Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Ist der Worm/RBot.on jetzt wirklich weg?

Ist der Worm/RBot.on jetzt wirklich weg?


Log-Analyse und Auswertung: Ist der Worm/RBot.on jetzt wirklich weg?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 31.10.2004, 12:18   #1
Pizzamann
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


Hi...
Wie man schon aus meinem Titel entnehmen konnte hatte/habe ich den Worm/RBot.on.
Mein AV-Guard hat den immer erkannt und auch gelöscht, allerdings kam der in unregelmäßigen Abständen wieder. Als ich dann mal auf eurem Board gestöbert habe ist mir aufgefallen dass ich mein Win Service-PAck updaten sollte. Gesagt getan.... und nun habe ich seit über einer Woche Ruhe.

Ich traue der ganzen Sache allerdings nicht und wäre sehr dankbar wenn einer der erfahrenen User mal ein Blick auf meinen Log-File werfen könnte.
Habe zwar keine Ahnung was das alles zu bedeuten hat, aber z.B. die Zeile
"O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab"
ist für mich schon sehr verwunderlich, da ich schon länger nicht mehr auf dieser Internetseite war (aus irgendeinem Grund klappt der Online-Virenscan bei mir nämlich nicht mehr).

Logfile of HijackThis v1.98.2
Scan saved at 12:52:45, on 31.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\ICQ\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\ICQ\ICQPlus\vplus.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Matlab6.5\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla\mozilla\mozilla.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Nützliches\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQ\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16

Also...was sagt ihr? Hoffnungsloser Fall oder bin ich noch zu retten wenn ich mich in Zukunft mehr um die Sicherheit im Internet bemühe?

Alt 31.10.2004, 12:38   #2
cacatoa
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


Hi, Pizzaman,
folgendes im abgesicherten Modus fixen:

R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com

Anschließend die Datei:
C:\WINDOWS\Downloaded Program Files\rundlg32.dll
löschen.

Wenn Dirnicht bekannt, dann auch diese fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16

Du kannst die IP´s auch hier erst mal abchecken.

Dann empfehle ich Dir, auf jeden Fall eScan laufen zu lassen und anschließend neu zu berichten.
cacatoa
__________________

__________________
Alt 31.10.2004, 16:48   #3
Pizzamann
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


Hi cacatoa...
Erstmal vielen Dank, dass du dich mit meinen Problemen beschäftigst.
Habe alles so gemacht wie du beschrieben hast. Die IP-Adresse ist der Nameserver über den ich in mein Uninetz gelange, deshalb habe ich die mal nicht gefixt.
Der Escan lieferte mir 2 Virusmeldungen...habe die Dateien daraufhin gelöscht.

Einstellungen\Temporary Internet Files\Content.IE5\8LE389QR\tbd1[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\BLING.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.


Nach der ganzen Aktion sieht mein Log-File folgendermaßen aus:

Logfile of HijackThis v1.98.2
Scan saved at 17:39:10, on 31.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla\mozilla\mozilla.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Nützliches\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQ\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16
__________________
Alt 31.10.2004, 18:19   #4
cacatoa
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


Na,ja, Pizzamann,
Schau mal was das war, was Du hattest. Solltest vielleicht Deine Passwörter ändern.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 31.10.2004, 23:54   #5
Pizzamann
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


nochmal vielen vielen Dank für die Hilfe!

Der war ja ein ganz schön mieser...bleibt natürlich noch abzuwarten ob ich jetzt wirklich Ruhe habe. Zunächst werde ich mir mit dem Einrichten eines eingeschränkten Benutzerkontos die Nerven aufreiben. Erhalte jetzt nämlich immer eine Fehlermeldung des Explorer.exe.

Naja, ich denke damit werde ich wohl ein anderes Forum beglücken...


Alt 02.11.2004, 18:43   #6
Pizzamann
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


Hi ich bins nochmal...also habe eben nochmal meinen Logfile gecheckt weil mein Rechner doch nicht so dolle läuft und da hat mir die automatisch Logfileauswertung folgendes als Böse markiert.


Logfile of HijackThis v1.98.2
Scan saved at 19:28:19, on 02.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\ICQ\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programme\Nero\Nero Wave Editor\WaveEdit.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Nützliches\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocxO17 - HKLM\System\CCS\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{2FE19A83-C95A-4E0A-8ECB-B8FCC8BAD3B5}: NameServer = 193.166.80.16

Was heißt das? Hab ich jetzt wieder einen?

Alt 02.11.2004, 18:56   #7
cacatoa
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


Also, Pizzamann,
jetzt versteh ich gar nix mehr.
Beim letzten Mal hattest du noch XP SP 2 und einen neu upgedateten IE drauf, jetzt ist es wieder XP SP 1 und der alte IE. Was hast du gemacht?
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 02.11.2004, 19:34   #8
Pizzamann
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


Sorry...mein Fehler!
Hatte wie ich unten schon erwähnt hatte Probleme mit Windows nachdem ich den Worm los war. Habe dann dummerweise gestern ne Systemwiederherstellung gemacht, die muss wohl vor der SP2 installation gelegen haben...und zu allem übel kann ich die nicht wieder rückgängig machen. Naja, ich denke das Beste ist ich raube dir nicht länger die Zeit und installiere mein System neu...sonst hab ich wahrscheinlich nie Ruhe.

Trotzdem vielen Dank und nochmal sorry...

Alt 02.11.2004, 19:41   #9
cacatoa
 
Ist der Worm/RBot.on jetzt wirklich weg? - Standard

Ist der Worm/RBot.on jetzt wirklich weg?


Na, dann mach doch noch mal eine nach dem Installationszeitpunkt.
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu Ist der Worm/RBot.on jetzt wirklich weg?
adobe, bho, dateien, excel, explorer, gelöscht, hijack, hijackthis, icq, ics, internet explorer, keine ahnung, log-file, meinem, messenger, microsoft, mozilla, msn messenger, nvcpl.dll, programme, rundll, rundll32.exe, sicherheit, sun java, system, system32, tcpip, update, urlsearchhook, windows, windows messenger, windows xp


« Gemeiner Virus frißt PC Programme | Frage wegen HiJackThis-Log »


Ähnliche Themen: Ist der Worm/RBot.on jetzt wirklich weg?


  1. Worm/RBot.174080
    Log-Analyse und Auswertung - 27.10.2007 (11)
  2. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  3. Worm/Rbot-AEu & Worm/Rbot-AFC Hilfe
    Mülltonne - 12.10.2005 (1)
  4. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  5. Worm RBot.93696
    Plagegeister aller Art und deren Bekämpfung - 17.03.2005 (1)
  6. Worm/Rbot.DE
    Plagegeister aller Art und deren Bekämpfung - 10.03.2005 (5)
  7. Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (12)
  8. Worm/RBot.155648.1
    Antiviren-, Firewall- und andere Schutzprogramme - 04.02.2005 (3)
  9. Worm RBot AGD
    Plagegeister aller Art und deren Bekämpfung - 23.12.2004 (8)
  10. Worm.Rbot.LN/RT
    Plagegeister aller Art und deren Bekämpfung - 13.12.2004 (1)
  11. Worm/RBot.XM nervt
    Plagegeister aller Art und deren Bekämpfung - 05.12.2004 (9)
  12. Worm/Rbot.TS
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (2)
  13. worm/Rbot.LN
    Plagegeister aller Art und deren Bekämpfung - 10.10.2004 (4)
  14. Worm/Rbot.KT
    Plagegeister aller Art und deren Bekämpfung - 06.09.2004 (4)
  15. Worm/Rbot.ET
    Plagegeister aller Art und deren Bekämpfung - 03.09.2004 (5)
  16. Worm/Rbot.DS
    Plagegeister aller Art und deren Bekämpfung - 25.08.2004 (1)
  17. Worm/RBot.**
    Plagegeister aller Art und deren Bekämpfung - 09.07.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Ist der Worm/RBot.on jetzt wirklich weg? - Hi... Wie man schon aus meinem Titel entnehmen konnte hatte/habe ich den Worm/RBot.on. Mein AV-Guard hat den immer erkannt und auch gelöscht, allerdings kam der in unregelmäßigen Abständen wieder. Als - Ist der Worm/RBot.on jetzt wirklich weg?...
Archiv
Du betrachtest: Ist der Worm/RBot.on jetzt wirklich weg? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55