Antivir hat gestern bei mir den Wurm "RBot.XM" gefunden.
Der Wum hat die tiktoe.exe verseucht. Das ist anscheinend ne Systemdatei. Ich wollte sie mal löschen(per Antivir), und danach lief mein Rechner nicht mehr richtig.
Jetzt hab ich es soweit geschafft, das sie wieder da is und der Zugriff verweigert wird. Nun läuft mein Rechner wieder normal. Bis auf den Windows Media Player, der meldet einen "Internen Fehler" und startet nich mehr.

Und jetzt frag ich mich wie ich den Wurm wegbekomm. Ich vermute mein Rechner geht hops, wenn ich die Datei einfach so lösche.
Wo kann ich ne Liste von Würmern finden, vllt kann die mir weiterhelfen?

Danke schonmal im vorraus.

Würmer aus der RBot Reihe haben Backdoorfunktionen; aus diesem Grund sind befallene Systeme neu aufzusetzen. Poste mal ein HJT Logfile rein; cih möchte sehen, ob du sonst noch was drauf hast, o.k.?

Ok neu aufsetzten bedeutet formatieren?
Und wo bekomm ich die HJT Logfile her? Was ist das?

HI,
Ja, neu aufsetzen heißt formatieren.
HiJackThis Logfile ist hier beschrieben.

Ok, dank dir.

Logfile of HijackThis v1.98.2
Scan saved at 17:03:45, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
X:\Programme\AVPersonal\AVGUARD.EXE
X:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
X:\Programme\FlashEnc\FlashEnc.exe
C:\WINDOWS\System32\regsvr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ptmedsrv.exe
X:\Programme\AVPersonal\AVGNT.EXE
X:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
X:\Downloads\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - X:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AWatch] X:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Personal Firwall] ptmedsrv.exe
O4 - HKLM\..\Run: [Task manager] TikTo.exe
O4 - HKLM\..\Run: [Zone Labs Client] "X:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FlashEnc] x:Programme\FlashEnc\FlashEnc.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DHCP Server] regsvr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "X:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] X:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Personal Firwall] ptmedsrv.exe
O4 - HKLM\..\RunServices: [Task manager] TikTo.exe
O4 - HKLM\..\RunServices: [DHCP Server] regsvr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Personal Firwall] ptmedsrv.exe
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Task manager] TikTo.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AntiVir Guard.lnk = X:\Programme\AVPersonal\AVGNT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FF8A909-1814-4C2C-9447-8843CA2575F1}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{8FF8A909-1814-4C2C-9447-8843CA2575F1}: NameServer = 217.237.150.97 217.237.149.161
O21 - SSODL: eplrr - {2EDBB9DB-43D7-4ADE-BF8B-BF5ED4C577FB} - C:\WINDOWS\System32\eplrr3.dll (file missing)

Bei dir laufen mehrere Backdoors im Hintergrund, daher schließe ich mich der Meinung von cacatoa (formatieren) an!
z.B.
http://computercops.biz/startuplist-4714.html
http://computercops.biz/startuplist-5706.html
http://www.trendmicro.com/vinfo/viru...e=WORM_RBOT.LV

Bitte halte dich beim erneuten Aufsetzen an die verlinkte Anleitung!

Danke für die schnelle Hilfe

Könnt ihr mir noch nen gutes Scanprogramm nennen mit dem ich später meine gesicherten Daten überprüfen kann?

Lutz über Datensicherung.

Zitat:

Edit: @ haui
warst schneller

nicht traurig sein, das nächste Mal ist es wieder anders (vielleicht ).

Die zu sichernden Dateien müssen vorher gescannt werden.
Siehe hier.
Du kannst dazu den eScan benutzen (Beachte die Anleitung).
Bis dann
cacatoa

Edit: @ haui
warst schneller

Ein weitres Danke an euch.

Ich hoffe wir sehen uns so schnell nich wieder