Hallo, ich habe seit geraumer Zeit das problem, das der worm/robobot (antivir)
gefunden wird!

Mit Kasperspy wird er als Backdoor.win32.Robobot.a oder .b erkannt!

Habe bereits 4 Virewnprograme durchlaufen lassen, im abgesichterten modus gearbeitet, Spybot probiert, doch er kommt immer wieder!

Ich kann das system nicht neu aufsetzen, bevor ich mir nicht sicher bin, dass er weg ist und ich meine eigenen dateien sichern kann, da dort wichtiges vom studium enthalten ist, das nicht verloren gehen darf, weil es lange dauerte, dieses zu erarbeiten...

es werden im regelmäßigen abschnitten folgende dateien, auf c:....eigene Dateien, D:, E: erstellt!

install. exe
arun. exe
autorun.inf

auf d: wurden mir auch schon dateien gelöscht, die ich aber wiederherstellen konnte...

kasperspy...und antivir springen bei der install.exe sofort an, die andern beiden lösch ich immer von hand, sie sind aber wie gesagt immer wieder da!
Die systemwiederherstellung hab ich auch schon deaktiviert neugestartet und rechner laufen lassen ohne erfolg!


hijackthis hat das ausgespuckt....die interpretation würd ich euch überlassen...

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.0
Scan saved at 11:30:48, on 15.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\htpatch.exe
E:\Programme\TV\QuickTV.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: QuickTV.lnk = E:\Programme\TV\QuickTV.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
         

hoffe ihr könnt mir helfen!

Hallo,

lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hallo!

Mich hat es ja fast erschlagen, als ich den Bericht von eScan gelesen habe!
Danke Dir für den guten Hinweis!
Hier erstmal die Infos aus der Log Datei!
Habe mich heute gleich befleissigt, und schon einige Sachen gelöscht, hoffe das war richtig, aber schaden kann´s wohl nicht!!
Habe alles so gekennzeichnet, dass es schnell herauszufinden ist, was ich gemacht hab!!
Wenn das Backup gemacht ist, wird der gesammte Rechner gebügelt!!
Hoffe Du kannst damit etwas anfangen!!

Hab zum ersten mal seit 2 monaten das Gefühl, dem Ding endlich auf den Fersen zu sitzen!

Danke..bis dann!

Code: Alles auswählenAufklappen

ATTFilter

[?]    --> nicht gefunden
[-]    --> per Hand gelöscht
[KASP-]--> gelöscht durch Kasperspy AV

infected:
 
[?]      File C:\DOKUME~1\Martin\LOKALE~1\TEMPOR~1\Content.IE5\C9EBOHEZ\Fast_File_Undelete_v2[1].1.zip infected by "Trojan-Downloader.Win32.INService.z" Virus. Action Taken: No Action Taken.
[?]      File C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9EBOHEZ\Fast_File_Undelete_v2[1].1.zip infected by "Trojan-Downloader.Win32.INService.z" Virus. Action Taken: No Action Taken.
[-]      File E:\Downloads\Programme\Steinberg.MyMp3PRO.v5.0.rar infected by "not-a-virus:AdWare.Win32.BHO.NoName.e" Virus. Action Taken: No Action Taken.
[KASP-]  File E:\install.exe infected by "Backdoor.Win32.Robobot.b" Virus. Action Taken: No Action Taken.
[KASP-]  File D:\install.exe infected by "Backdoor.Win32.Robobot.b" Virus. Action Taken: No Action Taken.

Tagged:


[?]      File E:\System Volume Information\_restore{42B30271-6F97-402C-88C1-FF6E68A5B67B}\RP22\A0006380.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
[?]      File E:\RECYCLER\S-1-5-21-854245398-1292428093-725345543-1003\Dd2\Sonstiges\TOOLS\WWWZIP~1.ZIP tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
[?]      File C:\RECYCLER\S-1-5-21-1614895754-838170752-839522115-1003\Dc1.ZIP tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
[-]      File C:\Dokumente und Einstellungen\Martin\Eigene Dateien\xbox\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
[-]      File D:\tmp\fxp.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
[-]      File D:\tmp\trj_remover.rar tagged as not-a-virus:Cracker.TrojRmv. No Action Taken.
[-]      File E:\Downloads\Programme\Rebirth.RB338.V2.0.Full.ace tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
[-]      File E:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
[-]      File E:\spiele\Steam\Essex scriptpack\EsseXScriptpack2.2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
[-]      File E:\spiele\Steam\Essex scriptpack\HotFix02_hlg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

nicht geändert!
File E:\spiele\Steam\SteamApps\zoom23\condition zero\cstrike\UninstallEsseX.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\spiele\Steam\SteamApps\zoom23\counter-strike\cstrike\ProblemFixer.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\spiele\Steam\SteamApps\zoom23\counter-strike\cstrike\SayscriptKonfiguration.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\spiele\Steam\SteamApps\zoom23\counter-strike\cstrike\UninstallEsseX.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\spiele\Steam\SteamApps\zoom23\counter-strike\UninstallEsseX.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
         

