HiJackThis Log-File auswerten bitte

Diocletian · 09.03.2007, 18:54

Hallo zusammen!

Ich habe an meinem Rechner folgendes Problem. Seit kurzem habe ich einen Wurm drauf, bekomme auch eine Meldung von AntiVir mit der Meldung "C:\SystemVolumeInformation\.....\A0002349.exe enthält Signatur des Wurmes WORM/Rbot.127488.16

Ich bekomme diesen Wurm nicht weg. Weder mit Antivir, noch mit Spybot und Ad-Aware

Ich poste euch auch noch die HijackThis Log-File... vielleicht wisst ihr wie ich dem Wurm zuleibe rücken kann.

Logfile of HijackThis v1.99.1
Scan saved at 12:04:34, on 09.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\xvnctdh.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt4.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Warrior\Lokale Einstellungen\Temp\Temporäres
Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition
Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\xvnctdh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Live-Help] lmns.exe
O4 - HKLM\..\Run: [Windows-Xdate] wuauclt4.exe
O4 - HKLM\..\Run: [Windows-Xordate] sox7.exe
O4 - HKLM\..\RunServices: [Live-Help] lmns.exe
O4 - HKLM\..\RunServices: [Windows-Xdate] wuauclt4.exe
O4 - HKLM\..\RunServices: [Update] ns74.exe
O4 - HKLM\..\RunServices: [Windows-Xordate] sox7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Live-Help] lmns.exe
O4 - HKCU\..\Run: [Windows-Xdate] wuauclt4.exe
O4 - HKCU\..\Run: [Update] ns74.exe
O4 - HKCU\..\Run: [Windows-Xordate] sox7.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &
Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) -
Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) -
AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows System Service (SYSTEMSVC) - Unknown owner -
C:\WINDOWS\system\system.exe (file missing)

Vielen Dank schonmal!

PS: Weder google, noch die Suche hier im Forum ergaben eine Lösung.

Damon Ridenow · 09.03.2007, 19:04

Ich bin keiner der erfahrenen Helfer auf diesem Board, aber zwei Sachen fallen mir auf Anhieb auf:

Zitat:

Zitat von Diocletian

Platform: Windows XP SP1 (WinNT 5.01.2600)

Ein Update auf SP2 wär hilfreich

Zitat:

Zitat von Diocletian

C:\WINDOWS\System32\xvnctdh.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\xvnctdh.exe

O4 - HKLM\..\Run: [Live-Help] lmns.exe
O4 - HKLM\..\Run: [Windows-Xordate] sox7.exe
O4 - HKLM\..\RunServices: [Live-Help] lmns.exe
O4 - HKLM\..\RunServices: [Update] ns74.exe
O4 - HKLM\..\RunServices: [Windows-Xordate] sox7.exe
O4 - HKCU\..\Run: [Live-Help] lmns.exe
O4 - HKCU\..\Run: [Update] ns74.exe
O4 - HKCU\..\Run: [Windows-Xordate] sox7.exe

Diese vier Dateien kann ich persönlich nicht zuordnen. Wenn du magst, scanne sie bei Viruslist.com - Information About Viruses, Hackers and Spam und poste uns das Ergebnis hier herein.

Franz1968 · 09.03.2007, 19:11

Hallo,
ohne jede einzelne Datei gegoogelt zu haben kann man sagen, dass die folgenden Einträge in deinem Log-File

Zitat:

C:\WINDOWS\System32\xvnctdh.exe
C:\WINDOWS\System32\wuauclt4.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\xvnctdh.exe
O4 - HKLM\..\Run: [Live-Help] lmns.exe
O4 - HKLM\..\Run: [Windows-Xdate] wuauclt4.exe
O4 - HKLM\..\Run: [Windows-Xordate] sox7.exe
O4 - HKLM\..\RunServices: [Live-Help] lmns.exe
O4 - HKLM\..\RunServices: [Windows-Xdate] wuauclt4.exe
O4 - HKLM\..\RunServices: [Update] ns74.exe
O4 - HKLM\..\RunServices: [Windows-Xordate] sox7.exe
O4 - HKCU\..\Run: [Live-Help] lmns.exe
O4 - HKCU\..\Run: [Windows-Xdate] wuauclt4.exe
O4 - HKCU\..\Run: [Update] ns74.exe
O4 - HKCU\..\Run: [Windows-Xordate] sox7.exe
O23 - Service: Windows System Service (SYSTEMSVC) - Unknown owner -
C:\WINDOWS\system\system.exe (file missing)

durch Malware verursacht sind. Zumindest die Datei lmns.exe geht auf eine Rbot-Variante zurück. Da somit eine Backdoor auf deinem System aktiv ist, kann dir nichts anderes empfohlen werden, als deine (nicht ausführbaren !) Dateien zu sichern und deinen Rechner neu aufzusetzen. Bitte folge Cidres Anleitung; diese findest du in der FAQ-Sektion hier im Forum. -
Tut mir leid, dass ich dir nichts angenehmeres und einfacheres sagen kann.

[edit] Damon Ridenow, du warst nicht nur schneller, sondern hast auch den wichtigen Hinweis auf das fehlende SP 2 gegeben, den ich vergessen hatte!

[/edit]

Diocletian · 09.03.2007, 21:32

Okay. Ich danke euch!

HiJackThis Log-File auswerten bitte

Log-Analyse und Auswertung: HiJackThis Log-File auswerten bitte