|
Plagegeister aller Art und deren Bekämpfung: Win32.Rbot.gen und "Kein Zugriff"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.01.2005, 03:44 | #1 |
| Win32.Rbot.gen und "Kein Zugriff" Hallo erstmal! War zuvor immer nur passiv hier am Forumsgeschehen beteiligt und konnte meine Rechnerprobleme durchs mitlesen beseitigen, möchte jedoch jetzt selbst mein neues Problem schildern und um Hilfe bitten. Ich muss zugeben das ich zu Anfangs immer sehr leichtsinnig und relativ ungeschützt im Internet unterwegs war, was mir dann natürlich auch zum Verhängnis wurde, keine Frage. Mittlerweile ist meine letzte Festplattenformatierung einanhalb Jahre her und dementsprechend hatte sich auf dem Rechner schon so einiges angesammelt oder auch eingenistet. Zwar wurde zwischendurch mal der Virenscann über die Platten gejagt, wurde jedoch nie wirklich besser, so dass ich zufrieden war. Dies ist jetzt aber nicht so wichtig! Als ich vor ca.zweieinhalb Wochen auf ein merkwürdiges Phänomen sties, dass mich mit der Zeit regelrecht in den Wahnsinn trieb, musste ich nach eingehender Foren,- und Artikeldurchsicht feststellen, dass ich um ein Neuaufsetzen des Systems nicht rum komme. Die Sache ist nämlich so: An irgendeinem Tag, ein Tag wie jeder andere auch, wollte ich auf eine Datei zugreifen und deren Inhalt bearbeiten - ich glaube es war ein Ordner mit Textdateien. Plötzlich kam folgendes Fensterchen: Ich war natürlich erschrocken und konnte den Fehler nicht recht erkennen. Nachdem ich den Rechner neu gestartet hatte, um eben zu sehen ob der Fehler noch weiterhin auftritt, was er dann auch tat, entdeckte ich das Gleiche auch bei anderen Files, zunehmend bei denen die ich auch oft benutzte, kann natürlich jetzt auch Zufall sein, schaute ja nicht jedes File nach. Da ich die Gewohnheit habe Downloads erstmal auf dem Desktop abzulegen, bekam ich ein Sammelsurium von Dateien die mir den Desktop verstopften, da ich nach und nach nichts mehr öffnen konnte. Dies passierte auch mit Dateien die ich z.B. aus einem .rar-Ordner irgendwo hin ziehe, die sind dann auch plötzlich unbrauchbar gewesen und hatten alle 0-Byte in den Eigenschaften. Das Blöde war dann auch, dass ich die Sachen weder öffnen, umbenennen, verschieben, kopieren, ausschneiden oder verfluchen konnte, nichts ging mehr. Ich lies öfters HijackThis und Ad-Aware laufen, die konnten aber nie wirklich was bedrohliches entdecken, zumindest dem Anschein nach nicht, bis auf HJT vielleicht mal einige Einträge. Wie ich schon erwähnte, war ich mit den meißten Virenscannern die ich hatte nie so ganz zufrieden und so bekam ich Kapersky von einem Kumpel und lies den mal arbeiten. Ich kann nur sagen... was mir da alles entgegen kam beim ersten Scann, dass war schon erschreckend! Ich kam vom "Deleten" garnicht mehr weg, so viele Sachen wurden gefunden. Alles was er fand waren Trojaner und Backdoor. Ich habe mir mal so einiges aufgeschrieben: - Backdoor.Win32.Rbot.gen - Backdoor.Win32.PoeBot.b - Backdoor.SdBot.jg - Win32.Parite.b - TrojanDownloader.Bat.Ftpc Nach löschen (lassen) der Sachen dachte ich mit dem Thema fertig zu sein, jedoch war dem leider nicht so! Es wurde immer schlimmer. Warscheinlich habe ich den schlafenden Löwen geweckt und zum Angriff animiert, anders kann ich mir das auch nicht erklären. Jetzt hatte ich neben dem Problem, dass ich auf viele meiner Dateien keinen Zugriff mehr hatte, noch einiges bekommen. Als ich irgendwann nicht mehr ins Internet konnte und schon wie ein Verrückter bei der Telekom anrief, weil ich der Meinung war das die dort meine Leitung gekappt hätten, beschloss ich einfach das Teil nicht mehr anzufassen weil die den Fehler nicht finden konnte. Ich schaute ab und an mal nach ob es wieder ging, war aber immer erfolglos. Eines Tages, als ich am Rechner mal wieder auf Virenjagd ging und einfach mal wieder auf den Internetzugang klickte, kam ich doch tatsächlich wieder rein (und es lag nicht an der Telekom). Jetzt war ich natürlich baff. Als ich nun ins Internet ging um meine Mails zu checken, bemerkte ich den lansamen Aufbau des Explorers oder anderen Programmen. Ein Blick in den Task Manager sagte aus warum, denn die svchost.exe lief auf Vollast, kann dann auch nicht so berauschend laufen dachte ich mir und beendete den Prozess um zu sehen was passiert. Prozessorauslastung ging runter, neues Fenster öffnete sich. Habe gerade kein Bild zur Hand, aber viele kennen dieses Fenster, ich sage nur: "Der Computer wird in 60 Sekunden runtergefahren". Scheisse war ich genervt...! schnell auf Start > Ausführen > cmd eingetippt und in die Console shutdown -a eingegeben. Das Fenster war Weg, die Probleme häuften sich. Ich konnte zwar weiter arbeiten, jedoch sehr eingeschränkt. Mit der Zeit konnte ich nichts kopieren, also Textzeilen, Dateien etc. (STRG+C), der Eintrag unter "rechtsklick" blieb unbrauchbar, auch STRG+V brachte nichts. Ich lies den PC neu starten. Vorerst alles i.O., gehe ich ins Internet, steigt die CPU-Auslastung durch die svchost.exe wieder in die Höhe. Ausserdem fiel mir auf, dass die tftp.exe mehrmals im TM erschien und das selbst nach beenden der Prozesse. Da war mir klar das der Rechner nicht frei von Viren war. Kapersky fing dann auch gleich zu brüllen an und schmiss mir eine Meldung nach der nächsten an den Kopf. Es waren meißt Dateien die TFTPXXXX hießen (XXXX durch Zahlenkombinationen ersetzt) Vieles konnte aber nicht gelöscht werden und vergammelte dann weiterhin im System32 Ordner. Ich glaube es war am nächsten Tag, da bekam ich das Biest etwas gebändigt. Nachdem nun auch etliche .exe-Dateien verseucht waren und gelöscht wurden... wvsvc.exe, bling.exe, lol.exe, msfwe1.exe, muamgr.exe, mssce.exe, mhowc.exe, gksdmx.exe, qoldwrme.exe, work.exe, winpfd.exe und, und, und. Brachte das Löschen der mssw32.exe einen großen Erfolg, fand ich zumindest, da von dort an wieder der Zugriff auf meine Dateien gewehrleistet war, also die Dateien auf denen ich kein Zugriff mehr hatte waren wieder "voll funktionsfähig". Toll dachte ich mir, installierst du jetzt das SP2 was ich vor einiger Zeit mal runtergeschmissen hatte, weil viele Programme hinterher nicht liefen und siehst zu das du den rechner absicherst so gut es geht. Tja, Windows-update funktionierte nicht, der Browser verweigerte den Dienst auf der Updateseite, so dass ich mir von einem Kumpel die Windows XP CD mit SP2 drauf geliehen hatte. Fröhlich machte ich ein "Update" welches dann irgendwann sich aufhängte und nicht mehr weiter installierte. Danach ging wieder nichts und ich wollte eine Reperatur machen mit der CD...welche sich dann auch bei 34 Minuten aufhing, jedes mal...dass Gleiche auch mit der WinXP SP1 CD die ich zu Hause hatte! Weil ich Daten auf dem Rechner habe die ich auf keinen Fall löschen kann, wollte ich diese unbedingt noch sichern um eine Formatierung machen zu können, deshalb installierte ich ein weiteres seperates Betriebssystem - diesmal die mit integriertem SP2 - auf der großen Platte, was auch wunderbar funktionierte, zumindest was die Installation anging. Leider konnte ich keine Internetverbindung herstellen, da mir dies von Windows verweigert wurde und auch andere Sachen gingen nicht, Sound, Hilfe und noch einiges mehr... leider auch nicht die Brennfunktion, womit ich meine daten sichern wollte, Nero konnte ich auch nicht installieren. Ich entschloss mich eine weiter Version zu installieren, diesmal aber meine alte SP1 die ich dann per Internet auf SP2 bringe, kann ja sein das die Installationsdisk macken hat oder was auch immer. Zuerst lief alles wieder wunderbar und mit der Grundinstallation funktionuckelte alles grandios, bis ich wieder Updatete auf SP2, von dort an hatte ich wieder das Gleiche wie mit der CD Installation, nichts ging mehr. Ausserdem bemerkte ich wieder, dass ich auf viele Sachen keinen zugriff mehr hatte....Ihr erinnert euch!? (siehe 55.417 Zeilen weiter oben) Ich freute mich! So habe ich einfach die SP1 Version auf eine andere Platte gepackt die rund 10 GB hatte, wovon 5 frei waren, ich wollte zumindest die Möglichkeit haben meine Daten zu sichern. Zuerst ging auch alles gut... ich habe momentan vollen Internetzugriff, habe vor der ersten Interneteinwahl Kapersky, Zonealarm, Sophos, Spybot S&D installiert, einige Dienste abgestellt und hinterher ersteinmal alle Windows-updates - bis auf SP2 - drüber gebügelt. Bin auch sehr zufrieden und könnte vorerst alles so laufen lassen, möchte jedoch meine große platte gerne wieder nutzen können und das ganze Ding plätten, nach Sichern der Dateien natürlich. Doch leider habe ich ja wieder keinen Zugriss auf die Dinge die ich brauche und nun nicht brennen kann!! Womit ich jetzt zu dem komme wobei ich um Hilfe bitte. Weiß jemand wie ich diese "Sperre" von den Dateien bekomme? Beim letzten mal muss es ja Zufall gewesen sein, da mir die Dateien ja genannt wurden die verseucht waren und ich die, wenn auch oft mphsam, entfernen konnte. Jetzt schaut es jedoch so aus, dass ich den ganzen Tag nichts anderes mache wie den kompletten Rechner (drei Platten) von Kapersky und Zonealarm auf Viren untersuchen lasse, jedoch nichts gefunden wird. Da muss ja noch irgendwas sein was sich da versteckt und mir den Tag/Woche(n) versaut. Ich hoffe das jemand Ideen hat die mir helfen könnten, da ich die Sachen unbedingt brauche und wirklich nicht einfach Formatieren kann, sonst kann ich mir gleich den Strick nehmen bei der Arbeit die ich investiert habe etc.!! Ich möchte mich nochmal für den langen Text entschuldigen, aber ich neige dazu ausführlich zu schreiben und ich wollte auch so viele Schritte, Symptome etc. auflisten, damit andere vielleicht das Problem eingrenzen können!? Stefan
__________________ Wer morgens zerknittert aussieht, hat den ganzen Tag gute Entfaltungsmöglichkeiten |
29.01.2005, 14:00 | #2 | ||
| Win32.Rbot.gen und "Kein Zugriff" Hi,
__________________das ist ja wie ein ganzes Tagebuch was Du da alles schreibst, aber es wird Dir nicht's nützen Du musst das System neu aufsetzen wenn Du wider sicher arbeiten willst. Diese Einträge: Zitat:
Zitat:
Hier auch noch mal ein weiterer Link dazu: http://oschad.de/wiki/index.php/Kompromittierung Gruß Gigamail
__________________ |
29.01.2005, 15:46 | #3 |
| Win32.Rbot.gen und "Kein Zugriff" Das ich das System neu aufsetzten muss ist mir klar, mein Problem das ich habe ist nur, dass ich Dateien habe auf die ich momentan nicht zugreifen kann und die ich vor der Formatierung sichern muss! Vorher kann ich an neu aufsetzen nicht denken, leider.
__________________Stefan
__________________ |
29.01.2005, 16:03 | #4 |
| Win32.Rbot.gen und "Kein Zugriff" |
29.01.2005, 16:23 | #5 |
| Win32.Rbot.gen und "Kein Zugriff" Auch schon an die Möglichkeit gedacht, jedoch habe ich nur ein einziges Laufwerk mit dem ich die CD-ROM abspielen könnte, zum Brennen bleibt da nichts übrig.
__________________ Wer morgens zerknittert aussieht, hat den ganzen Tag gute Entfaltungsmöglichkeiten |
29.01.2005, 16:30 | #6 |
Win32.Rbot.gen und "Kein Zugriff" wieviele partitionen hast du? (also einteilungen wie c: und d: von der festplatte) es gäbe noch andere etwas schwierigere möglichkeiten |
29.01.2005, 16:35 | #7 |
| Win32.Rbot.gen und "Kein Zugriff" |
Themen zu Win32.Rbot.gen und "Kein Zugriff" |
.exe, .exe-dateien, 0-byte, ad-aware, browser, computer, confused, daten sichern, desktop, entfernen, explorers, fehler, festplatte, helfen, hijack, hijackthis, installation, internet, kein bild, keine internetverbindung, löschen, neues fenster, ordner, programme, prozess, scan, sekunden, starten., svchost.exe, tan, trojaner, ungeschützt, vollast, warum, windows xp, windows-update |