Rbot.LN mit hijackthis fixen?
 

Moin,
ich hab ja schon ein wenig darüber erfahren, was ich machen muss, um das Übel Worm/Rbot.LN loszuwerden. Dazu muss ich, soweit ich weiß, mein system neu raufspielen :(
Aber davor soll ich wohl noch in hijackthis ein paar einträge fixen. Aber ich weiß natürlich nicht welche. Deshalb hier meine logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AV\AVGNT.EXE
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AV\AVGUARD.EXE
C:\Programme\AV\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\hpzstatn.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Macke\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AV\AVGNT.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{30BF5A4C-0267-4453-97A7-11C037646BA3}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS3\Services\Tcpip\..\{30BF5A4C-0267-4453-97A7-11C037646BA3}: NameServer = 62.72.64.237 62.72.64.241


bitte, bitte helft mir!!!!

Hallo,

Warum?

Poste mal den Pfad zum Rbot.LN, den dir AntiVir ausgegeben hat.

Da Du ja sowieso "format c:" machst, kannst Du Dir das fixen sparen.

Gruß :daumenhoc
Yopie

@yopie
also der pfad ging nach c:\windows\systen32\ glaube ich (muss nochmal genau nachgucken, weil ich nicht mehr mit meinem compi ins internet gehe. hab mir dadurch neue viren eingefangen)
Und außerdem wollte ich format c eigentlich vermeiden, backup wird trotzdem gemacht.

oder gibts dazu keine alternative?

danke für die meldung

Nein.

Backup vom verseuchten Rechner? Was soll das bringen?

Gruß :daumenhoc
Yopie

soweit ich weiß, werden nur ausführbare dateien verseucht (.exe .bat .com etc)
und eigentlich würde ich ja schon gerne meine fotos und meine musikdateien, dokumente und so weiter retten wollen.

ok, ich mache es so:
erst mache ich datenrettung für sogenannte "nicht-ausführbare" dateien.
Dann kommt der nicht gern ausgeführte Befehl format c.
ja und der rest ist natürlich genauso mühsam :heulen: .
aber dann ist hoffentlich alles sauber.

to be continued

das hat mein av-wächter(ich nutze av-personal) mal gesagt gehabt:
[WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.LN!
C:\WINDOWS\SYSTEM32\TFTP336
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!

allerdings meldet er keine neuen infektionen.
Jedoch fragt mich meine fire-wall um die erlaubnis eines zugriffes eines "trivial file transfer" protokolls, was ich natürlich immer wieder blocke. aber der wurm scheint ja noch lange nicht "weg" zu sein.

Ja, das ist ok. Du solltest aber auch die reinen Daten-Dateien nach der Sicherung scannen, auf einem sauberen Rechner.
Das ist ja das tückische bei Backdoors. Jemand hatte Vollzugriff auf Deinen Rechner und konnte Dir Schadprogramme unterjubeln, die von Virenscannern nicht erkannt werden.

Achte darauf, dass vor dem Onlinegehen nach Neuaufsetzen alle Updates installiert sind, Du keine Dienste ins Internet anbietest (welches Betriebssystem?) und Du (bei XP) die Firewall aktiviert hast. Für die Updates bietet es sich an, die winboard-org-UpdatePacks von einem sauberen Rechner runterzuladen. So hast Du zumindest schon mal die meisten.
Zum sicheren Browser brauch ich ja nix sagen, Du benutzt den Firefox ja schon. ;)
Ach so, noch was: Java ist in der Version "_06" aktuell!

Und zum Schluß noch mein Lieblingslink. Durchlesen und verinnerlichen! :)

Gruß :daumenhoc
Yopie

erstmal ein gesundes neues an alle.

und nun zur schlechten nachricht. der kandidat worm/agobot.136218 hat mindestens die beiden dateien MSlti64.exe und winhlpp32.exe infiziert.(erstere kann nur nach reboot gelöscht werden, zweitere wurde vom antiviren-prog schon gelöscht, war vielleicht etwas voreilig von mir :dummguck: )

meine hijackthis-log:

Logfile of HijackThis v1.99.0
Scan saved at 14:06:38, on 02.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\hpzstatn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\Sygate\SPF\smc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\DOKUME~1\Icke\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{54286AC8-31D6-48DB-AEEE-D13C89212975}: NameServer = 217.9.42.98 217.9.47.254
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Printer Status Server - Hewlett-Packard Company - C:\WINDOWS\System32\spool\drivers\w32x86\hpzstatn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

ich hab ja schon ein paar kandidaten, aber wollte erst noch ne versierte meinung einholen, bevor alles wieder futsch is :crazy:

der virus (wenn es denn der und nicht ein anderer war; ist ja möglich) trat, kurz nachdem ich die WindowsXP- eigene firewall deaktiviert habe, auf. seine aktion ist ein, immer wieder in sehr unregelmäßigen abständen, selbständiges herunterfahren des rechners. also es öffnet sich ein nicht schließbares fenster, wo ein countdown von ner minute runtergezählt wird. die begründung der herunterfahr-aktion wird im fenster als "...RPC [irgendeine remoteprozedur] beendet" angegeben.
der befehl "shutdown -a" bringt leider nix. ich kann nur zugucken :balla: und warten.

Er hat die Dateien nicht infiziert, sondern das sind die Dateien der Malware (Agobot).
Info zu den beiden Dateien wird Google mit Sicherheit liefern.

Lange Rede kurzer Sinn und erneut dies ausführen:
http://www.trojaner-board.de/showpos...28&postcount=2

Darum sollte ja auch ein System voll gepatcht sein, damit man sich eben nicht auf die Scheinsicherheitssoftware "Desktop Firewall", in deinem Fall die Windows eigene XP Internetverbindungsfirewall, verlassen muss.

Les dir diesmal alle Links meiner Empfehlung durch und handle wenigstens jetzt danach!

btw:
Ein Image von deinem frisch aufgesetzten Windows XP hast du doch nicht erstellt, oder?
Wozu auch?!

hm... das ist alles, was dazu zu sagen war? gibt es denn keine möglichkeit ihn anders loszuwerden?

Kurz und knapp;Nein!

Dazu auch: http://oschad.de/wiki/index.php/Kompromittierung

Agobot hat dieselbe Gefährlichkeitsstufe wie der Rbot, daher dieselben Konsequenzen. Allerdings musst du dich dann diesmal auch genau an das halten, was gesagt wurde, denn auch der neue Wurm muss irgendwoher gekommen sein, entweder aus Backups von deinem alten Rechner (was genau hast du gesichert und wiederverwendet) oder durch nicht gepatchte Sicherheitslücken (du hast nicht alle Patches installiert) oder durch wieder neu heruntergeladene infizierte Dateien. Von dem alten System sollten wirklich NUR, wenn überhaupt, reine Daten also doc, mp3, gesichert werden, Zip-Dateien, die Programme enthalten, sind genauso gefährlich wie exe-Dateien.

@mountainKing
danke für die Antwort. ich hab bei meinen backups darauf geachtet, KEINE ausführbaren Dateien, sowie gepackte Dateien, auf scheibe zu sichern.

ich hoffe, eigene bilddateien (*.jpg) sind auch unproblematisch. :confused: