hatte den virus "Rbot.LN" ... oder "Rbot.wieauchimmer"

ich hab nen spur 0 killer über meine festplatte gehauen, hab sie anschliessend nochmal in verindung mit der windows 2000 installation formatiert, dann windows 2000 drauf gemacht....

aneschliessend hab ich programme installiert die ich bei meinem freund runtergeladen habe und auf cd gebrannt, es ist also unmöglich dass diese programme in kontakt mit dem virus waren....

ich hab also das windows service pack 4 installiert, ich habe escan installiert, ad aware, spybot und ich habe anti vir free installiert......

so wie einige andere sachen.. raspppoe... und den detonator treiber....

ich geh also gerade online und nach kurzer zeit kommt von anti vir wieder die fehlermeldung der rbot.ln wurde gefunden......

dass ich mich unmittelbar nach dem online gehen infiziert hab ist undenkbar... das ist jetzt sooo oft passiert innerhalb der letzten woche, dass das einfach nich sein kann... der wurm gilt als selten... jetzt bekomm ich gerade den fehler "Rbot.EL"...

das einzige was ich mir grad noch erklären könnte wär, dass der detonator treiber von nvidia.com infiziert ist, weil ich den immer direkt nach der Neuinstallation drauf gemacht hab... aber wie groß ist diese wahrscheilnichkeit schon?.. aber andererseits gibt es nach (meinem) logischen menschlichen ermessen keine andere möglichkeit...

bitte um hilfe.. vielleicht kann mir auhc nur einer erklären wies zu sowas kommen kann... wo soll der virus denn sonst noch gespeichert werden ausser auf der festplatte? ...

Ganz ruhhig.
Poste zuallererst mal einen HijackThis Log. Das Programm erhälst du hier.

http://filepony.de/download-hijackthis/

Wenn du escan bereits hast, mach ein Update führe es durch (abgesicherter Modus) und poste deinen Log.
Hast du es nicht, installier es nach in folgendem Link genannter Anweisung:
http://www.trojaner-info.de//hijacker/escan.shtml

Geh genau nach der Anleitung vor, die die Seite gibt.
Mach aer bitte zuerst wie gesagt einen Log mit HijackThis und poste diesen hier im Board

Einige Fragen dazu:

Wo wurde der Rbot von Antivir gefunden (genaue Pfadangabe)?
Hast Du neben dem SP4 auch alle anderen notwendigen Updates installiert?
Ist der PC von Deinem Freund malwarefrei?
Ist Dein Netzwerk sicher eingerichtet? Dazu http://www.ntsvcfg.de/ bzw. http://dingens.org/ beachten.

Gruß
Yopie

gut ich werd das gleich mal machen...

was ich noch sagen wollte:

hab etliche male formatiert die letzten tage... immerm it nem spur 0 killer..

hab tausend mal die programme neu runtergeladen... immer erst das sp4 drau gemacht vorm online gehen... und die virensoftware

und ich hatte sicher 10 mal sofort wieder den rbot drauf... wenn nicht 15 mal... .das sit nicht jetzt nich untertrieben.....

wie groß ist schon die chance, dass in so kurzer zeit sofort wieder dieser virus drauf kommt.. ? ... das kann doch eigentlich gar nich sein...

jetzt isses grad der rbot.rt

hab übrigens auch shcon zum r.bot die anleitung anderer foren befolgt, bin ja nicht der einzige der den je hatte.. aber bei hat nix funktioniert bisher


edit: der wurm wird immer in winnt\system32 gefunden.. grad als tftp2040... dann als tftp2048.. die tftp.exe is wohl also infiziert .. waren aber auch schon andere dateien...

ich werde das gefühl nicht los, dass der detonator treiber infiziert ist, im ernst.. ich kanns mir nicht anders erklären

Zitat:

Zitat von moe

hab tausend mal die programme neu runtergeladen... immer erst das sp4 drau gemacht vorm online gehen... und die virensoftware

und ich hatte sicher 10 mal sofort wieder den rbot drauf... wenn nicht 15 mal... .das sit nicht jetzt nich untertrieben.....

wie groß ist schon die chance, dass in so kurzer zeit sofort wieder dieser virus drauf kommt.. ? ... das kann doch eigentlich gar nich sein...

Bei entsprechenden Sicherheitslücken (RPC-DCOM, LSASS) geht das in Sekundenschnelle. Ich weiß leider nicht, ob diese Lücken durch SP4 schon geschlossen werden. Mein Tipp: Vorher von einem sauberen Rechner http://download.winboard.org/downloa...release_id=851 runterladen und dann das Update-Pack bei der (leider wieder mal fälligen) Neuinstallation direkt nach SP4 installieren. Das Netzwerk muss natürlich trotzdem sicher eingerichtet sein, s.o. .

