WormKorgo.Q, WormRBot. XR, WormOpasoft.S2, WormRBot.UF

#1 Hallo,

dieses WE möchte ich den PC meiner Eltern auf Vordermann bringen.

Nun stellte das AntiVir Programm fest, dass sich auf dem PC lauter Würmer befinden
und zwar:
WormKorgo.Q, WormRBot. XR, WormOpasoft.S2, WormRBot.UF.

Wie soll ich nun am Besten vorgehen.

Vielen Dank für Eure Hilfe,

Sue

#2 Als erstes: Deaktivieren der Systemwiederherstellung und im abgesicherten Modus booten.
Dann antivir laufen lassen und die Schädlinge löschen.
Anschließend: http://board.protecus.de/t9391.htm durcharbeiten und das Log hier posten
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Ok, gemacht:
hier der logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:25:57, on 06.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Horst Langenfeld\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ulead.com.tw/ulead/counter/Nctr.cfm?&site=opas&group=freeware&product=pex6&page=PurchasePath&rurl=http://www.ulead.com/uleadmall/index.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Horst Langenfeld\Desktop\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\system32\nas\kolder.exe C:\WINDOWS\system32\nas\dirote.exe
O4 - HKLM\..\Run: [Microsofts media] winmplayd.exe
O4 - HKLM\..\Run: [update run msword] logon.exe
O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe
O4 - HKLM\..\Run: [msnmsg] C:\asgag.exe
O4 - HKLM\..\Run: [Msn Messeng] windns.exe
O4 - HKLM\..\Run: [Microsoft Automatic Updater] explorer.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\Run: [Microsofts MediaScope] winmep.exe
O4 - HKLM\..\Run: [System32 TCP Manager] systerm.exe
O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\axuytr.exe
O4 - HKLM\..\Run: [runs] run.exe
O4 - HKLM\..\Run: [aZkYt] C:\WINDOWS\fvdnnip.exe
O4 - HKLM\..\Run: [Microsoft Diagnostic] msdiag32.exe
O4 - HKLM\..\Run: [uã��¢ÖjX¡'‡íˆ£È¼»ëÁC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fvdnnip.exe
O4 - HKLM\..\RunServices: [Microsofts media] winmplayd.exe
O4 - HKLM\..\RunServices: [update run msword] logon.exe
O4 - HKLM\..\RunServices: [OEM32 Tools] sres32.exe
O4 - HKLM\..\RunServices: [Msn Messeng] windns.exe
O4 - HKLM\..\RunServices: [Microsoft Automatic Updater] explorer.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmep.exe
O4 - HKLM\..\RunServices: [System32 TCP Manager] systerm.exe
O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe
O4 - HKLM\..\RunServices: [runs] run.exe
O4 - HKLM\..\RunServices: [Microsoft Diagnostic] msdiag32.exe
O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [update run msword] logon.exe
O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe
O4 - HKCU\..\Run: [Msn Messeng] windns.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [System32 TCP Manager] systerm.exe
O4 - HKCU\..\Run: [runs] run.exe
O4 - HKCU\..\RunServices: [Msn Messeng] windns.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O21 - SSODL: mtklefa - {E55006C2-889C-4A4E-6789-651D36BCF82B} - C:\WINDOWS\System32\ydfmh32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing)

Danke,
Sue

#4 Schau Dir die Auswertung an.
http://www.hijackthis.de/logfiles/5aa27513a90acd3550843d6adecad069.html

Absolut notwendig !!: Daten sichern und dann:
Anleitung: Neu Aufsetzen nach Befall von Malware, nur wie?
Firefox installieren, kein IE mehr verwenden.
Noch dazu: Schleunigst Passwörter bei wichtigen Accounts ändern, sofern vorhanden (Online-Banking, ebay, e-Mail)
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Entschuldige Joschi, wenn ich dazwischen funke. Aber, hier ist Gefahr im Verzuge!

Hallo Sue,

das ist ja ein Log! Eine solche Ansammlung von Würmern und aktiven Backdoors habe ich auf einem einzelnen Rechner noch nicht gesehen.
Der PC gehört schon lange nicht mehr Deinen Eltern, sondern der Hackergemeinschaft weltweit!

Bitte, nimm diesen Rechner vom Netz und setze das System neu auf. Sehr nützliche Hinweise dazu findest Du in der gut verständlichen Anleitung von Malkesh: http://board.protecus.de/t16317.htm

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#6 Kein Problem Heron, sogar erwünscht. Viele Augen sehen mehr.

Zitat

Der PC gehört schon lange nicht mehr Deinen Eltern, sondern der Hackergemeinschaft weltweit!

.. ich denke das trifft zu...

Würde mich noch interessieren, wann der Antivir zuletzt mal ein Update erfahren hat ?? Sollte er aktuell sein, wäre das ein schlechtes Zeugnis.
__________
Durchsuchen --> Aussuchen --> Untersuchen