Hallo,
ich habe folgendes Problem, leider aber mit der Suchfunktion und auch googlen nichts gefunden, das mir helfen konnte. Ich hoffe, ich schreibe das nun in das richtige Unterforum.
Beim Start des befallenen PCs - es handelt sich um einen Amd Duron mit Windows 2000, Service Pack 4 und 128 Mb Ram, genauer weiß ich`s grad nicht - erhielt ich folgende Fehlermeldung,

Can't run on Windows
To run this file you must use an Linux emulator
Error code: (-2394)
Error discription: LLIBKCUF / File has remove his self.

Googlen ergab, dass es sich hierbei um den Wurm Vanebot-c handelt.
Programme wie Browser oder Virenscanner kann ich nicht starten. Ich habe die auf der Seite von Sophos vorgeschlagenen Maßnahmen zur Beseitigung des Wurms ( http://www.sophos.de/support/disinfection/worms.html ) vorgenommen, gefunden und entfernt wurde jedoch nichts.
Wenn ich im abgesicherten Modus ein anderes Virenprogramm installieren möchte, so passiert gar nichts. Auch Sophos kann ich nicht deinstallieren.
Hijackthis konnte ich laufen lassen. Hab den Rechner jetzt mal vorläufig vom Netz genommen. Bin momentan echt überfragt, was ich noch tun kann. Außer vielleicht den Rechner neu aufsetzen.
Das Log von HijackThis sieht folgendermaßen aus, falls das hilft:

Logfile of HijackThis v1.99.1
Scan saved at 11:55:11, on 31.10.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\30686_netapi.exe
C:\WINNT\Explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
F2 - REG:system.ini: Shell=Explorer.exe 30686_netapi.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,30686_netapi.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Programme\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c -p -pn "LaserJet 1300 (Sekretariat)" -n -l 1031 -sl 120000
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ms Java for Windows NT] 30686_netapi.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Ms Java for Windows NT] 30686_netapi.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125927401350
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125930094695
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA709A5B-3A70-4A7D-A1B0-A4EB4D640090}: NameServer = 132.230.200.200,132.230.200.201
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe

Wäre schön, wenn ihr mir helfen könntet.

Sieht so aus, als könne mir keiner helfen. Schade. Vielleicht liegt`s ja auch am Feiertag. Ich hoff dann noch ein wenig weiter auf eine Antwort.
Übrigens lustige Sache am Rande: Ich hab nen Ordner Namens Antiviren erstellt, in den ich weitere eventuell zu installierende Antivirenprogramme (wenn der Wurm mich mal lassen würde) packen wollte. Allerdings konnte ich den Ordner nicht öffnen, da das Fenster gleich wieder zuging. Als ich den Ordner umbenannt habe konnte der Inhalt ohne Probleme angezeigt werden.

Mal ne Frage nebenbei: Angenommen ich würde den Rechner mit ner Knoppix-Cd starten, hätte ich dann Zugriff auf die Registry? Wahrscheinlich nicht, oder? Aber dann könnte ich ihn zumindest zeitweise aus der Registry löschen. Keine Ahnung, ob der Wurm sich bei jedem Neustart wieder lädt.
Auf die Idee bin ich gekommen, als ich mir nochmal die Fehlermeldung durchgelesen habe:

Can't run on Windows
To run this file you must use an Linux emulator
Error code: (-2394)
Error discription: LLIBKCUF / File has remove his self.

Man beachte das schlechte englisch (, das mich ursprünglich drauf gebracht hat, dass da wohl ein Virus oder derartiges am Werk isein könnte) und die Fehlerbeschreibung (ich sag nur "discription") LLIBKCUF rückwärts gelesen.

Kann man mit Killbox! auch Registryeinträge beim Systemstart löschen lassen? Wenn der Wurm dauernd aktiv ist, kann ich halt leider nichts unternehmen, weil er mir dauernd die Fenster und Antivirenprogramme schließt.

Hi, du bist wahrscheinlich mit deiner Anfrage durch den Rost gefallen. Sowas passiert. Zum Thema: überprüfe bei virustotal.com die Datei

Zitat:

C:\WINNT\system32\30686_netapi.exe

Poste bitte das vollständige log der Auswertung. Viel Hoffnung mache ich dir nicht, da dein System Symptome einer Backdoorinfektion zeigt. Gruß

Hi und danke für deine Antwort!

Ich werd erst morgen Nachmittag wieder an den Rechner können. Das Hochladen werde ich dann wohl nur im abgesicherten Modus können, da ich sonst den Browser nicht öffnen kann. Aber sind denn im abgesicherten Modus Netzwerk und Internet überhaupt verfügbar? Sonst müsste ich wohl die Datei mit Hilfe einer Diskette von einem anderen Rechner hochladen. Ob das so klug ist? Solange ich die Diskette schreibgeschützt lasse, sollte ja nichts schief gehen, oder?
Naja, ich werd morgen mal schauen, was sich machen läßt. Aber wahrscheinlich sollte ich mich schon mal auf das Neuaufsetzen des Systems einstellen. Vielleicht sollte ich auch noch erwähnen, dass der Rechner sich in einem Netzwerk befindet (is aber momentan sicherheitshalber davon abgekoppelt). Das heißt dann wohl, ich sollte schleunigst die Passwörter ändern.

Zitat:

Zitat von Vargen

Aber sind denn im abgesicherten Modus Netzwerk und Internet überhaupt verfügbar?

Ja, wenn du die Netzwerktreiber mit lädst.

