Moin,
ich hab ja schon ein wenig darüber erfahren, was ich machen muss, um das Übel Worm/Rbot.LN loszuwerden. Dazu muss ich, soweit ich weiß, mein system neu raufspielen
Aber davor soll ich wohl noch in HijackThis ein paar einträge fixen. Aber ich weiß natürlich nicht welche. Deshalb hier meine logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AV\AVGNT.EXE
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AV\AVGUARD.EXE
C:\Programme\AV\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\hpzstatn.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Macke\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AV\AVGNT.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{30BF5A4C-0267-4453-97A7-11C037646BA3}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS3\Services\Tcpip\..\{30BF5A4C-0267-4453-97A7-11C037646BA3}: NameServer = 62.72.64.237 62.72.64.241


bitte, bitte helft mir!!!!

Hallo,

Zitat:

Aber davor soll ich wohl noch in HijackThis ein paar einträge fixen.

Warum?

Zitat:

um das Übel Worm/Rbot.LN loszuwerden.

Poste mal den Pfad zum Rbot.LN, den dir AntiVir ausgegeben hat.

Zitat:

Zitat von Macke0815

Moin,
ich hab ja schon ein wenig darüber erfahren, was ich machen muss, um das Übel Worm/Rbot.LN loszuwerden. Dazu muss ich, soweit ich weiß, mein system neu raufspielen
Aber davor soll ich wohl noch in HijackThis ein paar einträge fixen.

Da Du ja sowieso "format c:" machst, kannst Du Dir das fixen sparen.

Gruß
Yopie

@yopie
also der pfad ging nach c:\windows\systen32\ glaube ich (muss nochmal genau nachgucken, weil ich nicht mehr mit meinem compi ins internet gehe. hab mir dadurch neue viren eingefangen)
Und außerdem wollte ich format c eigentlich vermeiden, backup wird trotzdem gemacht.

oder gibts dazu keine alternative?

danke für die meldung

Zitat:

Zitat von Macke0815

also der pfad ging nach c:\windows\systen32\ glaube ich
[...]
Und außerdem wollte ich format c eigentlich vermeiden, backup wird trotzdem gemacht.

oder gibts dazu keine alternative?

Nein.

Backup vom verseuchten Rechner? Was soll das bringen?

Gruß
Yopie

Zitat:

Zitat von Yopie

Nein.

Backup vom verseuchten Rechner? Was soll das bringen?

soweit ich weiß, werden nur ausführbare dateien verseucht (.exe .bat .com etc)
und eigentlich würde ich ja schon gerne meine fotos und meine musikdateien, dokumente und so weiter retten wollen.

ok, ich mache es so:
erst mache ich datenrettung für sogenannte "nicht-ausführbare" dateien.
Dann kommt der nicht gern ausgeführte Befehl format c.
ja und der rest ist natürlich genauso mühsam .
aber dann ist hoffentlich alles sauber.

to be continued

das hat mein av-wächter(ich nutze av-personal) mal gesagt gehabt:
[WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.LN!
C:\WINDOWS\SYSTEM32\TFTP336
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!

allerdings meldet er keine neuen infektionen.
Jedoch fragt mich meine fire-wall um die erlaubnis eines zugriffes eines "trivial file transfer" protokolls, was ich natürlich immer wieder blocke. aber der wurm scheint ja noch lange nicht "weg" zu sein.

Zitat:

Zitat von Macke0815

soweit ich weiß, werden nur ausführbare dateien verseucht (.exe .bat .com etc)
und eigentlich würde ich ja schon gerne meine fotos und meine musikdateien, dokumente und so weiter retten wollen.

ok, ich mache es so:
erst mache ich datenrettung für sogenannte "nicht-ausführbare" dateien.
Dann kommt der nicht gern ausgeführte Befehl format c.
ja und der rest ist natürlich genauso mühsam .
aber dann ist hoffentlich alles sauber.

Ja, das ist ok. Du solltest aber auch die reinen Daten-Dateien nach der Sicherung scannen, auf einem sauberen Rechner.

Zitat:

Zitat von Macke0815

Jedoch fragt mich meine fire-wall um die erlaubnis eines zugriffes eines "trivial file transfer" protokolls, was ich natürlich immer wieder blocke. aber der wurm scheint ja noch lange nicht "weg" zu sein.

Das ist ja das tückische bei Backdoors. Jemand hatte Vollzugriff auf Deinen Rechner und konnte Dir Schadprogramme unterjubeln, die von Virenscannern nicht erkannt werden.

Achte darauf, dass vor dem Onlinegehen nach Neuaufsetzen alle Updates installiert sind, Du keine Dienste ins Internet anbietest (welches Betriebssystem?) und Du (bei XP) die Firewall aktiviert hast. Für die Updates bietet es sich an, die winboard-org-UpdatePacks von einem sauberen Rechner runterzuladen. So hast Du zumindest schon mal die meisten.
Zum sicheren Browser brauch ich ja nix sagen, Du benutzt den Firefox ja schon.
Ach so, noch was: Java ist in der Version "_06" aktuell!

Und zum Schluß noch mein Lieblingslink. Durchlesen und verinnerlichen!

Gruß
Yopie