Hallo, habe heute einen Online-Scan bei Bitdefender gemacht, dieser zeigte mir 2 Viren an: Type_VBS-Autorun und Backdoor.RBOT.6A1FABBO, welche er nicht beseitigen konnte (C:Windows/system32/WindowsGuard.exe). Anschließend hab' ich nochmal einen Scan bei Symantec durchlaufen lassen. Der hat nix gefunden. Mein Antivir ist auf neustem Stand und findet auch nix. Bin jetzt etwas ratlos. Kann mir jemand helfen?
Danke
Luxy

Bitte Poste deine HijackThis log

www.Hijackthis.de

Zitat:

Zitat von Luxy

Hallo, habe heute einen Online-Scan bei Bitdefender gemacht, dieser zeigte mir 2 Viren an: Type_VBS-Autorun und Backdoor.RBOT.6A1FABBO, welche er nicht beseitigen konnte (C:Windows/system32/WindowsGuard.exe). Anschließend hab' ich nochmal einen Scan bei Symantec durchlaufen lassen. Der hat nix gefunden. Mein Antivir ist auf neustem Stand und findet auch nix. Bin jetzt etwas ratlos. Kann mir jemand helfen?

Dein Antivir mag auf aktuellem Stand sein, aber wie siehts mit der restlichen Software, insbesondere dem Betriebssystem, aus? Zur Verifikation des Befalls solltest Du die angemeckerte Datei unter http://virusscan.jotti.org/de/ scannen. Wenn dort immer noch ein "Bot" wie RBot, SdBot, Gaobot o.ä. gefunden wird, gilt:

http://www.trojaner-info.de/report_i...nleitung.shtml

Anschließend mach Dich mal ein bißchen kundig, siehe dazu meine Signatur.

Gruß
Yopie

Zitat:

Zitat von Paul7338

Bitte Poste deine HijackThis log

www.Hijackthis.de

Das ist leicht gesagt, wie mache ich so was?

Scan zunächst noch einmal die angemeckerte Datei! Alles weitere evt. später!

Gruß
Yopie

1.Du lädst dir HijackThis runter von: www.Hijackthis.de

2.Du entpackst es auf deiner Fesplatte wo Windows drauf ist meistens ist es Fesplatte C:

3.Du machst do a System scan and save Logfile



Du kopierst den Text der Logfile und fügst ihn hier ein und postest es

Direct download

Ich hoffe, es hat funktioniert.
Luxy

Zitat:

Zitat von Luxy

Ich hoffe, es hat funktioniert.

Wie ist das Ergebnis des Scans bei http://virusscan.jotti.org/de/ ?

Gruß
Yopie

Hab das jetzt mal hier rein kopiert. Was sagt Ihr denn jetzt dazu? Ich habe Null-Ahnung.

Auslastung: 0% 100%

Datei: WindowGuard32.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PEX

AntiVir Keine Viren gefunden (0.59 Sekunden)
Avast Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus Keine Viren gefunden (0.56 Sekunden)
BitDefender Backdoor.RBot.6A1FABB0 (0.60 Sekunden)
ClamAV Keine Viren gefunden (0.63 Sekunden)
Dr.Web Win32.HLLW.MyBot.based (0.98 Sekunden)
F-Prot Antivirus unknown virus (mögliche Variante) (3.12 Sekunden)
Fortinet Keine Viren gefunden (0.63 Sekunden)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (1.08 Sekunden)
mks_vir Keine Viren gefunden (0.24 Sekunden)
NOD32 probably unknown NewHeur_PE (mögliche Variante) (0.72 Sekunden)
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* File length: 91136 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\WindowGuard32.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Sys Personal Firewall"="WindowGuard32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Sys Personal Firewall"="WindowGuard32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "Sys Personal Firewall"="WindowGuard32.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex Crazy.
* Will automatically restart after boot (I'll be back...). (5.33 Sekunden)

ohoh ein Backdoor beim Backdoor sind meistens mehrere Datein infiziert da ist das beste die Festplatte formatieren

Da auf deinem System ein Wurm mit Backdoorfunktionalität aktiv ist/war, lautet meine Empfehlung "Setz dein System neu auf und sichere es vor der ersten Internetverbindung entsprechend ab". Eine sehr gute Anleitung findest du hier.

Warum eine einfache "Bereinigung" nicht ausreicht, kannst du auf diesen Seiten nachlesen:
erstens, zweitens und drittens.

Wofür kompromittierte Systeme "missbraucht" werden können:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689
http://en.wikipedia.org/wiki/Botnet
http://cert.uni-stuttgart.de/doc/netsec/bots.php

Hallo Luxy,

es wäre nett, wenn Du diese Datei hier uploaden würdest, da nicht alle Virenscanner diese erkannten:
C:\WINDOWS\SYSTEM\WindowGuard32.exe
http://www.malwareupload.com
Erläuteringen

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zu “Format C:” geraten,
http://en.wikipedia.org/wiki/Botnet
um das zu vermeiden:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689


Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Zitat:

Zitat von Paul7338

ohoh ein Backdoor beim Backdoor sind meistens mehrere Datein infiziert da ist das beste die Festplatte formatieren

Danke, ich habe es befürchtet! Es reicht doch sicherlich, ihn in den Auslieferungszustand zurück zu versetzen?

Bitte sag "JA"

Viele Grüße

Luxy

Normalerweise müssen durch den Einsatz einer Recovery-CD alle Partitionen bzw. die Systempartition formatiert werden. Ansonsten RTFM

Die Absicherung vor der ersten Verbindung zum Internet bitte nicht vergessen!

Zitat:

Zitat von Luxy

Danke, ich habe es befürchtet! Es reicht doch sicherlich, ihn in den Auslieferungszustand zurück zu versetzen?

Bitte sag "JA"

Nein.

Um es mit Haui45 zu sagen:

Zitat:

...sichere es vor der ersten Internetverbindung entsprechend ab

Dazu gehört das Installieren aller Sicherheitsupdates, und zwar offline!

Gruß
Yopie