Home » Viren, Trojaner & Malware Forum » Worm/Rbot.174080 engefangen, wie lösche ich Ihn ohne Datenverlust? » Themenansicht

Worm/Rbot.174080 engefangen, wie lösche ich Ihn ohne Datenverlust?
#0
19.02.2006, 22:57
Till A
...neu hier

Beiträge: 3
#1 Hallo,
ich habe mir ueber eine Zip-Datei wohl den Worm Rbot.174080 eingefangen,
als die Meldung von Antivit kam,war´s auch schon zu spät. Ich ahbe zweimal komplett neu formatiert und XP geladen, aber spätestens nach 30min stürzt der Rechner ab, der Bildschrm geht aus und an, solange bis das Bild völlig zersetzt ist.
Sobald ich via Antivir oder McAfee Stinger scanne, passiert kurz vor oder nach der Hälfte des Skan das gleiche.

Ich sende das Hijack.Log als Anhng mit, vielleicht nutzt das ja was.

Wer kann mir helfen - ich bin absolut ohne Computerkenntnisse.

Gruss
Till A

Anhang: hijackthisLog.txt
Seitenanfang Seitenende
19.02.2006, 23:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Till A

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

PC neustarten

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

-----------------------------------------------------
Info:
Spyware.SaveNow - WhenU.SaveNow
http://virus-protect.org/artikel/spyware/save.html
Worm/RBot.174080
http://virus-protect.org/artikel/spyware/outlook.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.02.2006, 03:49
Till A
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo,
erstmal vielen Dank, Sabine, hier die Dateien; ich hoffe, das ist richtig so.
Gruss Till A

Verzeichnis von C:\WINDOWS\system32

18.02.2006 18:36 108.600 FNTCACHE.DAT
18.02.2006 03:12 129.833 kspydoc.log
18.02.2006 02:22 0 Sweeper.cfg
18.02.2006 01:50 39.992 perfc009.dat
18.02.2006 01:50 311.604 perfh009.dat
18.02.2006 01:50 316.594 perfh007.dat
18.02.2006 01:50 48.156 perfc007.dat
18.02.2006 01:50 723.744 PerfStringBackup.INI
18.02.2006 01:15 25.065 wmpscheme.xml
18.02.2006 01:15 2.184 wpa.dbl
18.02.2006 01:11 261 $winnt$.inf
18.02.2006 01:06 2.951 CONFIG.NT
18.02.2006 01:06 16.832 amcompat.tlb
18.02.2006 01:06 23.392 nscompat.tlb
18.02.2006 01:04 488 logonui.exe.manifest
18.02.2006 01:04 488 WindowsLogon.manifest
18.02.2006 01:04 749 wuaucpl.cpl.manifest
18.02.2006 01:04 749 cdplayer.exe.manifest
18.02.2006 01:04 749 sapi.cpl.manifest
18.02.2006 01:04 749 nwc.cpl.manifest
18.02.2006 01:04 749 ncpa.cpl.manifest
18.02.2006 01:01 21.740 emptyregdb.dat
18.02.2006 00:55 0 h323log.txt
18.01.2006 13:05 57.344 avsda.dll
18.07.2005 08:05 1.047.552 mfc71u.dll
06.07.2005 18:13 348.160 msvcr71.dll
06.07.2005 18:13 499.712 msvcp71.dll


Verzeichnis von C:\DOKUME~1\till\LOKALE~1\Temp

20.02.2006 03:28 16.384 ~DFF850.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 10.809.303.040 Bytes frei

Verzeichnis von C:\WINDOWS

20.02.2006 03:27 0 0.log
20.02.2006 03:27 321.883 WindowsUpdate.log
20.02.2006 03:26 2.048 bootstat.dat
20.02.2006 03:14 15.990 SchedLgU.Txt
20.02.2006 01:52 107.134 UninstallFirefox.exe
20.02.2006 01:51 3.292 mozver.dat
20.02.2006 01:49 616 win.ini
20.02.2006 01:35 400 ODBC.INI
20.02.2006 01:05 195.223 setupapi.log
19.02.2006 21:06 159 wiadebug.log
19.02.2006 21:06 50 wiaservc.log
19.02.2006 20:02 174.187 setupact.log
18.02.2006 01:15 820 OEWABLog.txt
18.02.2006 01:15 722.184 setuplog.txt
18.02.2006 01:12 8.192 REGLOCS.OLD
18.02.2006 01:11 46.731 iis6.log
18.02.2006 01:11 15.510 comsetup.log
18.02.2006 01:11 7.705 ntdtcsetup.log
18.02.2006 01:11 10.175 tsoc.log
18.02.2006 01:11 4.382 imsins.log
18.02.2006 01:10 1.246 setuperr.log
18.02.2006 01:06 0 control.ini
18.02.2006 01:06 299.552 WMSysPrx.prx
18.02.2006 01:06 4.161 ODBCINST.INI
18.02.2006 01:05 240 Windows Update.log
18.02.2006 01:04 749 WindowsShell.Manifest
18.02.2006 01:02 1.065 ocmsn.log
18.02.2006 01:02 821 msgsocm.log
18.02.2006 01:02 12.817 ocgen.log
18.02.2006 01:02 11.537 FaxSetup.log
18.02.2006 01:02 1.060 sessmgr.setup.log
18.02.2006 01:01 36 vb.ini
18.02.2006 01:01 37 vbaddin.ini
18.02.2006 01:00 128 DtcInstall.log
18.02.2006 00:59 9.868 msmqinst.log
18.02.2006 00:50 0 Sti_Trace.log
18.02.2006 00:46 1.348 regopt.log
18.02.2006 00:46 231 system.ini
03.02.2006 14:53 478.720 WRUninstall.dll
13.08.2002 06:10 155.648 ssleay32.dll

