SPR/REG.Zapchast und WORM/Rbot.148992.11 -- REMOVE mit HiJackThis??

pipetto · 14.06.2006, 09:42

Hallo da draußen.
Ich habe von AntiVir folgende meldungen erhalten:

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DD82OF1V\rmtag2[1].js
[0] Archivtyp: GZ
--> rmtag2[1]
[FUND] Enthält Signatur des Java-Scriptvirus JS/Click.Tagem.A
[INFO] Die Datei wurde gelöscht.

C:\WINDOWS\system32\TFTP456
[FUND] Enthält Signatur des Wurmes WORM/Rbot.148992.11

C:\a.bat
[FUND] Enthält Signatur des SPR/REG.Zapchast-Programmes

Ich wähle mich über meine Universität ins Netz ein. Die zuständigen Leute dort haben mir folgendes geschickt:

Sehr geehrte(r) Administrator(in),

Sie haben sich zur oben angegeben Zeit ueber uni@osnatel in das
Hochschulnetz eingewaehlt. Ihr Rechner hat dabei mehr als zwei-
hundert Pakete zu ungueltigen IP-Adressen versendet. Das ist sehr
oft ein Zeichen dafuer, dass das Betriebssystem durch einen Virus,
Wurm etc. infiziert ist. Die Ursache kann auch eine Fehlkonfiguration
des Systems sein.

Im Wiederholungsfall behalten wir uns vor, Ihre Benutzerkennung zu
sperren.

Logfile:
hh:mm:ss.frac Quell-IP-Adresse.Quellport > Ziel-IP-Adresse.Zielport
--------------------------------------------------------------------
14:05:59.420924 131.173.233.8.3593 > 131.173.20.141.445: tcp 0 (DF)
14:05:59.448327 131.173.233.8.3594 > 131.173.176.97.445: tcp 0 (DF)
14:05:59.450852 131.173.233.8.3524 > 131.173.110.55.445: tcp 0 (DF)
14:05:59.485300 131.173.233.8.3526 > 131.173.36.88.445: tcp 0 (DF)
14:05:59.580718 131.173.233.8.3529 > 131.173.168.77.445: tcp 0 (DF)
14:05:59.606954 131.173.233.8.3532 > 131.173.254.150.445: tcp 0 (DF)
14:05:59.650124 131.173.233.8.3534 > 131.173.246.155.445: tcp 0 (DF)
14:05:59.668447 131.173.233.8.3535 > 131.173.21.119.445: tcp 0 (DF)
14:05:59.744449 131.173.233.8.3595 > 131.173.57.233.445: tcp 0 (DF)
14:05:59.773261 131.173.233.8.3536 > 131.173.186.212.445: tcp 0 (DF)
...
14:08:57.646399 131.173.233.8.4357 > 131.173.7.217.445: tcp 0 (DF)
14:08:57.676984 131.173.233.8.4360 > 131.173.48.190.445: tcp 0 (DF)
14:08:57.708141 131.173.233.8.4365 > 131.173.128.46.445: tcp 0 (DF)
14:08:57.747586 131.173.233.8.4361 > 131.173.185.90.445: tcp 0 (DF)
14:08:57.776810 131.173.233.8.4364 > 131.173.182.186.445: tcp 0 (DF)
14:08:57.779456 131.173.233.8.4366 > 131.173.137.70.445: tcp 0 (DF)
14:08:57.950565 131.173.233.8.4392 > 131.173.61.193.445: tcp 0 (DF)
14:08:58.667107 131.173.233.8.4371 > 131.173.252.145.445: tcp 0 (DF)
14:08:58.693126 131.173.233.8.4394 > 131.173.194.55.445: tcp 0 (DF)
14:08:58.759349 131.173.233.8.4398 > 131.173.76.153.445: tcp 0 (DF)

Den Java-Scriptvirus JS/Click.Tagem. habe ich über AntiVir einfach gelöscht. Ist der nun auch wirklich abegschaltet??

Den WORM/Rbot.148992.11 konnte ich nicht entfernen und höchstens in Quarantäne setzen. Was tun??

Das SPR/REG.Zapchast-Programm hast unter C:\a.bat eine sog. Stapelverarbeitunsdatei für MS-DOS erstellt.
Bei jedem start erhalte ich die AntiVir-Meldung über diesen Virus/Programm... und kann ihn nicht löschen (allseits bekanntes Problem). Was tun??

Die freundlichen Leute meines Uni-Servers haben mir dann einen Link zu HiJack This gemailt. Das habe ich nun durchgeführt.

Im folgenden also meine Logfile von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 09:50:13, on 14.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\Hcontrol.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\msnbeta.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\CH_Utility.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\ATKOSD.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnbeta.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnbeta.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Chrontel TV.lnk = C:\WINDOWS\system32\CH_Utility.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/09b90cbcea80d887e405/netzip/RdxIE601_de.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

So, und nun habe ich diese Logfile und weiß nicht was ich damit anfangen kann. Ist es nun möglich den Wurm und das Zapchastprogramm damit zu entfernen??
Oder benötige ich andere removal Tools??

Bitte um HILFE!?!?!

Danke pipetto

Wildone · 14.06.2006, 09:50

Hallo,
Backdoors (und der Rbot ist einer) kann man nicht entfernen, dritte haben sich Zugang zu deinem Computer verschafft und keiner kann wirklich sagen was verändert wurde.
Der Grund für die Infektion ist dein gnadenlos veraltetes System, SP2 ist mittlerweile schon über 2 Jahre draussen.
Also hier eine Anleitung wie du beim Neuaufsetzen und anschließenden absichern vorgehen solltest damit soetwas nicht wieder vorkommt.

Grüße Wildone

pipetto · 15.06.2006, 17:23

Danke Dir!!
werde dann mal komplett neu aufsetzen und auch updatemäßig dabei sein...
Grüße.

SPR/REG.Zapchast und WORM/Rbot.148992.11 -- REMOVE mit HiJackThis??

Log-Analyse und Auswertung: SPR/REG.Zapchast und WORM/Rbot.148992.11 -- REMOVE mit HiJackThis??