Worm/RBot.174080

eybee · 15.02.2006, 12:44

Hi habe etwas ganz dummes gemacht und eine Exe Datei geöffnet, da ich sie verwechselt habe. Seitdem meldet mir Antivir immer das der Worm/RBot.174080 gefunden wurde und zwar in der Datei onoes.exe. Diese lasse ich dann immer löschen.Und Zonealarm verhindert ein unbekanntes Programm den Zugang ins Internet über outlook8welches ich eh nicht benutze). Aber wie gesagt beim nächsten start the same. Abgesicherter Modus und scan hat auch nicht funktioniert und auch der boot über cd (BARTs PE) und scan mit stinger und sbybot hat nichts ergeben. Hab mein System gerade erst fertig eingerichtet und will ihn nicht platt machen. Programme wie zonealarm, spybot teatimer, antivir sind installiert gewesen und haben hoffentlich das meiste abgehalten. Jetzt muß ich den Wurm nur weg bekommen. Bitte helft mir.

Hier mein Log

Logfile of HijackThis v1.99.1
Scan saved at 12:13:19, on 15.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
C:\Programme\ThinkPad\ConnectUtilities\AcMurocHlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\TpScrLk.exe
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\outlook\outlook.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot\TeaTimer.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.262\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-LFQRK.exe" /REG
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7
O4 - HKCU\..\Run: [BirthdayRemember6] "C:\Programme\BirthdayRemember\BirthdayRemember.exe" "autostart"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\ThinkPad\PkgMgr\\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138887794012
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139183812443
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sabina · 15.02.2006, 13:54

eybee

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis hier
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\is-LFQRK.exe
C:\Programme\outlook\outlook.exe

-------------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

eybee · 15.02.2006, 15:35

Also die Dateien is-lfqrk und outlook.exe sind nicht vorhanden. Habe jetzt onoes scannen lassen und hier das ergebnis.
Antivirus Version Update Result
AntiVir 6.33.0.81 02.15.2006 Worm/RBot.174080
Avast 4.6.695.0 02.14.2006 no virus found
AVG 718 02.15.2006 IRC/BackDoor.SdBot.VJZ
Avira 6.33.0.81 02.15.2006 Worm/RBot.174080
BitDefender 7.2 02.15.2006 no virus found
CAT-QuickHeal 8.00 02.13.2006 no virus found
ClamAV devel-20060126 02.14.2006 no virus found
DrWeb 4.33 02.15.2006 Win32.HLLW.MyBot
eTrust-InoculateIT 23.71.76 02.15.2006 Win32/RBot.3eu!Worm
eTrust-Vet 12.4.2079 02.14.2006 Win32/Rbot.EPW
Ewido 3.5 02.15.2006 Backdoor.Rbot
Fortinet 2.69.0.0 02.15.2006 W32/AgoBot.U!bdr
F-Prot 3.16c 02.15.2006 no virus found
Ikarus 0.2.59.0 02.14.2006 no virus found
Kaspersky 4.0.2.24 02.15.2006 Backdoor.Win32.Rbot.gen
McAfee 4696 02.14.2006 W32/Gaobot.worm.gen.u
NOD32v2 1.1408 02.14.2006 Win32/Rbot
Norman 5.70.10 02.15.2006 W32/Spybot.AGXH
Panda 9.0.0.4 02.14.2006 W32/Gaobot.MFM.worm
Sophos 4.02.0 02.15.2006 no virus found
Symantec 8.0 02.15.2006 no virus found
TheHacker 5.9.4.096 02.14.2006 no virus found
UNA 1.83 02.15.2006 no virus found
VBA32 3.10.5 02.15.2006 Backdoor.Win32.Rbot.gen

