| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.win32.Rbot.genWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.01.2005, 22:16
| #1 |
 |  Backdoor.win32.Rbot.gen Hallo leute.. nachdem die firewall von meinem router vorhin alarm schlug, hab ich mir escan geholt und eine datei die mit dem besagten teil ifiziert war mit killbox gelöscht. jetzt funktioniert auch alles wieder wie vorher. ABER... escan findet des ding schon wieder!!! hier mal meine escan-log: File C:\!Submit\A0002347.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File D:\System Volume Information\_restore{6B083385-8D5F-41AB-8973-66669C70E4D9}\RP101\A0022058.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. mein HijackThis ergebnis: Logfile of HijackThis v1.99.0 Scan saved at 22:15:00, on 20.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\RealPopup\RealPopup.exe C:\WINDOWS\System32\wuauclt.exe C:\DOKUME~1\Pfeiffer\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Pfeiffer\LOKALE~1\Temp\kavss.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Pfeiffer\Eigene Dateien\downloads\viren-software\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RealPopup] "C:\Programme\RealPopup\RealPopup.exe" BOOT O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{B27EA11E-91AA-4344-AC3A-6192CEF68035}: NameServer = 192.168.2.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE kann mir da einer weiterhelfen. ich weiss, hab noch kein win-update gemacht. muss ich jetzt alles neu machen?? danke für eure hilfe......christian |
|
20.01.2005, 22:18
| #2 |
   | Backdoor.win32.Rbot.gen wenn du ein vertrauenswürdiges system haben willst, geht nur neuinstallieren und Cidre's Rat befolgen.
__________________selbst wenn du ihn loswirst, kannst du dir nie sicher sein, ob der net was an den systemdateien verändert hat.. |
|
20.01.2005, 22:20
| #3 |
 | Backdoor.win32.Rbot.gen @christian_p
__________________dein problem hat hier angefangen Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) bei diesen backdoor Backdoor.Win32.Rbot.gen http://www.sophos.de/virusinfo/analyses/w32rbotot.html da kann man dich nur format C empfehlen hier eine Hilfestellung http://www.trojaner-board.de/showpos...28&postcount=2 sry chaosman
__________________ |
|
20.01.2005, 22:30
| #4 |
| | Backdoor.win32.Rbot.gen @chaosman was meinst du mit "mein problem hat hier angefangen"? was soll ich nach dem neuauflegen machen? was kann passieren wenn ich es aus zeitgründen erst in zwei bis drei tagen mach? danke.....christian |
|
20.01.2005, 22:32
| #5 |
| | Backdoor.win32.Rbot.gen @christian_p nichts wenn der computer schön vom internet getrennt ist, ansonsten besteht auch die gefahr andere computer mit dem rbot zu infizieren. achja das problem fängt hier an, bedeutet das du kein sp2 installiert hast. das war auch der grund warum er auf dein system kam. chaosman und ich haben gerade einen link gepostet, der vorbeugungsmaßnahmen beeinhaltet ebenso wie sehr nützliche links sowie erklärungen |
|
21.01.2005, 19:43
| #6 |
| | Backdoor.win32.Rbot.gen ARRGH.... Nach Neuauflage ist des sch.... ding immernoch da!! escan hat es in c:\!submit\vgacard.exe und c:\!submit\winregs32.exe gefunden. ich war nichtmal ne minute im internet. kann das so schnell gehen?? oder kann das sein das es auf der anderen partition der festplatte sitzt? gruß.....christian |
|
21.01.2005, 19:51
| #7 | |
| Moderator, a.D. | Backdoor.win32.Rbot.genZitat:
An die Installationsanleitung von http://www.trojaner-board.de/showpos...28&postcount=2 hast Du Dich gehalten? Gruß  Yopie |
|
21.01.2005, 19:57
| #8 |
| | Backdoor.win32.Rbot.gen naja... kann schlecht updaten wenn ich nichtmal ne minute im netz sein kann... und firewall is ja eigentlich die im router an.. werds wohl nochmal alles neu machen müssen.. gruss.....christian |
|
21.01.2005, 20:03
| #9 | |
| Moderator, a.D. | Backdoor.win32.Rbot.genZitat:
Außerdem gibts auf winboard.org empfehlenswerte Update-Packs. Vorher mit einem sauberen Rechner runterladen, dann auf CD brennen, und nach dem Neuaufsetzen installieren. Obwohl dies dann nicht mehr Original von MS ist, bin ich bislang so gut gefahren. Trotzdem gilt natürlich: auf eigene Gefahr! Gruß Yopie |
|
21.01.2005, 20:14
| #10 |
| | Backdoor.win32.Rbot.gen alles klar... jetzt würd mich ja nurnoch interessieren wie das ding zu mir kommt?? wartet das nur bis ich wieder online gehe?? oder wie geht das?? wie kann es sein, das ein anderer pc (xp home SP 1) der über die gleiche leitung ins netz geht, nicht infiziert wird?? irgendwann werde ich da auch mal durchblicken!! danke........chrisian |
|
21.01.2005, 20:17
| #11 |
| | Backdoor.win32.Rbot.gen das liegt einfach daran das du mit einem ungepatchdem System online bist keine Updates hast etc.Würmer benutzen eben bekannte Windows Schwachstellen! google einfach mal,auch Eigeninitiative ist gefragt  Gruss |
|
21.01.2005, 20:21
| #12 | ||
| Moderator, a.D. | Backdoor.win32.Rbot.genZitat:
Zitat:
Gruß Yopie |
|
21.01.2005, 20:36
| #13 |
| | Backdoor.win32.Rbot.gen eben nicht... bei dem anderen rechner ist auch kein update oder sonst irgendwas drauf!! @ HerrKautz wieso läuft das ein monat ohne probs und dann gleich nach der Neuinstallation ist das ding wieder da? sitzt es also doch irgendwo auf der anderen partition, die ich nicht formatiert habe?? oder?? |
|
| Themen zu Backdoor.win32.Rbot.gen |
| .exe, adobe, antivir, antivir update, bho, dateien, einstellungen, escan, explorer, firewall, hijack, hijackthis, infected, internet, internet explorer, messenger, microsoft, neu, programme, router, system, system volume information, system32, tcpip, temp, update, windows, windows xp |
Linear-Darstellung
