Computerhilfen.de

Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: double am 10.11.08, 18:47:05

Titel: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: double am 10.11.08, 18:47:05: hi leudz!

ich hab mit zone alram pro spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) test gemacht un der trojaner (http://www.computerhilfen.de/fachbegriffe-t-Trojaner.html) "Win32.Backdoor.IRC.Cloner" wurde gefunden :-\

jetz hab ich mal recherschiert im inet un bin auf folgendes gestoßen:

Merkmale

* Legt weitere Malware ab
* Installiert sich in der Registrierung

W32/Zapchas-U ermöglicht einem remoten Eindringling die Steuerung des infizierten Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) über IRC-Kanäle.

Sobald W32/Zapchas-U ausgeführt wird, installiert er mehrere Dateien im Unterordner <Windows-Systemordner>\drivers des Windows-Ordners. Dazu gehören svchost.exe (eine virenfreie Kopie (http://www.computerhilfen.de/fachbegriffe-k-Kopie.html) von mIRC) und scripts.ini (eine Konfigurationsdatei, die auch erkannt wird als W32/Zapchas-U).

Die folgenden Registrierungseinträge werden erstellt, um svchost.exe beim Start auszuführen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svchost.exe
C:\WINNT\system32\drivers\svchost.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
system32
C:\WINDOWS\system32\drivers\svchost.exe

jetz meine fragen:
1. Ist dieser Wurm gefährlich,im Sinne von Datenklau?
2. Muss ich diese Registrierungseinträge löschen um ihn komplett vom Pc zu bekommen?
3: Wo speichert er die Malware hin wie oben unter Merkmal beschrieben un wie kann ich die löschen?
4. Wie bemerke ich eigentlich wenn jmd unerlaubt auf meinen Pc zugreift?

mein zone alarm hat ihn zwar gelöscht aber ich weiß ncih ob die registrierungseinträge auch entfernt wurden...

bitte helft mir!!!
danke,
lg double
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: ersguterjunge am 10.11.08, 20:02:00: Dir bleibt nix übrig außer schleunigst deine Daten zu sichern und anschließend das System zu formatieren!!
(http://www.computerhilfen.de/fachbegriffe-f-Formatieren.html)
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: double am 10.11.08, 20:59:13: ok,danke für deinen vorschlag,aber für wie kompetent hälst du dich in solchen dingen?will dich jetz nich persönlich angreifen sondern nur wissen,wieviel ich auf deinen rat geben kann ^^
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: Zidane am 10.11.08, 21:12:02: hallo,

erstens...alleine aus dem grund das du ZA auf deinem system hasst sprich einer software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) "Firewall" (PFW) was absulut sinnfrei ist und auch nach seiner entfernung tief im system reste übrig bleiben..formatieren musst.

(kurz ne info zu PFW´s: http://www.computerhilfen.de/hilfen-17-255173-0.html (http://www.computerhilfen.de/hilfen-17-255173-0.html))

zweitens ist bei einem schädlingsbefall welches eingirffe im system vorgenommen hatt nicht mehr zu entfernen bzw das system nicht mehr sauber zu bekommen, egal mit welchem tools du es versucht zu entfernen es ist nicht mehr möglich ein 100% sauberes system zu bekommen.

also wenn vorhanden ein sauberes Image zurückspielen oder die platte gründlich formatieren (http://www.computerhilfen.de/fachbegriffe-f-Formatieren.html) & BS neuaufsetzten.

mfg Zidane
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: Dirk63 am 10.11.08, 21:12:52: Ein infiziertes System bekomts du nie mehr zu 100 % sauber, da bereits Änderungen am System vorgenommen hat. Netzwerkwurm mit einer Backdoor-Funktionalität (hochgefährlich) und Remote Funktionen über IRC-Kanäle.

Du kannst mit viel Aufwand das System am Leben erhalten und in Zukunft immer mal wieder blaue Fehlerhinweise erhalten und deinem System nie mehr 100% Vertrauen

oder

du sicherst alle wichtigen Daten (in Ruhe nachdenken, was alles gesichert werden muß) und machst die erwähnte Neuinstallation. Dürfte auch schneller sein als tagelanges herumgebastel am System.
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: double am 10.11.08, 21:16:15: merde!
dabei hab ich da am letzten samstag erst wieder neu aufgesetzt :-*
kann der jenige,der diesen wurm gebaut hat auch meien daten klaun,bilder etc.?
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: Zidane am 10.11.08, 21:32:40: hallo,

Zitat
dabei hab ich da am letzten samstag erst wieder neu aufgesetzt
du kannst es so oft wie du willst neu-aufsetzten, solange du dich nicht mit deinem Betriebssystem (http://www.computerhilfen.de/fachbegriffe-b-Betriebssystem.html) vertraut machst sprich wenigstens ein wenig absichert.
wirst du es noch oft tuen müssen. da dein system schnell wieder-infiziert sein wird.

Zitat
kann der jenige,der diesen wurm gebaut hat auch meien daten klaun,bilder etc.?
woher willst du wissen das du "nur" einen wurm auf dein system hasst ?!
nur weil dein virenscanner eins gefunden hatt bzw meldet ?!

sichere die daten die dir am wichtigsten sind (sofern diese auch nicht infiziert sind)
und formatiere gründliche deine festplatte (http://www.computerhilfen.de/fachbegriffe-f-Festplatte.html) anschließen BS neuaufsetzten.

mfg Zidane
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: double am 10.11.08, 21:58:33: woher weiß ich denn welche daten infiziert sind und welche nicht??
ich hab jetz die daten,die mir wichtig sind aud die externe gezogen und bin mit aviradrüber,der hat abernichts gefunden.
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: ersguterjunge am 10.11.08, 22:01:22: Hallo,

du kannst meinem Rat vertrauen! Ist nicht das erste System mit Infektion was ich gesehen hab!!

Hab täglich damit zu tun!
Titel: Re: Trojaner (Win32.Backdoor.IRC.Cloner) gefunden!!
Beitrag von: double am 11.11.08, 17:26:25: ok,danke ;)