Rest folgt

eybee · 15.02.2006, 15:49

Verzeichnis von C:\WINDOWS\system32

15.02.2006 15:27 35.870 vsconfig.xml
15.02.2006 15:26 5.888 TPHDLOG0.LOG
14.02.2006 23:30 62.464 bszip.dll
14.02.2006 23:30 0 tasklist.com
14.02.2006 23:30 0 taskkill.com
14.02.2006 23:30 0 cmd.com
14.02.2006 23:30 0 tracert.com
14.02.2006 23:30 0 regedit.com
14.02.2006 23:30 0 netstat.com
14.02.2006 23:30 0 ping.com
14.02.2006 20:51 401.398 perfh009.dat
14.02.2006 20:51 416.044 perfh007.dat
14.02.2006 20:51 62.678 perfc009.dat
14.02.2006 20:51 75.392 perfc007.dat
14.02.2006 20:51 966.074 PerfStringBackup.INI
14.02.2006 15:47 4.212 zllictbl.dat
14.02.2006 01:53 4.510.560 MRT.exe
13.02.2006 23:28 128 TPAPSLOG.LOG
13.02.2006 22:51 109.056 pxinsi64.exe
13.02.2006 22:51 108.544 pxcpyi64.exe
13.02.2006 22:46 308 results.txt
13.02.2006 16:32 0 AccConnBasic.Log
13.02.2006 16:32 0 AccConnAdvanced.html
13.02.2006 14:22 2.278 wpa.dbl
08.02.2006 23:40 176.167 rmoc3260.dll
08.02.2006 23:40 5.632 pndx5032.dll
08.02.2006 23:40 6.656 pndx5016.dll
08.02.2006 23:40 278.528 pncrt.dll
06.02.2006 01:20 113.376 FNTCACHE.DAT
03.02.2006 08:43 2.332.368 d3dx9_29.dll
03.02.2006 08:42 230.096 xactengine2_0.dll
03.02.2006 08:41 14.032 x3daudio1_0.dll
02.02.2006 22:09 10 firstboot.ibm
02.02.2006 22:08 2.450 $winnt$.inf
02.02.2006 20:27 7.006 jupdate-1.5.0_06-b05.log
01.02.2006 15:09 24.576 tphklock.dll
01.02.2006 15:09 28.672 notifyf2.dll
01.02.2006 07:58 333 $ncsp$.inf
01.02.2006 07:37 269 spupdwxp.log
01.02.2006 07:26 2.458 OEMINFO.INI
18.01.2006 13:05 57.344 avsda.dll
18.01.2006 06:12 577.536 tvt_gina.dll
18.01.2006 06:12 282.624 tvt_gina_api.dll
12.01.2006 11:32 543.496 LegitCheckControl.DLL
29.12.2005 03:54 280.064 gdi32.dll
07.12.2005 18:05 716.800 divxdec.ax
07.12.2005 18:05 573.952 DivX.dll
07.12.2005 18:05 679.936 divx_xx07.dll
07.12.2005 18:05 679.936 divx_xx0c.dll
07.12.2005 18:05 663.552 divx_xx11.dll
05.12.2005 21:51 10.716 dsm_ja.qm
05.12.2005 21:51 15.331 dsm_de.qm
05.12.2005 21:51 15.172 dsm_fr.qm
05.12.2005 18:09 2.323.664 d3dx9_28.dll
05.12.2005 18:07 61.136 xinput9_1_0.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 172.032 PxMas.dll
05.12.2005 06:12 56.320 pxinsa64.exe
05.12.2005 06:12 339.968 Px.dll
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 339.968 PxWave.dll
05.12.2005 06:12 28.672 VXBLOCK.dll
01.12.2005 14:38 20.651 DRHARD.VXD
01.12.2005 04:31 1.492.480 shdocvw.dll

---------------------------------------------------------------------------------------------------

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
mehrsteht dazu nichts

---------------------------------------------------------------------------------------------------