@ zoom

kannst Du diesen Teil des Logs bitte entsprechend unserer Darstellung ins Forum posten:

Zitat:

infected:

[KASP-] File E:\install.exe infected by "Backdoor.Win32.Robobot.b" Virus. Action Taken: No Action Taken.
[KASP-] File D:\install.exe infected by "Backdoor.Win32.Robobot.b" Virus. Action Taken: No Action Taken.

"öffne die *.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

[edit] .. ok, hat sich erledigt. Google hat mich überzeugt. Es liegt kein Schreibfehler vor. Sorry. [/edit]

Hidiho!

Also Ich hab heute Nacht nochmal eScan im abgesicherten Modus durchlaufen lassen und es hat garnichts mehr gefunden!
Die oben beschriebenen Dateien, sind seit 2 Tagen auch nicht mehr aufgetaucht!
ist doch erstmal ein gutes Zeichen oder!
Würde mich aber dennoch freuen, wenn mir jemand vielleicht ´noch ein paar infos geben könnte zu diesem Robobot...weil ich selber nicht wirklich infos dazu finde!!!
Dazu herscht irgendwie Totenstille im i-net!
Würde mich freuen!

Dann hab ich festgesellt, das die Kontrolled für die Festplatte ständig leuchtet, was hat das zu bedeuten? normal is das doch nicht!

UND Kasperspy meldet immer nach jedem Sysremstart, das ein Angriff von Lovesan abgewehrt wurde!
War Lovesan nicht auch irgend ein Trojaner?Wie kommt denn das zu stande?

So das wars erstmal!hoffe es meldet sich mal wieder einer!
THX für eure Hilfe bis hierhin!!

@zoom
bei lovesan, kuckst du hier
http://www.meduniwien.ac.at/itsc/how...esan/index.php
chaosman

Hallo

ich arbeite gerade Cidres Tips zur neuaufsetzung des Systems durch, soweit hab ich alles verstanden, nur Punkt 10 komm ich nicht mit!

gehen wir davon aus ich habe alles neu eingerichtet, dann mach ich mir das Image...richtig oder....?

Was mach ich dann mit dem image, wird das auf der festplatte gespeichert oder auf CD/DVD gebrannt um das System nach einem erneuten befall neu und schneller aufsetzen zu können?
macht das genannte programm das allein?
ist es freeware?
oder hab ich da was falsch verstanden....?!

Du kannst die Images entweder auf die Fesplatte speichern und dann auf CD/DVD brennen oder direkt auf CD/DVD brennen. Wie du dich letztlich entscheidest, das bleibt natürlich dir überlassen.
Am sinnvollsten ist jedoch das Image auf CD/DVD zu sichern.

Ein erneuter Befall sollte so schnell nicht nötig sein, es sei denn du machst einen Fehler oder die verwendete Software ist fehlerträchtig. Wenn dieser Fall doch eintreffen sollte, dann spielst du dein sauberes Image zurück und kannst so wieder mit einen vertrauenswürdigen System arbeiten.

Die aktuelle Version 8.0 von Acronis ist kostenpflichtig, die hingegen "ältere" Version 7.0, auch Vollversion, war als Beilage in vielen PC Heften vor kurzer Zeit kostenlos erhältlich.

Hallo zusammen,

ich hab auch Bekanntschaft gemacht, mit Robobot. Im Gegensatz zu Zoom, scheint Antivir Robobot bei mir aber ausgemerzt zu haben. In dem Zusammenhang hat Antivir auch den Trojaner/Starter gefunden und beseitigt.

Hat vielleicht jemand Informationen, wie man sich mit den beiden infizieren kann (per Email-Anhang oder über Webseiten?) und ob es evtl. Schutzmöglichkeiten gibt (Internet Explorer Update von MS oder so).

Kann im Internet nichts dazu finden.

Vielen Dank

ace

@acetone
bist du dich wirklich sicher?
lade dir escan
download
anleitung http://www.trojaner-board.de/42731-escan-anleitung.html
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
chaosman

@chaosman
Tja, da hab ich mich wohl zu früh gefreut. Hier die liste der infected-dateien:

File C:\WINDOWS\system32\win.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wuampd.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP244\A0030421.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Dann hat er noch andere "not-a-virus"-Dateien gefunden:

File C:\gendel32.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.
File C:\Sierra\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\Sierra\Counter-Strike\podbot\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP244\A0031736.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.
File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP244\A0031738.ex_ tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.

Danke für den Escan-tipp.
Was mach ich jetzt mit den infected-Dateien?
Und nochmal meine Frage, weiß jemand, wass der Wurm macht, bzw. Wie man ihn sich einfängt/was dagegen hilft?

ace (schon mal Danke für die Hilfe)

@ acetone

Setze dein System zur deiner eigenen Sicherheit neu auf, die genaue Vorgehensweise hierzu, findest du im Link in meiner Sig.

Info Backdoor Rbot.gen:
http://www3.ca.com/securityadvisor/v....aspx?id=39437

Hallo ich habe auch den robobot auf meinem Rechner bei mir hat die escan diagnose folgendes ergeben:
Mon Feb 14 17:26:18 2005 => File C:\WINDOWS\System32\SYSTEM.EXE infected by "Net-Worm.Win32.Small.c" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:18 2005 => File C:\WINDOWS\System32\wreg.exe infected by "Backdoor.Win32.Rbot.ia" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:18 2005 => File C:\WINDOWS\System32\SDK0mCORE.exe infected by "Backdoor.Win32.Rbot.gn" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:19 2005 => File C:\WINDOWS\System32\Messenger.exe infected by "Backdoor.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:19 2005 => File C:\WINDOWS\System32\IEXPLORE.exe infected by "Backdoor.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:19 2005 => File C:\WINDOWS\System32\regexpress.exe infected by "Backdoor.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:21 2005 => File C:\WINDOWS\System32\IEXPLOREN.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:22 2005 => File C:\WINDOWS\System32\winexz.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:22 2005 => File C:\WINDOWS\System32\exme.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:29 2005 => File C:\WINDOWS\system32\wreg.exe infected by "Backdoor.Win32.Rbot.ia" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:29 2005 => File C:\WINDOWS\system32\wreg.exe infected by "Backdoor.Win32.Rbot.ia" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:29 2005 => File C:\WINDOWS\system32\SDK0mCORE.exe infected by "Backdoor.Win32.Rbot.gn" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:29 2005 => File C:\WINDOWS\system32\Messenger.exe infected by "Backdoor.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:30 2005 => File C:\WINDOWS\system32\IEXPLOREN.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:30 2005 => File C:\WINDOWS\system32\winexz.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:39 2005 => File C:\WINDOWS\System32\SYSTEM.EXE infected by "Net-Worm.Win32.Small.c" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:43 2005 => File C:\WINDOWS\System32\AA.EXE infected by "Trojan-Downloader.Win32.Small.wa" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:47 2005 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:26:51 2005 => File C:\WINDOWS\System32\csrs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:27:00 2005 => File C:\WINDOWS\System32\ftch32a.exe infected by "Trojan-Downloader.Win32.Small.aki" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:27:12 2005 => File C:\WINDOWS\System32\msbe.dll infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:27:27 2005 => File C:\WINDOWS\System32\PreInstaller_p1.exe infected by "Trojan-Downloader.Win32.Keenval.o" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:27:31 2005 => File C:\WINDOWS\System32\ROBA32E.EXE.VIR infected by "Backdoor.Win32.Robobot.i" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:27:38 2005 => File C:\WINDOWS\System32\systemm.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:27:39 2005 => File C:\WINDOWS\System32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:27:54 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ATeuro.exe infected by "Trojan-Dropper.Win32.Agent.eo" Virus. Action Taken: No Action Taken.
Mon Feb 14 17:27:59 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cdt_bbi8016.exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.


Würde mich über ne Lösung freuen um diese Viren zu löschen...
Danke im Vorraus!!!

Nachdem ich jetzt mein System zweimal neu aufgesetzt habe, mir das Service Pack installiert, die Firewall aktiviert und mir als Browser Mozilla installiert habe, ist mein Rechner jetzt endlich wieder sauber.

Nochmal vielen Dank für Eure Hilfe und besonders für den Escan-Tipp (Warum das der einzige Scanner war, der alle Viren gefunden hat, wird mir zwar ein Rätsel bleiben, aber egal, hauptsache endlich virenfrei!)

ace

Hi Spawn(85),

siehe hier.

Zitat:

Zitat von Cidre

@ acetone

Setze dein System zur deiner eigenen Sicherheit neu auf, die genaue Vorgehensweise hierzu, findest du im Link in meiner Sig.

Info Backdoor Rbot.gen:
http://www3.ca.com/securityadvisor/v....aspx?id=39437