|
SPR/REG.Zapchast und WORM/Rbot.148992.11 -- REMOVE mit HiJackThis?? Hallo da draußen. Ich habe von AntiVir folgende meldungen erhalten: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DD82OF1V\rmtag2[1].js [0] Archivtyp: GZ --> rmtag2[1] [FUND] Enthält Signatur des Java-Scriptvirus JS/Click.Tagem.A [INFO] Die Datei wurde gelöscht. C:\WINDOWS\system32\TFTP456 [FUND] Enthält Signatur des Wurmes WORM/Rbot.148992.11 C:\a.bat [FUND] Enthält Signatur des SPR/REG.Zapchast-Programmes Ich wähle mich über meine Universität ins Netz ein. Die zuständigen Leute dort haben mir folgendes geschickt: Sehr geehrte(r) Administrator(in), Sie haben sich zur oben angegeben Zeit ueber uni@osnatel in das Hochschulnetz eingewaehlt. Ihr Rechner hat dabei mehr als zwei- hundert Pakete zu ungueltigen IP-Adressen versendet. Das ist sehr oft ein Zeichen dafuer, dass das Betriebssystem durch einen Virus, Wurm etc. infiziert ist. Die Ursache kann auch eine Fehlkonfiguration des Systems sein. Im Wiederholungsfall behalten wir uns vor, Ihre Benutzerkennung zu sperren. Logfile: hh:mm:ss.frac Quell-IP-Adresse.Quellport > Ziel-IP-Adresse.Zielport -------------------------------------------------------------------- 14:05:59.420924 131.173.233.8.3593 > 131.173.20.141.445: tcp 0 (DF) 14:05:59.448327 131.173.233.8.3594 > 131.173.176.97.445: tcp 0 (DF) 14:05:59.450852 131.173.233.8.3524 > 131.173.110.55.445: tcp 0 (DF) 14:05:59.485300 131.173.233.8.3526 > 131.173.36.88.445: tcp 0 (DF) 14:05:59.580718 131.173.233.8.3529 > 131.173.168.77.445: tcp 0 (DF) 14:05:59.606954 131.173.233.8.3532 > 131.173.254.150.445: tcp 0 (DF) 14:05:59.650124 131.173.233.8.3534 > 131.173.246.155.445: tcp 0 (DF) 14:05:59.668447 131.173.233.8.3535 > 131.173.21.119.445: tcp 0 (DF) 14:05:59.744449 131.173.233.8.3595 > 131.173.57.233.445: tcp 0 (DF) 14:05:59.773261 131.173.233.8.3536 > 131.173.186.212.445: tcp 0 (DF) ... 14:08:57.646399 131.173.233.8.4357 > 131.173.7.217.445: tcp 0 (DF) 14:08:57.676984 131.173.233.8.4360 > 131.173.48.190.445: tcp 0 (DF) 14:08:57.708141 131.173.233.8.4365 > 131.173.128.46.445: tcp 0 (DF) 14:08:57.747586 131.173.233.8.4361 > 131.173.185.90.445: tcp 0 (DF) 14:08:57.776810 131.173.233.8.4364 > 131.173.182.186.445: tcp 0 (DF) 14:08:57.779456 131.173.233.8.4366 > 131.173.137.70.445: tcp 0 (DF) 14:08:57.950565 131.173.233.8.4392 > 131.173.61.193.445: tcp 0 (DF) 14:08:58.667107 131.173.233.8.4371 > 131.173.252.145.445: tcp 0 (DF) 14:08:58.693126 131.173.233.8.4394 > 131.173.194.55.445: tcp 0 (DF) 14:08:58.759349 131.173.233.8.4398 > 131.173.76.153.445: tcp 0 (DF) Den Java-Scriptvirus JS/Click.Tagem. habe ich über AntiVir einfach gelöscht. Ist der nun auch wirklich abegschaltet?? Den WORM/Rbot.148992.11 konnte ich nicht entfernen und höchstens in Quarantäne setzen. Was tun?? Das SPR/REG.Zapchast-Programm hast unter C:\a.bat eine sog. Stapelverarbeitunsdatei für MS-DOS erstellt. Bei jedem start erhalte ich die AntiVir-Meldung über diesen Virus/Programm... und kann ihn nicht löschen (allseits bekanntes Problem). Was tun?? Die freundlichen Leute meines Uni-Servers haben mir dann einen Link zu HiJack This gemailt. Das habe ich nun durchgeführt. Im folgenden also meine Logfile von HiJackThis: Logfile of HijackThis v1.99.1 Scan saved at 09:50:13, on 14.06.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\khooker.exe C:\WINDOWS\System32\pctspk.exe C:\WINDOWS\Hcontrol.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\msnbeta.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\system32\CH_Utility.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\ATKOSD.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [MSNS PLUS XP2] msnbeta.exe O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnbeta.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Chrontel TV.lnk = C:\WINDOWS\system32\CH_Utility.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/09b90cbcea80d887e405/netzip/RdxIE601_de.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe So, und nun habe ich diese Logfile und weiß nicht was ich damit anfangen kann. Ist es nun möglich den Wurm und das Zapchastprogramm damit zu entfernen?? Oder benötige ich andere removal Tools?? Bitte um HILFE!?!?! Danke pipetto |
Hallo, Backdoors (und der Rbot ist einer) kann man nicht entfernen, dritte haben sich Zugang zu deinem Computer verschafft und keiner kann wirklich sagen was verändert wurde. Der Grund für die Infektion ist dein gnadenlos veraltetes System, SP2 ist mittlerweile schon über 2 Jahre draussen. Also hier eine Anleitung wie du beim Neuaufsetzen und anschließenden absichern vorgehen solltest damit soetwas nicht wieder vorkommt. Grüße Wildone |
Danke Dir!! werde dann mal komplett neu aufsetzen und auch updatemäßig dabei sein... Grüße. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board