Verzeichnis von C:\WINDOWS

15.02.2006 15:31 341.322 ntbtlog.txt
15.02.2006 15:31 0 0.log
15.02.2006 15:31 2.048 bootstat.dat
15.02.2006 15:25 498.141 WindowsUpdate.log
15.02.2006 14:33 11.260 SchedLgU.Txt
15.02.2006 13:18 74 QH32.INI
15.02.2006 13:18 0 sensor.INI
15.02.2006 13:18 0 hqstat.mnt
15.02.2006 13:18 0 hqstat.mtl
15.02.2006 13:18 136 WININIT.INI
15.02.2006 00:00 121 is-P13IC.lst
15.02.2006 00:00 12.728 is-P13IC.msg
15.02.2006 00:00 658.432 is-P13IC.exe
14.02.2006 21:08 516.768 setupapi.log
14.02.2006 19:51 217.958 setupact.log
14.02.2006 12:09 586 KB822603.log
14.02.2006 11:48 216 wiadebug.log
14.02.2006 10:43 50 wiaservc.log
13.02.2006 23:22 628 TpmInstall.log
13.02.2006 22:48 589 chipset.log
13.02.2006 22:45 155.213 SetupWLD.log
13.02.2006 22:44 2.107 SynInst.log
13.02.2006 22:42 189 x
09.02.2006 12:52 322 nsw.log
08.02.2006 23:37 173.073 DirectX.log
06.02.2006 01:12 583 win.ini
02.02.2006 22:09 1.519 OEWABLog.txt
02.02.2006 22:09 903.794 setuplog.txt
02.02.2006 22:06 4.848 sessmgr.setup.log
02.02.2006 22:05 868 DtcInstall.log
02.02.2006 22:03 5.464 regopt.log
02.02.2006 22:02 231 system.ini
02.02.2006 20:29 5.897 mozver.dat
02.02.2006 19:34 400 ODBC.INI
02.02.2006 19:12 16.151 wmsetup.log
02.02.2006 19:12 316.640 WMSysPr9.prx
02.02.2006 15:34 1.452 COM+.log
02.02.2006 15:32 335.700 iis6.log
02.02.2006 15:32 14.604 ocmsn.log
02.02.2006 15:32 1.355 imsins.log
02.02.2006 15:32 57.527 ntdtcsetup.log
02.02.2006 15:32 126.688 tsoc.log
02.02.2006 15:32 13.642 tabletoc.log
02.02.2006 15:32 95.870 comsetup.log
02.02.2006 15:32 36.900 KB912919.log
02.02.2006 15:32 137.735 ocgen.log
02.02.2006 15:32 18.975 medctroc.Log
02.02.2006 15:32 13.180 msgsocm.log
02.02.2006 15:32 45.022 netfxocm.log
02.02.2006 15:32 254.600 FaxSetup.log
02.02.2006 15:32 89.048 msmqinst.log
02.02.2006 15:32 17.461 updspapi.log
02.02.2006 15:32 1.355 imsins.BAK
02.02.2006 15:32 36.137 KB908519.log
02.02.2006 15:32 39.196 KB905915.log
02.02.2006 15:31 31.847 KB904706.log
02.02.2006 15:31 25.617 KB910437.log
02.02.2006 15:31 32.259 KB896424.log
02.02.2006 15:31 32.305 KB900725.log
02.02.2006 15:31 29.933 KB905749.log
02.02.2006 15:31 29.406 KB905414.log
02.02.2006 15:31 28.590 KB901017.log
02.02.2006 15:31 28.574 KB899589.log
02.02.2006 15:31 32.015 KB902400.log
02.02.2006 15:30 21.640 KB894391.log
02.02.2006 15:30 19.956 KB896423.log
02.02.2006 15:30 19.445 KB899587.log
02.02.2006 15:30 18.941 KB899591.log
02.02.2006 15:30 19.052 KB893756.log
02.02.2006 15:30 18.533 KB896358.log
02.02.2006 15:30 19.230 KB890859.log
02.02.2006 15:30 15.420 KB901214.log
02.02.2006 15:30 15.693 KB893066.log
02.02.2006 15:30 6.467 KB898458.log
02.02.2006 15:30 15.355 KB896428.log
02.02.2006 15:30 15.622 KB896422.log
02.02.2006 15:29 16.097 KB890046.log
02.02.2006 15:29 14.974 KB885250.log
02.02.2006 15:29 14.998 KB885835.log
02.02.2006 15:29 14.416 KB887742.log
02.02.2006 15:29 13.878 KB888113.log
02.02.2006 15:29 13.921 KB891781.log
02.02.2006 15:29 13.885 KB887472.log
02.02.2006 15:29 13.917 KB888302.log
02.02.2006 15:29 13.520 KB885836.log
02.02.2006 15:29 9.785 KB886185.log
02.02.2006 15:29 13.519 KB873339.log
02.02.2006 15:26 107.132 UninstallThunderbird.exe
02.02.2006 15:22 0 nsreg.dat
02.02.2006 15:22 107.134 UninstallFirefox.exe
02.02.2006 14:47 7.645 KB898461.log
02.02.2006 14:47 5.938 KB893803v2.log
01.02.2006 07:58 61 smscfg.ini
01.02.2006 07:57 26 Lidbeep.ini
01.02.2006 07:53 8.192 REGLOCS.OLD
01.02.2006 07:51 738 xpsp1hfm.log
01.02.2006 07:40 6.629 KB885894.log
01.02.2006 07:38 28.950 spupdsvc.log
01.02.2006 07:35 87.795 spslpsrm.log
01.02.2006 07:35 266.882 svcpack.log
01.02.2006 07:32 200 cmsetacl.log
01.02.2006 07:29 1.176.729 setupapi.log.0.old
05.12.2005 17:15 147.520 _tpiu000.exe
27.05.2005 00:22 10.752 hh.exe
02.09.2004 10:05 98.358 dla.exe
04.08.2004 09:58 288.768 winhlp32.exe
04.08.2004 09:58 32.866 slrundll.exe
04.08.2004 09:58 153.600 regedit.exe
04.08.2004 09:58 70.144 notepad.exe
04.08.2004 09:57 1.035.264 explorer.exe
04.08.2004 09:57 50.688 twain_32.dll
29.07.2004 10:37 184.320 TPBATHLP.EXE
28.08.2003 12:35 892.928 aibmrun.exe
25.02.2003 00:53 210.415 orun32.isu
25.02.2003 00:53 849 orun32.ini
25.02.2003 00:49 62 setuperr.log
25.02.2003 00:44 0 control.ini
25.02.2003 00:44 299.552 WMSysPrx.prx
25.02.2003 00:44 4.161 ODBCINST.INI
25.02.2003 00:44 280 Windows Update.log
25.02.2003 00:43 749 WindowsShell.Manifest
25.02.2003 00:41 36 vb.ini
25.02.2003 00:41 37 vbaddin.ini
25.02.2003 00:38 0 Sti_Trace.log
13.11.2002 03:48 787.512 1024 x 768 IBM EMEA Map.bmp
13.11.2002 03:47 481.080 800 x 600 IBM EMEA Map.bmp

