoptimismus dahinter

PS: Nachträglich alles Gute zum Geburtstag

Der Beitrag wurde von Joerg bearbeitet: 15.06.2004, 16:39

[chRis]

also danke nochmal...
ich hatte nach dem scannen im abgesicherten modus erstmal ne zeitlang ruhe,
jetzt hab ich anscheinend schon wieder den gleichen wurm. nur diesesmal kann ich komischerweise .txt dokumente öffnen ohne dass sich irc öffnet. im abgesicherten modus kann anti vir den wurm jetzt nicht mehr löschen. ich würd den wurm trotzdem gern irgendwie loswerden...

MfG

[chRis]

ich hab mal das gemacht:

http://www.rokop-security.de/board/index.php?showtopic=3867

das ist dabei rausgekommen:

File c:\windows\system32\secure\rundll32.exe tagged as not-a-virus:RiskWare.mIRC.6.0. No Action Taken.
File C:\WINDOWS\system32\secure\rundll32.exe tagged as not-a-virus:RiskWare.mIRC.6.0. No Action Taken.
File C:\WINDOWS\system32\d1k.exe infected by "TrojanClicker.Win32.Haldex" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\just.iLL\Lokale Einstellungen\Temp\UCmoreIEx.exe tagged as not-a-virus:AdvWare.Toolbar.Ucmore. No Action Taken.
File C:\Dokumente und Einstellungen\just.iLL\Lokale Einstellungen\Temp\powerscan.exe tagged as not-a-virus:AdvWare.PowerScan.b. No Action Taken.
File C:\Dokumente und Einstellungen\just.iLL\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YH0J2LM5\esba[1].exe infected by "Backdoor.Ruledor.e" Virus. Action Taken: File Renamed.

...das und noch weitere würmer, hab die log aus versehen gelöscht un keine zeit wieder mehr als ne std. zu warten. es gab au meldungen wo dransteht das der virus namen von einer datei geändert hat usw.



kann mir bitte einer helfen und sagen was ich jetzt tun soll

*edit*

hab noch nachträglich das hier gefunden:[B]

[0x000002c0] 02/07/2004 00:25:46:842 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com
[0x000002c0] 02/07/2004 00:25:46:852 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x000002c0] 02/07/2004 00:25:47:563 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x000002c0] 02/07/2004 00:25:47:563 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x000002c0] 02/07/2004 00:25:47:563 :[msvLclnt.dll]TimeOut : ffffffff
[0x000002c0] 02/07/2004 00:25:47:563 :[msvLclnt.dll]Priority : NORMAL
[0x000002c0] 02/07/2004 00:25:47:864 :[msvLclnt.dll]VirusCount = 96153 Latest Date = 2004/07/02
[0x00000524] 02/07/2004 00:26:22:934 :[msvLclnt.dll][00000001] File c:\windows\system32\secure\rundll32.exe infected by not-a-virus:RiskWare.mIRC.6.0
[0x00000524] 02/07/2004 00:31:57:545 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\secure\rundll32.exe infected by not-a-virus:RiskWare.mIRC.6.0
[0x00000524] 02/07/2004 00:32:11:605 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\d1k.exe infected by TrojanClicker.Win32.Haldex
[0x00000524] 02/07/2004 00:32:11:856 :[msvLclnt.dll][00000001] File C:\WINDOWS\system32\d1k.exe infected by TrojanClicker.Win32.Haldex
[0x00000524] 02/07/2004 00:39:03:978 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Lokale Einstellungen\Temp\UCmoreIEx.exe infected by not-a-virus:AdvWare.Toolbar.Ucmore
[0x00000524] 02/07/2004 00:42:06:841 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Lokale Einstellungen\Temp\powerscan.exe infected by not-a-virus:AdvWare.PowerScan.b
[0x00000524] 02/07/2004 00:42:20:441 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YH0J2LM5\esba[1].exe infected by Backdoor.Ruledor.e
[0x00000524] 02/07/2004 00:42:20:851 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YH0J2LM5\esba[1].exe infected by Backdoor.Ruledor.e
[0x00000524] 02/07/2004 01:06:56:123 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\Eigene Downloads\Programme\DIVX502BUNDLE.EXE infected by not-a-virus:Tool.Win32.Reboot
[0x00000524] 02/07/2004 01:10:26:045 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\Eigene Downloads\Programme\dsl befaster.exe infected by not-a-virus:AdvWare.NavExcel
[0x00000524] 02/07/2004 01:10:40:145 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\Eigene Downloads\Programme\Norton Anti-Virus Professional 2004.exe infected by not-a-virus:AdvWare.GoWebSite
[0x00000524] 02/07/2004 01:10:40:355 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\Eigene Downloads\Programme\Adobe Photoshop 7.0 Pro Installer.exe infected by not-a-virus:AdvWare.GoWebSite
[0x00000524] 02/07/2004 01:10:40:555 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\Eigene Downloads\Programme\Mcafee Virus Scan Full Version.exe infected by not-a-virus:AdvWare.GoWebSite
[0x00000524] 02/07/2004 01:10:40:746 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\Eigene Downloads\Programme\Nero Ultra CD Burning ROM Full Version.exe infected by not-a-virus:AdvWare.GoWebSite
[0x00000524] 02/07/2004 01:11:11:089 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\Eigene Downloads\gIRC\mynIRC.zip infected by not-a-virus:RiskWare.mIRC.6.03
[0x00000524] 02/07/2004 01:12:14:270 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\cstrike\1.5\pod25ins.exe infected by not-a-virus:Tool.Win32.Reboot
[0x00000524] 02/07/2004 01:12:44:524 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\cstrike\demos\ICQ Lite.exe infected by not-a-virus:AdvWare.GoWebSite
[0x00000524] 02/07/2004 01:20:11:767 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\cstrike\maps\cs_blutpatch.zip infected by not-a-virus:Tool.Win32.Reboot
[0x00000524] 02/07/2004 01:23:31:594 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\just.iLL\Eigene Dateien\cstrike\maps\cop_csmappack_ks_11.exe infected by not-a-virus:Tool.Win32.Reboot

da sind teilweise programme drauf die ich gar nicht selbst installiert hab?!


Der Beitrag wurde von chRis bearbeitet: 02.07.2004, 00:27

[Rokop]

Obwohl dies sonst nicht meine Art ist, aber in diesem Fall würde ich formatieren und neu aufsetzen !
Auf jeden Fall solltest Du in Zukunft in jeder Hinsicht auch ein wenig vorsichtiger sein ....

[chRis]

hm is mein rechner also zu verviert? hilft nichts mehr?
bei mir is das halt so ich hab meine festplatte nicht partitioniert. und wenn ich formatier lösch ich alles. hab von nem programm gehört das heisst partition magic und da kann ich im nachhinein meine festplatte partitionieren. kennt sich damit jemand aus?

[JFK]

Mit Partition Magic klappt das bestens

JFK

[chRis]

hm ok danke woher krieg ich das, versteh ich des auch, also ich als doomy ´

und ne andere methode gibts nicht die würmer zu löschen?!