Zitat:

Zitat von Vargen

Sonst müsste ich wohl die Datei mit Hilfe einer Diskette von einem anderen Rechner hochladen. Ob das so klug ist?

Solange du die Datei nicht ausführst sondern nur hochlädst, gibt es kein Problem.

Zitat:

Mal ne Frage nebenbei: Angenommen ich würde den Rechner mit ner Knoppix-Cd starten, hätte ich dann Zugriff auf die Registry?

Keine Ahnung, ob Knoppix einen Registryeditor mit an Board hat, knoppix ist auch nicht gleich knoppix. Aber warum so kompliziert? Lade die Datei über die live-CD hoch. Was willst du da noch in der Registry frickeln?

Zitat:

Zitat von Vargen

Das heißt dann wohl, ich sollte schleunigst die Passwörter ändern.

Yep, nicht nur die im LAN, auch die im Internet.

Falls du dich zum Neuaufsetzen entschieden hast, lies diese Anleitung nebst links. Vorsicht bei Update-packs, die nicht von MS stammen. Da gibt es gern mal Probleme, oder sie installieren Hotfixe, die dein System gar nicht braucht. Wenn es denn sein muss, nimm die Post-Servicepacks von winhelpline.de, die scheinen recht problemlos zu laufen.

@TRYTOHELPYOU: Wenn du schon im copy & paste-Verfahren mit Zitaten antwortest, solltest du es als solches wenigstens kenntlich machen und das Quell deines Wissens angeben. Ist nicht nur eine Frage des Anstandes, sondern auch der NUB.

Gruß

danke danke

Empfehle Neuinstallation, dann extern die Updates auf CD-Brennen sobald Betriebbsystem installiert ist direkt in den AbgesichertenModus wechseln (F8 beim Hochbooten)

Update installieren

Danach 2 Antivirprogramme herunterladen, dass System komplett Scannen und danach, extern auf diesen Link unten gehen, die Anleitung ausdrucken und befolgen.

!!! DARAUF ACHTEN DAS IN DIESER ZEIT DER PC KOMPLETT ABGEKOPPELT IST.!!

MFG

http://www.debian.org/doc/manuals/securing-debian-howto/ch2.de.html

Zitat:

Zitat von Vargen

Mal ne Frage nebenbei: Angenommen ich würde den Rechner mit ner Knoppix-Cd starten, hätte ich dann Zugriff auf die Registry?

Linux bringt bereits die Treiber für FAT- und NTFS-Partitionen mit. Die Installation erkennt vorhandene Windows-Laufwerke und bindet sie gleich ein, so dass Sie über Desktop-Icons auf sie zugreifen können. Auf FAT-Partitionen können Sie lesen und schreiben. NTFS-Partitionen sind mit dem Linux-eigenen Treiber nur lesbar: Es gibt zwar einen experimentellen Schreibzugriff, aber dieser kann Daten zerstören. Das Wissen über die Windows-Partitionen bezieht Linux aus der Datei /etc/fstab. Wenn Sie erst nach der Linux-Installation eine Festplatte mit Windows-Partitionen einbauen und diese einbinden wollen, müssen Sie entsprechende Zeilen in diese Datei aufnehmen. Das geschieht nach dem Muster der bereits vorhandenen Zeilen: Zuerst geben Sie die Partition an, dann durch ein Leerzeichen getrennt das Verzeichnis, in das sie gemountet werden soll. Dieses Verzeichnis müssen Sie zuvor mit „mkdir“ anlegen. Nach einem weiteren Leerzeichen folgt als dritter Parameter das Dateisystem – „vfat“ für FATPartitionen und „ntfs“ für NTFS-Partitionen. Wiederum nach einem Leerzeichen geben Sie, durch Kommata getrennt, die Optionen für das Mounten ein. Hier übernehmen Sie am besten die bei der Installation eingerichteten Optionen für die bereits vorhandenen Partitionen.

Ob diese Funktion mit der LiveCd zu erledigen ist, müssten sie ausprobieren

Zitat:

Zitat von Vargen

Aber sind denn im abgesicherten Modus Netzwerk und Internet überhaupt verfügbar

Wenn du am Anfang bei die Option mit Netzwerkunterstützung(oder so ähnlich ) wählst, dann hast du auch Netzwerkunterstützung. Also besser gesagt, dann würde der Treiber deiner Netzwerkkarte mitgeladen werden.

Achte aber darauf, dass WLAN-Netzwerkkarten nicht mitgeladen werden.

Zitat:

Zitat von Vargen

Solange ich die Diskette schreibgeschützt lasse, sollte ja nichts schief gehen, oder?

Würde ich dir nicht empfehlen, da Viren,etc sich nichts aus Schreibschutz machen. :-)

Wo lad ich mir denn am besten die service packs und updates für win 2000 (mehr packt der Rechner wohl leider nicht) runter? Gibt`s da vielleicht auch irgendwo komplette update packs wie für xp bei winfuture.de? Muss aber heut Nachmittag eh erst mal schauen, was da noch für Cds mit service packs rumliegen.
Auf jeden Fall schonmal vielen Dank für deine Einschätzung und Informationen. Die Seite über das Absichern von Debian hat mir allerdings nicht viel geholfen, weil ich eigentlich gar keine Ahnung von Linux hab. Muss auf jeden Fall, auch wegen den anderen Rechnern im Netzwerk, Win 2000 drauf bleiben.
OT: Ich wohne lustigerweise auch in Freiburg

http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/default.mspx