----------------------------------------------------------------------------------------------------------------

Verzeichnis von C:\

15.02.2006 15:41 0 sys.txt
15.02.2006 15:40 8.051 system.txt
15.02.2006 15:38 134 systemtemp.txt
15.02.2006 15:36 103.101 system32.txt
15.02.2006 15:31 1.610.612.736 pagefile.sys
15.02.2006 14:40 175.104 onoes.exe
15.02.2006 14:02 0 AUTOEXEC.BAT
06.02.2006 09:27 23.347 HCT.Log
06.02.2006 00:41 0 MSDOS.SYS
05.02.2006 23:31 151.946 IbmEgath.XML
02.02.2006 22:09 0 IO.SYS
02.02.2006 22:09 0 CONFIG.SYS
02.02.2006 22:08 194 BOOT.INI
01.02.2006 07:58 0 BOOTLOG.TXT
01.02.2006 07:51 636 drivez.log
01.02.2006 07:49 160 LOGFILE.txt
01.02.2006 07:47 0 BOOTLOG.PRV
01.02.2006 07:31 47.564 NTDETECT.COM
01.02.2006 07:31 251.184 ntldr
01.02.2006 07:26 1.431 SYSLEVEL.IBM
01.02.2006 07:25 43 TCPACHIP.LOG
25.02.2003 00:27 512 BOOTSECT.DOS

Sabina · 15.02.2006, 17:24

eybee

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\onoes.exe

PC neustarten

p2pnetwork.bfu (abarbeiten)
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

---------------------------------------------------------------------------------

was hast du heute installiert ? Eine Kamera ??

Zitat:

C:\WINDOWS\QH32.INI
C:\WINDOWS\sensor.INI
C:\WINDOWS\hqstat.mnt
C:\WINDOWS\hqstat.mtl
C:\WINDOWS\is-P13IC.lst
C:\WINDOWS\is-P13IC.msg
C:\WINDOWS\is-LFQRK.exe
C:\WINDOWS\is-P13IC.exe

eybee · 15.02.2006, 17:33

Nein keine Kamera oder sonstige Hardware

Sabina · 15.02.2006, 17:37

ich will ja nichts falsches loeschen lassen

Hast du heute geladen ...nur was ist das ????

Zitat:

15.02.2006 13:18 74 QH32.INI
15.02.2006 13:18 0 sensor.INI
15.02.2006 13:18 0 hqstat.mnt
15.02.2006 13:18 0 hqstat.mtl
15.02.2006 13:18 136 WININIT.INI
15.02.2006 00:00 121 is-P13IC.lst
15.02.2006 00:00 12.728 is-P13IC.msg
15.02.2006 00:00 658.432 is-P13IC.exe

Zitat:

der Backdoor:
15.02.2006 14:40 175.104 onoes.exe

eybee · 15.02.2006, 17:49

Also heute ist nix wichtiges draufgekommen. Ich habe nur Virentools installiert.

Sabina · 15.02.2006, 18:11

eybee

öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked"

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-LFQRK.exe" /REG

-------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\QH32.INI
C:\WINDOWS\sensor.INI
C:\WINDOWS\hqstat.mnt
C:\WINDOWS\hqstat.mtl
C:\WINDOWS\is-P13IC.lst
C:\WINDOWS\is-P13IC.msg
C:\WINDOWS\is-LFQRK.exe
C:\WINDOWS\is-P13IC.exe
C:\onoes.exe

PC neustarten

p2pnetwork.bfu (abarbeiten)
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

Yopie · 15.02.2006, 18:59

Du hast einen Backdoor aktiviert. Setz neu auf!

Anleitung siehe Signatur.

Gruß

Yopie

eybee · 15.02.2006, 20:51

Schon geschehen. Mit Rescue hat nicht lange gedauert

KeulePB · 27.10.2007, 18:32

Hilfe, mich hats nun auch erwischt!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

15.02.2006, 18:59	#10
Yopie Moderator, a.D.	Worm/RBot.174080 Du hast einen Backdoor aktiviert. Setz neu auf! Anleitung siehe Signatur. Gruß Yopie

27.10.2007, 18:32	#12
KeulePB Gesperrt	Worm/RBot.174080 Hilfe, mich hats nun auch erwischt! [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit]

Worm/RBot.174080

Log-Analyse und Auswertung: Worm/RBot.174080

Worm/RBot.174080 kann mir jemand helfen?

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Worm/RBot.174080

Ähnliche Themen: Worm/RBot.174080

15.02.2006, 17:33	#6
eybee	Worm/RBot.174080 Nein keine Kamera oder sonstige Hardware

15.02.2006, 17:49	#8
eybee	Worm/RBot.174080 Also heute ist nix wichtiges draufgekommen. Ich habe nur Virentools installiert.

15.02.2006, 20:51	#11
eybee	Worm/RBot.174080 Schon geschehen. Mit Rescue hat nicht lange gedauert