wurm rbot.94208

Dieses Thema im Forum "Sicherheit" wurde erstellt von wuwatz, 3. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. wuwatz

    wuwatz Byte

    Registriert seit:
    22. Juni 2002
    Beiträge:
    24
    Hallo!

    Na wunderbar! Wie bereits von Sasser und co bekannt, fährt mein Computer mir dauernd runter, wenn ich ne Zeit lang im Internet bin. Mein Antivir erkennt auch einen Wurm namens rbot.94208, aber ich weiß nicht, wie ich den loswerde.
    Auf der Microsoftpage bin ich nicht fündig geworden. Hat jemand nen Tip

    Danke
     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
  3. Yorgos

    Yorgos Viertel Gigabyte

    Registriert seit:
    2. Februar 2003
    Beiträge:
    3.963
  4. wuwatz

    wuwatz Byte

    Registriert seit:
    22. Juni 2002
    Beiträge:
    24
    @cidre: Bitte sehr, die logfile:


    Logfile of HijackThis v1.98.0
    Scan saved at 19:49:11, on 03.07.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe
    C:\WINDOWS\System32\wserv32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Dokumente und Einstellungen\Conny\Desktop\HijackThis.exe

    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe"
    O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

     
  5. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo wuwatz

    Du solltest ganz dringend dein System aktualisieren!

    Bei dir steht:

    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Da sollte stehen:

    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Vorher solltest du folgende Einträge fixen lassen:

    F0 - system.ini: Shell=

    O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe

    O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe

    Gruß
    Nevok
     
  6. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ wuwatz
    Das sieht nicht gut aus für dich. Dein System ist ungepatcht, d.h. fehlende SP1 für BS und IE, sowie weitere sicherheitsrelevante Updates. Desweiteren wie dein AntiVir schon erkannt hat, hast du dir den WORM_RBOT.AF mit Backdoor Funktion eingefangen.
    Hier ist der Übeltäter:
    C:\WINDOWS\System32\wserv32.exe
    Info: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.AF

    Meine Empfehlung an dich:
    Setze dein System neu auf, da es nicht mehr vertrauenswürdig ist.
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
    http://schad.dyndns.org/index.php/Kompromittierung

    Danach
    1. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
    2. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
    3. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    4. Deine Passwörter ändern
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen