|
Hilfe: WORM/Rbot.49152.4 + Generic.Botget.A9E80763 Mein Rechner verhielt sich auf einmal komisch: lautes rattern und brummen, sehr langsam... Dann funktionierte auf einmal ein Programm (autogenial) nicht mehr, dass unter Apache läuft. Dann bekam ich Fehlermeldungen wie diese: - [TurcK MM Cache]can not create shared memory area gestern dann: - C/Windows/system32/lsass.exe wurde unerwartet mit dem Statuscode 128 beendet...PC wird heruntergefahren Ich habe XP mit SP1 (schlagt mich...).. habe den Rechner vom Ex-freund und der sagte es sei SP2 drauf...hab auch nie nachgeschaut... leider. Ich nutze noch den IE6. Virenscanner habe ich Antivir PE classic zusammen mit Ashampoo Firewall und Spybot Search&Destroy drauf. ____________ Ich aktualisierte den Virenscanner Antivir und er fand dann WORM/Rbot.49152.4 : In der Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QGY7KNED\lam[1].exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.49152.4' [WORM/Rbot.49152.4] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QGY7KNED\mmdmm[1].exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.49152.4' [WORM/Rbot.49152.4] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\mdm.exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.49152.4' [WORM/Rbot.49152.4] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\NSecurity.exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.49152.4' [WORM/Rbot.49152.4] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\System Volume Information\_restore{1C123ED3-74BC-4816-A967-0E84F42F85B2}\RP675\A0135396.exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.49152.4' [WORM/Rbot.49152.4] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\System Volume Information\_restore{1C123ED3-74BC-4816-A967-0E84F42F85B2}\RP676\A0135485.exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.49152.4' [WORM/Rbot.49152.4] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\System Volume Information\_restore{1C123ED3-74BC-4816-A967-0E84F42F85B2}\RP682\A0138736.exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.49152.4' [WORM/Rbot.49152.4] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\System Volume Information\_restore{1C123ED3-74BC-4816-A967-0E84F42F85B2}\RP682\A0138737.exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.49152.4' [WORM/Rbot.49152.4] gefunden. Ausgeführte Aktion: Datei löschen _____________________ Bitdefender Onlinescan fand : C:/Windows/system32/i Generic.Botget.A9E80763 gelöscht _____________________ Antivir sagt heute: kein Fund, nur diese Warnungen C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\SYMLCRST.DLL [WARNUNG] Die Datei konnte nicht geöffnet werden! ______________________ HijackThis sagt heute: Logfile of HijackThis v1.99.1 Scan saved at 20:31:28, on 30.08.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\autogenial\apache.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\autogenial\apache.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\WinPortrait\wpctrl.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\AOL\1186046479\ee\AOLSoftware.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AOL 9.0a\aoltray.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\System32\cmd.exe C:\autogenial\apache.exe C:\autogenial\mysql\bin\mysqld-opt.exe C:\Programme\WinPortrait\floater.exe C:\autogenial\apache.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\hijackthis\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing) O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1186046479\ee\AOLSoftware.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O4 - Global Startup: Apache Webserver Autostart.lnk = C:\autogenial\apacheON.bat O4 - Global Startup: mySQL Datenbankserver Autostart.lnk = C:\autogenial\mysqlON.bat O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188312849905 O17 - HKLM\System\CCS\Services\Tcpip\..\{C2916C7B-13B8-4638-8E0D-C3DF8A7A8CEE}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: apache - Unknown owner - C:\autogenial\apache.exe" --ntservice (file missing) O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Programme\Norton Internet Security\ISSVC.exe (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing) O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe Ist denn der rechner jetzt wieder in Ordnung und ich muss nur updaten auf SP2 oder sollte ich ihn neu aufsetzen ? Kann es sein, dass der Virus mir Daten gelöscht hat (weil -file missing- im Protokoll auftaucht )? Ich wäre sehr dankbar für eure Hilfe. Jessi |
Hallo. Dein Rechner ist kompromittiert, u.a. deswegen weil er verwundbar ist: Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Nur das SP2 einzuspielen bringt rein garnichts. Dann hast du es zwar drauf, der Rechner bleibt aber weiterhin kompromittiert. Du musst definitiv neu aufsetzen, vergiss nicht das SP2 OFFLINE einzuspielen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board