Hallo!
Nach vielem selbstständigen aber auch relativ planlosen Herumdoktern, komme ich jetzt mal mit meinen Problemen zu Euch und hoffe, dass wer Zeit und Lust hat, mit seinem/ ihrem Wissen weiterzuhelfen.

Zuerst habe ich mir (wohl) beim Filesharing unter Windows XP einen <b>Trojan Downloader Java Open Connection f</b> (soll das Gleiche wie Exploit_ByteVerify sein) eingefangen. Das meldete mir zuverlässig AntiVir, ich habe es in Quarantäne geschickt. Danach folgten innerhalb kurzer Zeit

- Korgo.U
- Rbot.Hy (= Backdoor Rbot.gen)
- Rbot.Pl
- Korgo.Q
- Trojan Downloader Wren.F

Ich habe selber so gut es ging versucht, mich nach Registrierungseinträgen und Removal tools zu erkundigen und habe damit auch schon einige Seltsamkeiten beheben können.
Ein Freund riet mir zu XP Service Pack 2, habe ich dann installiert, woraufhin mein DSL nicht mehr funktionierte (trotz mehrerer Stunden Support vom Provider...). - Also kein Service Pack 2 mehr, aber alle neuesten Hotfixes. Zum Thema Firewall (derzeit bei mir probeweise Norton) will ich hier nicht ausschweifen, muss ich mich mal woanders schlau machen, wie das optimal für filesharing (schareaza/emule) und browsen per mozilla eingestellt werden sollte.

f-prot, ad-aware, Antivir, hijackthis (alles neueste Versionen) verhalten sich alle unauffällig und melden mir keine Verseuchung. Aber mit so etwas wie der log bin ich eh leider zu blöd umzugehen, es sei denn da steht böservirus.exe oder so drin.... :-)

Ich habe jetzt mal im abgesicherten Modus HijackThis laufen lassen. Dies ist das Ergebnis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIRENBEKÄMPFUNG\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lehrerbibliothek.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] REM C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunOnce: [T-DSL SpeedMgr] grpconv /o
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\DOKUME~1\Michael\LOKALE~1\Temp\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Yahoo! Chat - http://cs5.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101330682345
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_04) -

Vielleicht entdeckt ja jemand gleich die malware oder auch die nichtsnutzigen Anwendungen.

Ich glaube derzeit einfach noch nicht, dass ich bisher allein mit den 6 verschiedenen Bösewichten klar gekommen sein sollte. Ich denke mal, da versteckt sich noch allerhand...?

Für Hilfe jetzt schon ein herzliches DANKESCHÖN!

Michael

@Wunderwerktechnik
mehrere antivirenprogramme gleichzeitig laufen zu lassen nach dem motto"viel hilft viel" funktioniert leider nicht.
das gibt viele fehlalarme und sie behindern sich gegenseitig
allein schon wegen die 2 hier
Rbot.Hy (= Backdoor Rbot.gen)
http://www.sophos.de/virusinfo/analyses/w32rbothy.html
Rbot.Pl
http://www.sophos.de/virusinfo/analyses/w32rbotpl.html
kann man dich nur das empfehlen
dein system dürfte mehr als kompromittiert sein
http://www.mathematik.uni-marburg.de...ompromise.html

chaosman

@Chaosman
Danke für die prompte Antwort und die links. Mmh, das ist natürlich irgendwie worst case für mich. Ich bereite mich jetzt mental und technisch darauf vor und versuche mal alles mögliche auf cds zu brennen (hoffentlich brenne ich mir da keine Viren-CDs...). Insofern ist es keine gute Nachricht.
Schönes Wochenende!

Hi,
alles, was Du brennen willst, mußt du vorher scannen, sonst wars wieder nix!
cacatoa

Danke für den Tipp. Doch wenn unterschiedliche Virenscanner jetzt schon auf meinem PC nichts mehr finden können, können sie ja auch nicht sehen, ob die Daten, die ich von Festplatte auf CD brenne, verseucht sind, oder?

Haben eigentlich irgendwelche bestimmten Dateien aus dem Hijackthis.log Euren Verdacht erweckt, oder resultiert die Empfehlung, das Windows XP neu auzusetzen aus meiner Beschreibung mit den verschiedenen Trojanern, die ich hatte?

Schönes Wochenende,

Wunderwerktechnik

P.S.: Was ist das eigentlich für ein Smiley hier, den kann ich irgendwie nicht richtig einordnen:

Zitat:

resultiert die Empfehlung, das Windows XP neu auzusetzen aus meiner Beschreibung mit den verschiedenen Trojanern, die ich hatte?

Aufgrund deiner Beschreibung, denke ich, resultiert die Empfehlung von chaosman.

Zitat:

Danach folgten innerhalb kurzer Zeit

- Korgo.U
- Rbot.Hy (= Backdoor Rbot.gen)
- Rbot.Pl
- Korgo.Q
- Trojan Downloader Wren.F

War die oben genannte Malware jemals aktiv? Wo wurde die Malware erkannt (genaue Pfadangabe)?

Zitat:

beim Filesharing unter Windows XP einen <b>Trojan Downloader Java Open Connection f</b>

Sowas passiert, wenn man aus nicht vertrauenswürdigen und unseriösen Quellen Downloads tätigt.

Les dir dazu folgende Links mal durch:
http://faq.underflow.de/#SECTION000110000000000000000
http://www.mathematik.uni-marburg.de...ompromise.html

Hallo Wunderwerktechnik,

sorry, dass ich mich in Euer Gespräch erst jetzt einklinke ....

Zitat:

Zitat von Wunderwerktechnik

Zuerst habe ich mir (wohl) beim Filesharing unter Windows XP einen <b>Trojan Downloader Java Open Connection f</b> (soll das Gleiche wie Exploit_ByteVerify sein) eingefangen. Das meldete mir zuverlässig AntiVir, ich habe es in Quarantäne geschickt. Danach folgten innerhalb kurzer Zeit

- Korgo.U
- Rbot.Hy (= Backdoor Rbot.gen)
- Rbot.Pl
- Korgo.Q
- Trojan Downloader Wren.F

Ich habe selber so gut es ging versucht, mich nach Registrierungseinträgen und Removal tools zu erkundigen und habe damit auch schon einige Seltsamkeiten beheben können.
Ein Freund riet mir zu XP Service Pack 2, habe ich dann installiert, woraufhin mein DSL nicht mehr funktionierte (trotz mehrerer Stunden Support vom Provider...). - Also kein Service Pack 2 mehr, aber alle neuesten Hotfixes. Zum Thema Firewall (derzeit bei mir probeweise Norton) will ich hier nicht ausschweifen, muss ich mich mal woanders schlau machen, wie das optimal für filesharing (schareaza/emule) und browsen per mozilla eingestellt werden sollte.

f-prot, ad-aware, Antivir, hijackthis (alles neueste Versionen) verhalten sich alle unauffällig und melden mir keine Verseuchung. Aber mit so etwas wie der log bin ich eh leider zu blöd umzugehen, es sei denn da steht böservirus.exe oder so drin.... :-)

Hattest Du Dein System formatiert, nachdem Dir diese Viren:

- Rbot.Hy (= Backdoor Rbot.gen)
- Rbot.Pl

gemeldet worden waren?

Zum Thema Firewall, lies bitte hier: Firewall - Rubrik

SD

Hallo Shadowdance,

nein, mein System habe ich danach und bis jetzt noch nicht formatiert. Das ist für mich sozusagen worst case und auch der Grund, weshalb ich überhaupt hier bin. Wenn das zu umgehen ist, ist das am Besten. Bisher scheint es ja so, dass bei mir (wieder) alles in Ordnung ist, vgl. Virenscanner, vgl hijackthis.log und den - aus der automatischen Auswertung - folgenden Verbesserungen (fixes).

Hast Du denn noch Tipps zum genaueren Nachprüfen bezüglich der beiden Rbot's?

Gruß,

Wunderwerktechnik

Hallo Wunderwerktechnik,

das ging nicht deutlich aus Deinem Posting hervor, daher meine Nachfrage. Ist Dir bekannt, welche Schäden Backdoor.Win32.Rbot.gen auf dem System hervorruft? Sei bitte so nett und lies die Information unter diesem Link und unter "Erläuterung" gründlich durch ... weitere Information zu den Ablegern der Familie Rbot.-.

All diese Würmer haben Backdoor-Funktionalität, hinterlassen Einträge in der Registry und Code auf dem System. Diese Würmer sorgen dafür, dass der jeweils befallene Computer in der Hand Dritter ist, die das befallene System ausspionieren und mit dem Rechner des Opfers tun können, was ihnen beliebt. Du hast einen kleinen privaten Spion im Haus .. Deinen eigenen Computer. Ich würde diesem System nicht mehr vertrauen, auch dann nicht wenn Backdoor.Win32.Rbot.gen gelöscht ist.

Hier noch Information zu dem Wurm W32/Korgo-Q -> "Erläuterung" und -> "Erweitert" beachten.

Nach meinem Dafürhalten solltest Du Deinen Rechner baldmöglichst aus dem Netz nehmen, ihn formatieren. Beachte dazu die Empfehlung von Lutz zur Datensicherung und Cidre's Rat.

SD