Wurm Padobot, Korgobot

#1 Hallo,
ich habe mir wohl irgendwie den Wurm "Padobot.O", "Korgobot.Q", "Rbot.BJ", "Rbot.210944", "Rbot.BR" ...wer weiß was noch alles zugezogen.
Der W32/Parite Virus wurde auch gerade detected, den hatte ich vor einigen Wochen mal - allerdings erfolgreich wegbekommen.

Ich war gerade 5sek ohne router bzw firewall im internet, kann das daher kommen?!
Ich hatte vorher ne Festplatte vom Kumpel im Rechner und habe Daten gesichert, Antivir hat nicht rumgemeckert - kann es daher kommen!?

dieser Wurm hat mir meine IE-Explorer Verknüpfung vom Desktop gelöscht
das ist ja nicht schlimm, aber der Taskmanager sowie die registry schließen sich nach 2sek automatisch.
außerdem bekam ich einmal die Meldung das mein Rechner sich in 60sek runterfahren wird. Einmal allerdings nur...

Antivir findet folgende infinizierte Datei:
SYSTEM32\TFTP168
SYSTEM32\D0R1T1S.EXE
SYSTEM32\SVC.EXE
SYSTEM32\WUMDASTI.EXE

Hier mal das Hijack Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 08:10:54, on 21.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\fkoacd.exe
C:\WINDOWS\System32\gpjkuf.exe
C:\WINDOWS\System32\winsys32.exe
C:\WINDOWS\System32\winup.exe
C:\WINDOWS\System32\wumdasti.exe
C:\Programme\Creative\ShareDLL\MEDIADET.EXE
C:\WINDOWS\System32\QTASK.EXE
C:\WINDOWS\System32\WinFixID.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\winup.exe
E:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
E:\Hansenet\app\TangoService.exe
E:\Hansenet\app\TangoManager.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Web Service] fkoacd.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] gpjkuf.exe
O4 - HKLM\..\Run: [Microsoft Updates Resources] WinFixID.exe
O4 - HKLM\..\Run: [Microsoft Update] winsys32.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winup.exe
O4 - HKLM\..\Run: [Microsoft Updates] wumdasti.exe
O4 - HKLM\..\Run: [Windows Configs] QTASK.EXE
O4 - HKLM\..\RunServices: [Web Service] fkoacd.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] gpjkuf.exe
O4 - HKLM\..\RunServices: [Microsoft Updates Resources] WinFixID.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winsys32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winup.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wumdasti.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Microsoft Updates Resources] WinFixID.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winup.exe
O4 - HKCU\..\Run: [Web Service] fkoacd.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] gpjkuf.exe
O4 - HKCU\..\Run: [Microsoft Update] winsys32.exe
O4 - HKCU\..\Run: [Microsoft Updates] wumdasti.exe
O4 - HKCU\..\RunOnce: [Windows Configs] QTASK.EXE
O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{686AFBE0-1A7B-4119-B40D-5FCB655F1EE1}: NameServer = 213.191.74.19 213.191.92.86


kann da jemand was sehen?

Vielen Dank schonmal für alle Hilfe!
Gruß,
Robin

#2 Ja, unmengen an ....bots.

utze al Escan und poste dann ein neues log:
http://www.rokop-security.de/board/index.php?showtopic=3867

Schalte auch bitte deine Windowsxp Firewall ein und nutze www.windowsupdate.com!
__________
MfG Ralf
SEO-Spam Hunter