Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: worm rbot.zm oder nicht?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.03.2005, 06:43   #1
Tisie
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



Hallo Ihr lieben Helfer in der Not,

seit einiger Zeit habe ich folgende Probleme und leider (und das noch länger) von nix ne Ahnung:
- mein PC bleibt beim Runterfahren oft hängen
- er stürzt immer wieder ab
- er ist bisweilen sehr langsam

AntiVir fand vor kurzem den worm rbot.zm Leider habe ich das Problem durch AntiVir gleich mal beheben lassen, las dann aber später, daß das wohl nicht ausreicht...
AntiVir meldete mir dann immer wieder, daß C:\system volume information\_restore{C37EDB4C-3721-4753-A25A-C09768680CC4}\RP7\A0018116.EXE die Signatur dieses besagten Wurmes enthalte.
Lasse ich AntiVir nochmals scannen, gibt es merkwürdigerweise keine Meldung.

Nun versuche ich mal all die netten Infos zu posten, die Ihr braucht (hoffe ich bin nicht zu doof dazu!)

Vielen Dank schon mal im Voraus,
Tisie - die verzweifelte Ahnungslose

Alt 13.03.2005, 06:58   #2
Tisie
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



Habe noch Probleme eScan zu posten...

Logfile of HijackThis v1.99.1
Scan saved at 13:32:54, on 07.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Status] STATUS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
__________________


Geändert von Tisie (13.03.2005 um 14:59 Uhr)

Alt 13.03.2005, 07:05   #3
cronos
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



Escan:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Sollte das jetzt eine allgemeine Frage sein, gehe wie folgt vor.
Markiere den zu kopierenden Teil.
Drücke Strg+c .(kopieren)
Klick dich in das Antwortfeld,
Drücke Strg+v (einfügen)
Fertig
__________________
__________________

Alt 13.03.2005, 07:23   #4
Tisie
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



File D:\Cabs\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File D:\Cabs\ols\aol\aol40de.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Treiber\Modem\Win95_98\Ptsnoop.exe tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.
File D:\Esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.
Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

=> Total Files Scanned: 22302
=> Total Virus(es) Found: 4
=> Total Disinfected Files: 0
=> Total Files Renamed: 0
=> Total Deleted Files: 0
=> Total Errors: 8
Time Elapsed: 01:12:31
Virus Database Date: 2005/02/14
Virus Database Count: 118236

Puh, schnauf, geschafft!

Geändert von Tisie (13.03.2005 um 09:40 Uhr)

Alt 13.03.2005, 12:37   #5
Cidre
Administrator, a.D.
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



Zitat:
=> Total Files Scanned: 22302
Du hast eScan AntiVirus nicht richtig ausgeführt! Setze alle Haken, wie hier beschrieben und scanne erneut im abgesicherten Modus.

Dein HJT Log-File solltest du im normalen Modus erstellen und auch anschliessend posten.

Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Warum ist dein System nicht up to date?

Wichtig:
Editiere deinen Realname aus deinem Log-File und zwar so:
Zitat:
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp

__________________
Gruß, Cidre


Alt 13.03.2005, 17:00   #6
Tisie
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



Also, auf ein Neues...

Viel hat sich anscheinend nicht verändert. Daß nur so wenig Dateien durchsucht wurden könnte daran liegen, daß ich schlicht und ergreifend noch nicht so viele habe, da mein System vor kurzem neu aufgesetzt und mit Windows XP beglückt wurde. Offensichtlich nicht professionell genug; was meinst Du denn genau mit "nicht up to date"?

Logfile of HijackThis v1.99.1
Scan saved at 18:32:53, on 13.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\STATUS.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Status] STATUS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Nun eScan:
=> Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
File D:\Cabs\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File D:\Cabs\ols\aol\aol40de.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Treiber\Modem\Win95_98\Ptsnoop.exe tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.
File D:\Esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.


Sun Mar 13 18:17:45 2005 => Total Files Scanned: 23392
Sun Mar 13 18:17:46 2005 => Total Virus(es) Found: 4
Sun Mar 13 18:17:46 2005 => Total Disinfected Files: 0
Sun Mar 13 18:17:46 2005 => Total Files Renamed: 0
Sun Mar 13 18:17:46 2005 => Total Deleted Files: 0
Sun Mar 13 18:17:47 2005 => Total Errors: 13
Sun Mar 13 18:17:47 2005 => Time Elapsed: 01:10:32
Sun Mar 13 18:17:47 2005 => Virus Database Date: 2005/02/14
Sun Mar 13 18:17:47 2005 => Virus Database Count: 118236

Große Sorgen macht mir die ehemalige Meldung von Antivir bzgl. worm rbot.zm !!! Bitte nicht vergessen!

Hoffe ich hab´s jetzt richtig gemacht und Ihr könnt damit was anfangen!
Tisie

Alt 13.03.2005, 17:29   #7
Cidre
Administrator, a.D.
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



Zitat:
was meinst Du denn genau mit "nicht up to date"?
D.h., dass dein System nicht mit den, aus Sicherheitsgründen, notwendigen Service Pack 2 und weiteren Updates/Patches versorgt worden ist.
Kurz gesagt, es ist nach aussen hin offen wie ein 'Scheunentor'.

Kurz Erklärung zu den einzelnen Begriffen:
http://www.computerbase.de/lexikon/Service_Pack
http://www.computerbase.de/lexikon/Update
http://www.computerbase.de/lexikon/Patch_(Software)

Zitat:
Große Sorgen macht mir die ehemalige Meldung von Antivir bzgl. worm rbot.zm !!! Bitte nicht vergessen!
Imho könnte es sich um einen Fehlalarm von AntiVir handeln, aber letztendliche Sicherheit gibt es nur, wenn du dein System, siehe Signatur, neu aufsetzen würdest.
Sollte eigentlich kein Problem darstellen, da wie du selbst sagst, noch nicht viele persönliche Daten auf deinem jetzigen System vorhanden sind.
__________________
Gruß, Cidre


Alt 15.03.2005, 08:13   #8
Tisie
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



Erst mal vielen Dank für Deine Hilfe!!!
Alles andere scheint wohl OK zu sein, oder?

Ich gehe lieber auf Nummer sicher, da ich fast nicht glauben kann, daß AntiVir mir mehrfach Fehlermeldungen erteilt, einfach so aus Jux und Dollerei.
Da ich diesmal das System selbst Neuaufsetzen muß, bin ich nun mittelmäßig verweifelt (trotz Anleitung)! Kann man da viel falsch machen??? Wie lösche ich denn all den alten Kram? Kennst Du zufällig jemanden in Pretoria (S-Afrika), der mal eben vorbeikommen und mir helfen könnte

Muß ich denn (bevor ich alles lösche) den vermeindlichen Wurm nochmals vehement bekämpfen oder reicht es aus, wenn ich alles lösche?

Daß der ganze Computerkram heutzutage auch so kompliziert geworden ist

Liebe Grüße,
Tisie

Alt 15.03.2005, 09:22   #9
cronos
 
worm rbot.zm oder nicht? - Standard

worm rbot.zm oder nicht?



D musst nur formatieren und dann das System installieren.Dann sollte Ruhe sein.

Hier eine allg. Anleitung wie man XP aufsetzt.

http://8ung.at/chemikers-home/SETUP.html

und natürlich diese zur Absicherung des Systems:
http://www.trojaner-info.de/report_i...nleitung.shtml
__________________
Only cronos endures

Antwort

Themen zu worm rbot.zm oder nicht?
.exe, ahnung, ahnungslos, brauch, folge, folgende, immer wieder, information, infos, länger, melde, netten, not, posten, probleme, restore, runterfahren, scan, scanne, scannen, signatur, stürzt, system, system volume information, versuche, volume, worm, _restore



Ähnliche Themen: worm rbot.zm oder nicht?


  1. WORM/Rbot.210944 - ist er weg?
    Log-Analyse und Auswertung - 03.09.2007 (7)
  2. Habe fettes Problem!!!Kriege den WORM/Rbot.175104.4 nicht weg!!!Bitte um Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 17.03.2006 (13)
  3. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  4. Worm/Rbot-AEu & Worm/Rbot-AFC Hilfe
    Mülltonne - 12.10.2005 (1)
  5. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  6. Worm/Rbot.DE
    Plagegeister aller Art und deren Bekämpfung - 10.03.2005 (5)
  7. Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (12)
  8. Worm/RBot.155648.1
    Antiviren-, Firewall- und andere Schutzprogramme - 04.02.2005 (3)
  9. %mal formatiert aber bekomme Worm/Rbot.AAK nicht weg
    Log-Analyse und Auswertung - 20.01.2005 (39)
  10. Worm RBot AGD
    Plagegeister aller Art und deren Bekämpfung - 23.12.2004 (8)
  11. Worm.Rbot.LN/RT
    Plagegeister aller Art und deren Bekämpfung - 12.12.2004 (1)
  12. Worm/Rbot.TS
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (2)
  13. worm/Rbot.LN
    Plagegeister aller Art und deren Bekämpfung - 10.10.2004 (4)
  14. Worm/Rbot.KT
    Plagegeister aller Art und deren Bekämpfung - 06.09.2004 (4)
  15. Worm/Rbot.ET
    Plagegeister aller Art und deren Bekämpfung - 03.09.2004 (5)
  16. Worm/Rbot.DS
    Plagegeister aller Art und deren Bekämpfung - 25.08.2004 (1)
  17. Worm/RBot.**
    Plagegeister aller Art und deren Bekämpfung - 09.07.2004 (1)

Zum Thema worm rbot.zm oder nicht? - Hallo Ihr lieben Helfer in der Not, seit einiger Zeit habe ich folgende Probleme und leider (und das noch länger) von nix ne Ahnung: - mein PC bleibt beim Runterfahren - worm rbot.zm oder nicht?...
Archiv
Du betrachtest: worm rbot.zm oder nicht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.