| |
| |||||||
Log-Analyse und Auswertung: Worm/Rbot.174080 gefunden, brauche Hilfe :-(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.07.2008, 08:20
| #1 |
 |  Worm/Rbot.174080 gefunden, brauche Hilfe :-( Hallo! Ich hab nen großen Fehler begangen und werd jetzt denke ich dafür bestraft. Hab den Laptop einer Freundin neu aufgesetzt und sie wollte Daten sichern und ich hab die, ohne sie zu prüfen, übers Netzwerk auf meinen PC gezogen. Nun meldet mir Antivir in genau diesem Ordner einen Worm/Rbot.174080, ich hab den Zugriff verweigert, aber nicht wirklich eine Ahnung, wie ich das wegbekommen soll ohne den PC neu aufzusetzen. Anbei mal ein HJT-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:14:32, on 02.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\NDAS\System\ndasmgmt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\NDAS\System\ndassvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Global Startup: NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 6952 bytes Gefunden wurde es jedoch von Antivir: In der Datei 'D:\Neuer Ordner (2)\MUSIC\LimeWire\The New Adventures Of Winnie The Pooh E23&24.zip' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.174080' [worm] gefunden. Ausgeführte Aktion: Zugriff verweigern Ausgeführt oder ähnliches hab ich in dem Ordner nicht wirklich was. Wär aber dankbar, wenn mir wer helfen könnte :-) Danke schon mal im Vorraus! schrawenzel |
|
02.07.2008, 09:42
| #2 |
| /// AVZ-Toolkit Guru   | Worm/Rbot.174080 gefunden, brauche Hilfe :-( Halli hallo.
__________________Das ist natürlich echt ärgerlich. Du solltest deiner Freundin mal erklären das man besser nicht über P2P Netzwerke saugt. Ich kann bei dir keinen Rbot erkennen. Hast du denn irgendeine der Dateien ausgeführt die du von ihr hast? Wenn nicht dann hat dich AntiVir wahrscheinlich vor Schlimmerem bewahrt.. Daten solltest du am besten keine sichern. Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun: a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht. b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden. c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!! Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien! Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! PS: Lösche alle Daten die nicht obigem Beispiel entsprchend gesichert wurden. Konfiguriere AntiVir aggressiv und führe einen Vollscan durch.
__________________ |
|
02.07.2008, 10:04
| #3 |
  | Worm/Rbot.174080 gefunden, brauche Hilfe :-( Vielleicht noch angemerkt, lösche den Ordner mit dem Trojanerfund. Hat dann deine Freundin zwar keine illegalen Dateien mehr, aber auch keinen Trojaner.
__________________ |
|
02.07.2008, 10:23
| #4 |
| | Worm/Rbot.174080 gefunden, brauche Hilfe :-( Hallo, danke erstmal für deine rasche Antwort. Ich habe von dem Ordner, den ich rüberkopiert habe, ein paar Dateien ausgeführt (waren ein paar Lieder, die ich mir angehört habe, vielleicht 4 oder so). Hab das aber jetzt nicht ganz verstanden, soll ich zuerst den PC neu aufsetzen und dann Antivir aggressiv laufen lassen oder zuerst Antivir laufen lassen und dann eventuell neu aufsetzen? Würd sehr gern ohne ein "neu aufsetzen" auskommen, da ich einiges an Daten habe, die ich so nicht mehr kriegen werde.. Wenns aber nicht anders geht, muss halt alles runter  Und noch ne Frage: Kann sich Worm/Rbot.174080 selbstständig über ein Netzwerk weiterverbreiten? Ich hab an dem Netzwerk noch 2 PC's und nen Laptop hängen (von dem ich auch grad schreib, weil ich den infizierten Rechner vom Internet getrennt hab). Was genau ist Worm/Rbot.174080 eigentlich (Wurm, Backdoor etc.)? |
|
02.07.2008, 10:24
| #5 | |
| | Worm/Rbot.174080 gefunden, brauche Hilfe :-(Zitat:
|
|
02.07.2008, 10:32
| #6 | |
| /// AVZ-Toolkit Guru | Worm/Rbot.174080 gefunden, brauche Hilfe :-( Du musst nicht neuaufsetzten!!! Mit dem Satz hier: Zitat:
Und Ja, der RBot kann sich selbständig verteilen.
__________________ --> Worm/Rbot.174080 gefunden, brauche Hilfe :-( |
|
02.07.2008, 10:56
| #7 | |
| | Worm/Rbot.174080 gefunden, brauche Hilfe :-(Zitat:
 Danke!!! Damit hast du meinen Tag gerettet!!!! Die Freundin hab ich schon angerufen, dass sie wieder mit dem Laptop unterm Arm antanzen kann...  Sie kennt sich leider nicht wirklich gut aus mit allem was Technik betrifft...Danke dir für die rasche Hilfe!!! |
|
| Themen zu Worm/Rbot.174080 gefunden, brauche Hilfe :-( |
| adobe, antivir, avira, bho, brauche hilfe, daten sichern, explorer, fehler, firefox, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, limewire, mozilla, mozilla firefox, netzwerk, neu aufgesetzt, prüfen, rundll, senden, server, software, system, virus, windows, windows xp, zugriff verweigert |
Linear-Darstellung