Verzeichnis von C:\

20.02.2006 03:46 0 sys.txt
20.02.2006 03:45 3.860 system.txt
20.02.2006 03:44 291 systemtemp.txt
20.02.2006 03:31 87.497 system32.txt
20.02.2006 03:26 536.449.024 hiberfil.sys
20.02.2006 03:26 805.306.368 pagefile.sys
18.02.2006 01:06 0 MSDOS.SYS
18.02.2006 01:06 0 IO.SYS
18.02.2006 01:06 0 CONFIG.SYS
18.02.2006 01:06 0 AUTOEXEC.BAT
18.02.2006 00:55 194 boot.ini
04.08.2003 15:50 967 DelUS.PIF
Seitenanfang Seitenende
20.02.2006, 12:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ausser C:\Programme\Save\Save.exe ist das System sauber

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als savenow.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave]
[-HKEY_CURRENT_USER\SOFTWARE\whenu]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WUSN.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader.1\clsid]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C285D18D-43A2-4AEF-83FB-BF280E660A97}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\savenow]
[-HKEY_CLASSES_ROOT\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}]
[-HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}]
[-HKEY_CLASSES_ROOT\TypeLib\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}]
[-HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}]
[-HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}]
[-HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}]
[-HKEY_CLASSES_ROOT\AppID\{127DF9B4-D75D-44A6-AF78-8C3A8CEB03DB}]
[-HKEY_CLASSES_ROOT\WUSN.1]
[-HKEY_CLASSES_ROOT\WUSN.1 WUSN_Id]
[-HKEY_CLASSES_ROOT\AppID\ACM.DLL]
[-HKEY_CLASSES_ROOT\ACM.ACMFactory]
[-HKEY_CLASSES_ROOT\ACM.ACMFactory.1]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "savenow.reg" auf dem Desktop doppelklicken

loesche:
c:\programme\save\saveupdate.exe
c:\programme\save\acm.dll
C:\Programme\Save\store.db
C:\Programme\Save\Save.exe
C:\Programme\Save

boote wieder in den Normalmodus

Counterspy (scanne und poste den scanreport)
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.02.2006, 21:55
Till A
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo,
leider stürzt der Computer beim Scan mit "Countersp" kurz vor SCannen der Registry-Files ab.
Aber ich habe beim ersten Schritt einen Fehler gemacht.
Wie und wo muß ich die Zeile:

O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

einsetzen, nach dem ich nach der Nutzung des "HijackThis" Programmes den Computer neu gestartet habe?

Mit besten Gruessen
Till A

(P.S. Im Anhang nochmals die neu erstellten Textdateien )

Anhang: Verzeichnis von C.doc
Seitenanfang Seitenende
20.02.2006, 23:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Till A

oeffne HijackThis, dann erscheinen alle Eintraege, vor den Eintrag O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
setzt du ein Haekchen und klickst "Fix checked dann startest du den PC neu.
So kommt die Malware aus dem Autostart und man kann C:\Programme\Save loeschen

deinstalliere Counterspy wieder und mache einen Onlinescan mit Panda + kopiere den Scanreport ab
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.05.2008, 19:55
Nadiensche
...neu hier

Beiträge: 1
#7 Hallo,

tja ich hab dieses komische bot dingens wohl auch.
leider ist mein rechner seither praktisch bewegungsunfähig...
alles dauert ewig ins internet kann ich gar nicht mehr...
mein avira ist plötzlich ausgetickt und seither geht nüscht mehr..
ich versuch grad das cleanup auf meinen rechner zu kriegen aber bisher leider ohne erfolg, weil er mir zwischendurch immer absäuft und nichts als einen grauen bildschirm hinterlässt....

irgendwelche tipps? oder wars das mal wieder mim system?
Seitenanfang Seitenende
19.05.2008, 23:29
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 @Nadiensche
Besser waehre ein log von Hijack This

Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1