Gruß
Yopie

hier mein hijack log:


Logfile of HijackThis v1.98.2
Scan saved at 00:46:13, on 03.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\Programme\Sicherheit\AntiVirPersonal\AVGNT.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\PROGRA~1\Internet\MOZILL~1.0\firefox.exe
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...=ie&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Sicherheit\AntiVirPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5284C72-FCD4-4A8E-8BD5-7BA31F0E058B}: NameServer = 217.237.150.141 217.237.150.97

___________

wobei da am anfang immer die meldung kommt:

"for some reason system denied write acess to your host file.."

jetzt bekomm ich grad den fehler:

"sdbot.74752".... auch in der selben datei wiw egrad angegeben... udn jetzt haben sich grad tasuend fenster geöffnet...

oh mann ...

na ja erst mal danke für die späte hilfe.. bevor ich hier nur jammer.. aber ich bin grad nervlich leicht angefressen da dasjetzt echt schon über ne woche so geht...

weiss einer wo ich noch nen anderen nvidia treiber runterldaenk ann.. nen älteren... als bei nvidia.com ? .. nur so als option

Mach mal den escan und im abgesicherten Modus und poste uns das Ergebnis.Wird wohl das beste sein.
Um das Ergebnis zu posten gehe nach Scan wie folgt vor
öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

so ich hab jetzt die beiden weiteren programme gesaugt die alles sicherer machen sollen und werd jetzt nochmal neu installieren und formatieren.. danach die beiden drauf machen und dann hoffen es bleibt sicher..

greetz und nochma danke für die späte hilfe.. ich meld mich entweder nacher, oder gaaaanz nachher

wenn ich eine datei rutnerlad und die lässt sich nich aufn anderes laufwerk verschieben? (geht um das update)... also mit der meldung sie sei möglicherweise geöffnet oder in gebrauch, kann das ein zeichen dafür sein dass sie von nem virus befallen is?

edit: muss am laufwerk liegen

Zitat:

Zitat von moe

so ich hab jetzt die beiden weiteren programme gesaugt die alles sicherer machen sollen

.
Wenn du formatieren willst, richt dich bitte nach folgender Anleitung:

http://www.trojaner-board.de/showpos...28&postcount=2
oder nach dieser:
http://www.trojaner-board.de/showthread.php?t=9546

zweitere geht auch auf das partitionieren etwas ein.

Egal, welche du wählst-falsch machen kannste erstmal nichts.

so... hab jetzt formatiert... bevor du das geschrieben hast allerdings cronos... aber mit nem spur 0 killer wieder inklusive der oben angegeben updates... bisher is noch nix...

hab jetzt eben wieder den nvidia treiber installiert und da is mir was aufgefallen das mir schon vorn paar tagen aufgefallen ist, nachdem ich ihn installiert hatte:

nachdem der treibe rinstallier wurde und automatisch neu gebootet wird, schliesst sich ein programm das "should not see me" nennt...

irgendwie komisch oder?


edit:

ok das hat sich erledigt.. hab beim googlen in nem anderen forum folgenden kommentar dazu gefunden und stimme mit dem verfasser zu 100% überein:

Zitat:

Was ich so raus bekommen habe, ist, daß es egal ist welches Programm nach der Installation sich weigert, den Abflug zu machen, sei es nun Nero, LogiTech-Mause oder 4in1-Treiber oder ähnlich.
Die Ursache ist der Windows Installer bzw Install Shield, der diesen absurden Programmnamen ausgibt und der Entwickler gehört erschossen.

edit2: was für ne firewall is denn zu empfehlen?

oh mann ich hab ihn glaub endlich geschafft... big thx nochmal... die tools und die einstellungen sind genau das was ich gebraucht hab... hab jetzt wirklich alles gemacht.. von den updates bis zum ausschalten der dienste...

jetzt lad ich mir noch ne firewall runter die bei chip gut bewertet wurde, die sygate personal... und dann dürfts ok sein...

sonst benutz ich dann noch antivire, spybot, ad ware und cwshredder...

aber eine frage hätt ich noch.. grad hat ad aware zwei kritische einträge gefunden.. und zwar "Iecache":. ich hatte den ie aber net offen... öffnet der sich irgendwie im hintergrund oder so? und wenn ja.. gibts ne möglichkeit das zu verhindern?

nochmal big big big thx, ihr glaubt gar net wie froh ich bin endlich wieder nen funktionierenden pc zu haben .. doch.. ihr glaubts

Hallo moe,

hier ein bißchen Info zu Firewalls: Firewall - Rubrik und was den IE anbelangt, wenn er installiert ist, und das ist bei allen Windows-Rechnern der Fall, scheint er im Hintergrund mitzulaufen. Ich selbst verwende ihn auch nicht, behalte ihn aber geupdatet und auf dem neuesten Stand auf dem System, da es angeraten wird, und wenn ich meine TIF leere, stelle ich fest, dass der IE aktiv ist .. obwohl ich ihn nicht verwende. Das habe ich auch noch nicht so ganz begriffen. Du solltest den IE auf jeden Fall sicher konfigurieren, um Risiken und Nebenwirkungen ausschliessen zu können: IE sicher konfigurieren und Browser-Sicherheit. Ausserdem würde ich Dir empfehlen den SpywareBlaster 3.2 zu downloaden und das Programm auf Deinem Rechner auszuführen. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen! Besuche desweiteren diese Seite und lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter.

Erstelle dann ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD