Hi leute, muss euch vorher bischenw as erzählen..

hatte die letzten Tage den Bropia.H Wurm und nen Rbot drauf....
die habe ich mit antivir auch entfernt....
es war noch ein prozess im win32 system namens altsvr.exe den cih mauell gelöscht habe weil es als malware erkannt wurde....

dann habe ich diese meldung bekommen:

24.02.2005,07:14:28 [WARNUNG] Enthält Signatur des Wurmes Worm/Bropia.H.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F3C39A9E-D0EA-4D67-92C4-E95173E3FF21}\RP203\A0029927.EXE

eben so mit Rbot und Arape.A

habe sie alle isn karantäne verzeichniss verschoben und dann dort gelöscht....

die doit.exe war immer noch ind er regestry (finde sie nirgens im windows orddner, auch nicht als systemdatei) also habe ich auch diese ind er regestry gelöscht.. dies ist mein aktueller highack this log mit Online Ergebniss ...


Logfile of HijackThis v1.99.1
Scan saved at 11:27:37, on 24.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Pulse\Pulse.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijack This\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] REM C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] REM C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Pulse] C:\Programme\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\WebMenuImg.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {D27DF2FC-7987-4F28-8E09-FB1E6927596C} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {D27DF2FC-7987-4F28-8E09-FB1E6927596C} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105697937921
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe



wie siehts aus, ist eurer meinung nach alles sauber und kann ich passwörter ändern ( weil rbot war ja ne art keylogger) oder brauche ich das gar nicht?

ps: pulse.exe ist ein Pogramm von nem internetprojekt dass mien tastaturschläge zählt ^^ also net sagen ja da ist noch was ^^

Wenn Du sagst, pulse.exe sei Dir bekannt, sieht das Log sauber aus. Die Einträge mit (file missing) könntest Du noch fixen.

Aber:

Zitat:

hatte die letzten Tage den Bropia.H Wurm und nen Rbot drauf....

Bei einer Rbot-Infektion, welche zudem auch noch aktiv war

Zitat:

O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)

raten wir immer zu einer Neuinstallation des Systems, wenn Du diesem wieder vertrauen willst.

Anleitung zum Neuafsetzen

Hinweis zur Datensicherung

Das ist vermutlich nicht das, was Du hören/lesen willst, aber alle anderen Ratschläge sind nicht vertrauenswürdig...

wieso, was ist denn altsvc gewesen???
ich werde es warscheinlich in den osterferien machen...
und was meintest du genau mit rbot???

Zitat:

Zitat von Invisible_04

wieso, was ist denn altsvc gewesen???

Das solltest Du anhand Deiner Log-Datei des Virenscanners eigentlich besser herausfinden können als ich, denn

Zitat:

Zitat von Invisible_04

...es war noch ein prozess im win32 system namens altsvr.exe den cih mauell gelöscht habe weil es als malware erkannt wurde....

Zitat:

Zitat von Invisible_04

ich werde es warscheinlich in den osterferien machen...

Wenn Du meinst, Du willst so lange damit warten, kann ich Dich schlecht davon abhalten. Aber Du solltest Dir bewusst sein, dass Du bis dahin potentiell gefährdet bist. Das Ändern von Passworten hat bis dahin u. U. wenig bis gar keinen Sinn. Je nach dem, welche RBot-Variante es nun gewesen ist, stellt Dein Rechner auch eine potentielle Gefährdung anderer dar.

Zitat:

Zitat von Invisible_04

...und was meintest du genau mit rbot???

rbot ist mittlerweile ein 'Sammelbegriff' für eine ganze Anzahl von Bakdoor-Trojanern. Hier ist mal ein Beispiel.

Worm/RBot.99328 <-- es ist dieser rbot... kannst du darüber was genaueres sagen ????

hab die logdatei zu altsvcd nicht mehr...

Ich nehme an, es handelt sich um eine Bezeichnung von AntiVir?
Leider bezeichnen Virenhersteller die verschiedene Malware mit unterschiedlichen Namen...

Auswendig sagt mir der Name nichts, aber Du kannst Dich ja mal auf der Webseite des AntiViren-Herstellers umschauen...

k ich werde dann die Tage wohl besser formatieren...

ich besitze einen Router, und habe mir diesen wurm über msng efangen oder anders..

was haltet ihr von windows updates? ich meine ich wil nichts auf meinem PC haben, was mit service Pack 2 zu tun hat..... soll ich dennoch die anderen windows updates installieren? habe windows xp prof mit SP 1....

und soll cih meine passwörter danach dringend ändern????