Pico Geschrieben 12. Februar 2004 Teilen Geschrieben 12. Februar 2004 Hiho, fast jeder IRC'ler der mit mIRC unterwegs is, kennt wahrscheinlich schon die netten Würmer die sich per Link verbreiten ... ich bin zwar selber ned mIRC'ler aber wollte nem bekannten helfen ... Also mIRC auf die Kiste und fein nen Wurm eingefangen ... naja direkt den lieben Kollegen eingekreist und identifiziert: Backdoor.SdBot.cy der Kollege hat sich an einigen Stellen verewigt und versuchte sich mit 2 Instanzen am Leben zu halten ... naja hat ihm ned viel gebracht ... Wurm wech, Patien fast glücklich ... nach der Wurm Attacke bestand bei dial-in Connection der Ident aus einen vom Wurm produzierten String. z.B.: Nickname![LL]32864@host.com die Zahl nach dem [LL] ist irgendwie Random ... naja viel gesucht und wenig gefunden ... ich bekam dieses [LL] ned weg ... zu allem übel scheint sich das auf alle von Windows ausgehende IRC Programme auszubreiten bzw. hat es schon getan ... ich stutzte schon sehr als ich es selbst bei pIRCh sah ... hat einer eine Idee wie man das noch entfernen kann? Wurm hätte ich für Leute die es interessiert noch isoliert auf der Platte Danke Gruß Pico Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
alexf10 Geschrieben 13. Februar 2004 Teilen Geschrieben 13. Februar 2004 Lass mal Antivirus drüber laufen und entferne die unnötigen einträge asu Registry. gruß, Alex Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
-wAcKy- Geschrieben 13. Februar 2004 Teilen Geschrieben 13. Februar 2004 ich bin Irc´ler und kenne diese Probleme, mit dem "verwurmten links". seit ich XP Antivier habe, gibt es keine Probleme mehr, da der AV Guard sofort alarm schlägt, wenn man auf solch einen link klickt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Pico Geschrieben 18. Februar 2004 Autor Teilen Geschrieben 18. Februar 2004 entfernt is das ding ja, ich denke der hat sich nur irgendwo in die reg eingefressen ... die frage ist nur wo, da es alle irc verbindungen betrifft wo der ident vom client vergeben wird ... von antivirsenprogs halt ich ned so wirklich viel, die machen manchmal mehr kaputt als sonstwas ... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Pico Geschrieben 19. Februar 2004 Autor Teilen Geschrieben 19. Februar 2004 nachtrag (leider erst später eingefallen): der produziert ja ne dynamische zahl nach dem [LL] ... ich frag mich wie das zustande kommt, kann ja ned nur reg eintrag sein ... und zu den virenprogs ... falls ich eins drüber laufen lassen würd, würd das in den meisten fällen die ursache haben das der wurm zwar komplett wech is, aber ich ned 100% weiss wo der überall sich verewigt hat, genau das will ich ja rausfinden ;\ btw: zu dem thema hat meltdown, nen nettes tcl script für eggdrops geschrieben was gepostete url's scannt ... scheint ganz nett zu sein ... is auf egghelp.org bei den tcl scripts unterm autor "meltdown" zu finden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Pico Geschrieben 28. Februar 2004 Autor Teilen Geschrieben 28. Februar 2004 nochmal nachtrag: is mir heut mal aufgefallen: der macht das [LL] sogar wenn ich über eine reine telnet verbindung chatte hat jemand eine ahnung, wo der sich reingeschrieben haben muss das das bei jeder verbindung passiert ? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
The_Thief Geschrieben 5. März 2004 Teilen Geschrieben 5. März 2004 Hi, macht der das nur wenn mIRC auch läuft oder sonst auch ? Wenn das nur auftritt wenn mIRC läuft könnte es schonmal am identd Server von mIRC hängen. Ich vermute mal das in dem Fall noch irgendwo ein Script unter mIRC läuft das diese komischen Idents generiert. Um das zu überprüfen installiere ma probeweise eine frische Version von mIRC oder schau unter den scripten (ab mIRC 6.xx unter dem Symbol mit dem /a, 5tes von links oben) Schau besonders beim tab Remote und klick dann mal den Menüpunkt View an dann siehste du wie viele Scripts geladen sind. Probeweise kannst du dann mal die verdächtigen Kandidaten entladen ( /unload -rs scriptname.mrc oder evtl andere Endung) Grüsse, Chris Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Pico Geschrieben 9. März 2004 Autor Teilen Geschrieben 9. März 2004 hab doch schon geschrieben das der das bei jeder irc verbindung tut ... egal ob mirc, pirch oder sogar per telnet ich weiss nix über nen internen identd von windows ... nie was von gehört vielleicht weiss jemand was dadrüber oder wo der zu finden is und zu konfigurieren ist Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ingh Geschrieben 16. März 2004 Teilen Geschrieben 16. März 2004 Gib uns mal einen kleinen Überblick über den Rechner und die Netzanbindung vielleicht können wir dir dann helfen... Welches Windows läuft da drauf? Laufen irgendwelche ungewöhnlichen Dienste oder Prozesse? Werden irgendwelche ungewöhnlichen Programme in den Autostart-Ordnern der Registry gestartet? Läuft evtl. ein Webbrowser nebenher, der IRC/identd unterstützt? (Mozilla/Chatzilla, Opera 7.5, ... ) Ist der Rechner direkt per Modem, ISDN, DSL-Karte, Kabelmodem, ... mit dem Internet verbunden oder läuft die Verbindung über einen (Einwahl-)Router? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Pico Geschrieben 17. März 2004 Autor Teilen Geschrieben 17. März 2004 T-DSL über normales DSL modem und netzwerkkarte und WinXP pro ich kann alles killen was ich ned brauch damit das system läuft und dann per telnet ins IRC connecten ... bleibt genau das selbe ich tippe also auf nen identd service bei windows, hab nur keine ahnung wo ich den finde ... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.