Würmer über Würmer
 

Hi,

ich habe ein Problem mit den Würmern worm/RBot.LN und worm/RBot.92672. Ich habe zwar mein System schon mehrmals gescant und die Würmer auch gelöscht aber ab und zu meldet sich Antivir wieder und warnt mich von den Dingern. Ich habe mal mit HJT meinen Computer gescant und das da unten dran ist halt das Logfile :).

Und eine andere Frage habe ich noch... wenn ich einige Zeit in Internet bin, wird der Computer plötzlich so langsam das nur noch ein Druck auf den Reset-Knopf Abhilfe verschafft. Im Taskmanager wird dann angezeigt das der Prozess svhost.exe 99% der CPU-Zeit für sich reserviert. Das ist nicht normal!!! Kann dies an den Würmern liegen???

Logfile of HijackThis v1.98.2
Scan saved at 14:20:18, on 10.11.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\SmartSurfer2.3\SmartSurfer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DBFBEE9-6E9B-4C29-8E5F-ED52E33EF255}: NameServer = 213.20.190.164 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DBFBEE9-6E9B-4C29-8E5F-ED52E33EF255}: NameServer = 213.20.190.164 193.189.244.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DBFBEE9-6E9B-4C29-8E5F-ED52E33EF255}: NameServer = 213.20.190.164 193.189.244.205

Ich bin für jede Hilfe dankbar!

hi smartin!

also dein log scheint soweit sauber zu sein bis auf
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Kennst du die datei IERESET.INF


den prozess svhost gibt es nicht das wäre dann ein Trojaner oder wurm

Um mehr sagen zu können mußt du dir escan runterladen.
dann in c:\bases entpacken und kavupd ausfüren
wenn escan dann aktualisiert ist gehst du in den abgesicherten modus und scannst den pc!
Wichtig du mußt einstellen "scan all files" und "scan all local drives"

das ergebnis dann hier posten



ftp://ftp.microworldsystems.com/download/tools/mwav.exe

@smartin
wenn du tatsächlich Vertreter der Rbot Familie auf deinem System hast/hattest, kann ich dir nur empfehlen das System neu aufzusetzen.
http://www.trojaner-board.de/showpos...8&postcount=12
der Post ist nur dem Rbot gewidmet, da steht so alles wissenswerte drin.

sorry... da habe ich mich wohl vertippt.Ich meine den Prozess svchost.exe !!!

kann trotzdem ein trojaner/wurm sein
hast du mal mit escan gescannt

Wenn du den wurm den du beschrieben hast wirklich drauf hast mach das was Haui45 vorgeschlagen hat!