Hallo.

Ich verstehe es nicht. Ich habe jetzt schon viermal den Rechner formatiert, neu aufgesetzt und jedesmal habe ich "irgendwas".. Diesmal also so vorgegangen: Win2000 rauf, Antivir rauf, scannen, ServicePack4 drauf. Dann nach jeder neuen Software geprüft... (Antivir, eScan, Ad-Aware und Search&Destroy) Ich habe nur Original-Software (Treiber) oder Free- (Firefox; OpenOffice) resp. Shareware (Totalcommander). Als erstes haben Ad-Aware und Search&Destroy "Alexa" gefunden, was ich mit HijackThis gefixt habe.

Es gab Probleme mit ZoneAlarm, da ich überhaupt nicht mehr raus kam, also habe ich die Firewall von Sygate genommen und als sich die Meldungen häuften, dass "studio.exe" ins Netz wollte, habe ich mich umgehorcht. Kaspersky-Online-Scanner ergab dann, dass "studio.exe" mit "Backdoor.Win32.Rbot.gen" infiziert ist. Wieso? Woher? Warum? Da ich echt keinen Nerv darauf habe, das Teil hier ein fünftes Mal zu plätten (zumal ich eh aus "heiterem Himmel" Viren et all. bekomme), frage ich hier einmal, wie man das Teil wegbekommt. Mein Hijackthis-Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.0
Scan saved at 01:17:51, on 01.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\Medien\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~1\HanseNet\Alice\app\TANGOM~1.EXE
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SICHER~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Sicherheit\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ITD65_ITD] "C:\Programme\Sicherheit\Steganos Destructor\itd.exe" /booting
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\Sicherheit\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Sicherheit\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sicherheit\Sygate\SPF\smc.exe
O23 - Service: Tango Service - Unknown - C:\Programme\HanseNet\Alice\app\TangoService.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
         

Wäre nett, wenn jemand ein Auge drauf werfen und mir (hoffentlich) etwas Positives sagen könnte...

Hi,
Alexa ist klar (danke an Bill Gates) aber Spybot klärt das.
Das Problem mit Deinem RBot könnte zwei Möglichkeiten haben:
1. Du hast wirklich einen drauf (Software aufgespielt, ohne sie vorher zu scannen (wenn sie drauf ist, hilft es nichts mehr) oder
2. Es ist keiner:

Zitat:

Wenn er erstmals ausgeführt wird, kopiert sich W32/Rbot-TW als STUDIO.EXE in den Windows-Systemordner und startet diese Kopie des Wurms. Die Kopie versucht, die originale Datei zu löschen.

Zitat aus Sophos

In beiden Fällen mußt du nochmal formatieren, um festzustellen, ob es nicht an der firewall (sygate) liegt; die diese Datei ja auch im Original erstellt.
Viele scanner checken nur nach Dateinamen/-endungen; da kann es vorkommen, daß eine gute Datei als schlecht bezeichnet wird.
Allerdings solltest Du ein Original von der Firewall haben; damit Du sicher bist daß sie sauber ist.
cacatoa

Mach mich nicht schwach... Schon wieder formatieren? *ächz* Ein Fixen mit HijackThis nützt nichts?

Frage: Was wollen wir fixen, wenn wir nicht wissen, was und wo es herkommt.
Das hat leider wenig Sinn. Aber so wie´s aussieht, bist Du ja im Formatieren geübt (Ironie)