wurm rbot.94208

Hallo!

Na wunderbar! Wie bereits von Sasser und co bekannt, fährt mein Computer mir dauernd runter, wenn ich ne Zeit lang im Internet bin. Mein Antivir erkennt auch einen Wurm namens rbot.94208, aber ich weiß nicht, wie ich den loswerde.
Auf der Microsoftpage bin ich nicht fündig geworden. Hat jemand nen Tip

Danke

 

Hallo,
erstell mit HiJackThis ein Log-File und poste es hier rein.

Hier hast du weitere Infos zu rbot:
http://www.esecurityplanet.com/alerts/article.php/3362881

 

Nun ja,Microsoft ist nicht immer die richtige/schnellste Anlaufstelle

http://www.infoweb2000.net/pages/news/bollettino_det.cfm?bolID=72

 

@cidre: Bitte sehr, die logfile:


Logfile of HijackThis v1.98.0
Scan saved at 19:49:11, on 03.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe
C:\WINDOWS\System32\wserv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Conny\Desktop\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

Hallo wuwatz

Du solltest ganz dringend dein System aktualisieren!

Bei dir steht:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Da sollte stehen:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Vorher solltest du folgende Einträge fixen lassen:

F0 - system.ini: Shell=

O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe

Gruß
Nevok

 

@ wuwatz
Das sieht nicht gut aus für dich. Dein System ist ungepatcht, d.h. fehlende SP1 für BS und IE, sowie weitere sicherheitsrelevante Updates. Desweiteren wie dein AntiVir schon erkannt hat, hast du dir den WORM_RBOT.AF mit Backdoor Funktion eingefangen.
Hier ist der Übeltäter:
C:\WINDOWS\System32\wserv32.exe
Info: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.AF

Meine Empfehlung an dich:
Setze dein System neu auf, da es nicht mehr vertrauenswürdig ist.
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://schad.dyndns.org/index.php/Kompromittierung

Danach
1. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
2. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
3. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
4. Deine Passwörter ändern