Zum Inhalt springen

(m)IRC Wurm entfernen


Empfohlene Beiträge

Geschrieben

Hiho,

fast jeder IRC'ler der mit mIRC unterwegs is, kennt wahrscheinlich schon die netten Würmer die sich per Link verbreiten ...

ich bin zwar selber ned mIRC'ler aber wollte nem bekannten helfen ...

Also mIRC auf die Kiste und fein nen Wurm eingefangen ...

naja direkt den lieben Kollegen eingekreist und identifiziert:

Backdoor.SdBot.cy

der Kollege hat sich an einigen Stellen verewigt und versuchte sich mit 2 Instanzen am Leben zu halten ... naja hat ihm ned viel gebracht ...

Wurm wech, Patien fast glücklich ...

nach der Wurm Attacke bestand bei dial-in Connection der Ident aus einen vom Wurm produzierten String.

z.B.: Nickname![LL]32864@host.com

die Zahl nach dem [LL] ist irgendwie Random ...

naja viel gesucht und wenig gefunden ... ich bekam dieses [LL] ned weg ...

zu allem übel scheint sich das auf alle von Windows ausgehende IRC Programme auszubreiten bzw. hat es schon getan ... ich stutzte schon sehr als ich es selbst bei pIRCh sah ...

hat einer eine Idee wie man das noch entfernen kann?

Wurm hätte ich für Leute die es interessiert noch isoliert auf der Platte

Danke

Gruß

Pico

Geschrieben

ich bin Irc´ler und kenne diese Probleme, mit dem "verwurmten links".

seit ich XP Antivier habe, gibt es keine Probleme mehr, da der AV Guard sofort alarm schlägt, wenn man auf solch einen link klickt.

Geschrieben

entfernt is das ding ja, ich denke der hat sich nur irgendwo in die reg eingefressen ... die frage ist nur wo, da es alle irc verbindungen betrifft wo der ident vom client vergeben wird ...

von antivirsenprogs halt ich ned so wirklich viel, die machen manchmal mehr kaputt als sonstwas ... ;)

Geschrieben

nachtrag (leider erst später eingefallen):

der produziert ja ne dynamische zahl nach dem [LL] ... ich frag mich wie das zustande kommt, kann ja ned nur reg eintrag sein ...

und zu den virenprogs ... falls ich eins drüber laufen lassen würd, würd das in den meisten fällen die ursache haben das der wurm zwar komplett wech is, aber ich ned 100% weiss wo der überall sich verewigt hat, genau das will ich ja rausfinden ;\

btw: zu dem thema hat meltdown, nen nettes tcl script für eggdrops geschrieben was gepostete url's scannt ... scheint ganz nett zu sein ... is auf egghelp.org bei den tcl scripts unterm autor "meltdown" zu finden.

  • 2 Wochen später...
Geschrieben

nochmal nachtrag:

is mir heut mal aufgefallen:

der macht das [LL] sogar wenn ich über eine reine telnet verbindung chatte

hat jemand eine ahnung, wo der sich reingeschrieben haben muss das das bei jeder verbindung passiert ?

Geschrieben

Hi,

macht der das nur wenn mIRC auch läuft oder sonst auch ?

Wenn das nur auftritt wenn mIRC läuft könnte es schonmal am identd Server von mIRC hängen.

Ich vermute mal das in dem Fall noch irgendwo ein Script unter mIRC läuft das diese komischen Idents generiert. Um das zu überprüfen installiere ma probeweise eine frische Version von mIRC oder schau unter den scripten (ab mIRC 6.xx unter dem Symbol mit dem /a, 5tes von links oben)

Schau besonders beim tab Remote und klick dann mal den Menüpunkt View an dann siehste du wie viele Scripts geladen sind.

Probeweise kannst du dann mal die verdächtigen Kandidaten entladen ( /unload -rs scriptname.mrc oder evtl andere Endung)

Grüsse, Chris

Geschrieben

hab doch schon geschrieben das der das bei jeder irc verbindung tut ...

egal ob mirc, pirch oder sogar per telnet

ich weiss nix über nen internen identd von windows ... nie was von gehört

vielleicht weiss jemand was dadrüber oder wo der zu finden is und zu konfigurieren ist

Geschrieben

Gib uns mal einen kleinen Überblick über den Rechner und die Netzanbindung vielleicht können wir dir dann helfen...

Welches Windows läuft da drauf?

Laufen irgendwelche ungewöhnlichen Dienste oder Prozesse?

Werden irgendwelche ungewöhnlichen Programme in den Autostart-Ordnern der Registry gestartet?

Läuft evtl. ein Webbrowser nebenher, der IRC/identd unterstützt? (Mozilla/Chatzilla, Opera 7.5, ... )

Ist der Rechner direkt per Modem, ISDN, DSL-Karte, Kabelmodem, ... mit dem Internet verbunden oder läuft die Verbindung über einen (Einwahl-)Router?

Geschrieben

T-DSL über normales DSL modem und netzwerkkarte und WinXP pro

ich kann alles killen was ich ned brauch damit das system läuft und dann per telnet ins IRC connecten ... bleibt genau das selbe

ich tippe also auf nen identd service bei windows, hab nur keine ahnung wo ich den finde ...

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...