Kennt jemand Worm/RBot.100074

#1 Hallo,

mein AntiVir- Virenscanner hat mir einen Wurm Namens Worm/RBOT.100074 angezeigt und gelöscht. Danach hat weder Spybot noch AdAware noch ANtiVir noch was gefunden. Hab trotzdem mal hijackthis drüberlaufen lassen. Da ich mich mit den log-files nicht auskenne: könnte sich jemand den log bitte mal ansehen, ob noch was Verdächtiges da ist? Vielen Dank!



Logfile of HijackThis v1.97.7
Scan saved at 20:28:32, on 02.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSEC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
G:\Logitech\iTouch\iTouch.exe
G:\i Tunes\iTunesHelper.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\internat.exe
C:\Programme\FRITZ!\IWatch.exe
G:\NIKON\Nikon View6\NkvMon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
F:\Internet Tools\HijackThis 06_04.exe
F:\Internet Tools\HijackThis 06_04.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.arcor.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Adobe Acrobat\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] G:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [iTunesHelper] G:\i Tunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\quick time pro 6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = G:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NkvMon.exe.lnk = G:\NIKON\Nikon View6\NkvMon.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:m*h*t*m*l:file://C*:*\fo*o*.*m*h*t!http://8*1.2*11.105.37/33/onli*ne.*chm::/on*-line.e*xe
// edit by Lukas ... * - Zeichen hinzugefügt da sich sonst Antivir + IE drüber ärgern und Fehlalarme auslösen!
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/deleon/1.1.62-deleon/GoogleNav.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A2C37FE-151F-46D6-8C71-2B9D6D365C4B}: NameServer = 192.168.120.252,192.168.120.253

#2 Hey!

Hatte ein ähnliches Problem selbst vor einigen Tagen...

erstmal würde ich Dir raten, die neueste Version von HijackThis runterzuladen...

Es gibt wohl echt viele RBot Versionen, aber versuch es mal mit dem Programm von Sophos:

http://www.sophos.de/tools/sav32sfx.exe

lade das Prog SAV32CLI runter und befolge die Anweisungen (kennste Dich ein wenig mit DOS Befehlen aus? wenn nicht, nochmal posten)
vorher solltest Du noch die aktuellsten Virendefinitionsdateien runterladen:

http://www.sophos.de/downloads/ide/

Das ganze hat mir jedenfalls geholfen.... keine Ahnung, vielleicht hilft es Dir ja auch, denn bei Sophos sind die ganzen Rbot's wohl bekannt.

Viel Glück noch ;-)