Hallo,

habe mich eben registriert, da ich mit einem Problem nicht weiter komme.
Mein Rechner arbeitet zur Zeit immer an Prozessen, die ich gar nicht in Auftrag gegeben habe. Unter anderen ist auch einen update.pif dabei. Ich habe mir schon den Wolf gegoogelt, manchmal wird beschrieben, das diese Datei der Worm: W32HLLW.Bodiru ist, o.s.ä.
Ich finde leider keinen Tool zur Entfernung dieses Teils, kann mir bitte jemand helfen? Ich habe Windows NT und eine aktuelles Antivir.

Hallo,

wenn es sich dabei um diesen Schädling handelt, wovon auszugehen ist, solltest du das System neu aufsetzen.

Um sicherzugehen solltest du die Datei vorher online bei http://virusscan.jotti.org/de überprüfen und das Ergebnis posten.

Hallo,

die einzige sichere und sinnvolle Lösung, um den Bot und weitere nachgeladene Malware zu entfernen, ist ein Neuaufsetzen deines Systems. Siehe dazu die Anleitung in meiner Signatur.

Zitat:

W32/Rbot-ANH ist ein Wurm und ein IRC-Backdoortrojaner für die Windows-Plattform.
W32/Rbot-ANH verbreitet sich auf andere Netzwerkcomputer:


- indem er häufige Pufferüberlauf-Schwachstellen ausnutzt, darunter: RPC-DCOM (MS04-012), PNP (MS05-039) und ASN.1 (MS04-007)
- indem er sich auf Netzwerkfreigaben kopiert, die durch einfache Kennwörter geschützt sind

W32/Rbot-ANH läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

Wenn er erstmals gestartet wird, kopiert sich W32/Rbot-ANH nach <System>\update.pif.
Quelle: http://www.sophos.de/virusinfo/analyses/w32rbotanh.html

EDIT:
Überschneidung @Haui45

Danke für eure Antworten. Ich habe mir mal kopiert, was ich beim OnlineScan für Meldungen bekommen habe.
AntiVir Worm/Rbot.75410 gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Trojano-2386 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender GenPack:Backdoor.RBot.60E196F6 gefunden
ClamAV Keine Viren gefunden
Dr.Web Win32.HLLW.MyBot gefunden
F-Prot Antivirus security risk or a "backdoor" program gefunden
Fortinet W32/SDBot.AEY-bdr gefunden
Kaspersky Anti-Virus Backdoor.Win32.SdBot.aey gefunden
NOD32 Win32/Rbot gefunden
Norman Virus Control W32/SDBot.SEM gefunden
UNA Keine Viren gefunden
VBA32 Backdoor.Win32.SdBot.aey gefunden

Leider habe ich überhaupt keine Ahnung, wie man Hijack postet, vielleicht eine kleine Erklärung

Wenn ich mir so die Beschreibung zum Neuaufsetzen des Systems ansehe, krieg ich auch die Panik. das Ding hier ist mein Arbeitsrechner, ich habe gar keine Installationssachen, (CD's und co..) Muß dazu sagen, soll bald einen neuen Rechner bekommen, ist schon 5 Jahre alt, mit Windows NT!!!
Was kann ich noch tun? Wenn ich jetzt ins Netz gehe, werde ich dann ausspioniert? Wo muß ich mich vorsehen?

Hallo, mutschvieh!

Zitat:

Was kann ich noch tun?

Nichts - zumindest nichts Sinnvolles- außer Neu-Aufsetzen! Lies Dir die links in Cidres Anleitung zu der Backdoor-Problematik mal genau durch. Dann wirst Du sehen, dass es zu Neu-Aufsetzen keine Alternative geben kann. Du kannst Deinen System nicht mehr vertrauen!

Zitat:

Wenn ich jetzt ins Netz gehe, werde ich dann ausspioniert?

Hier geht es nicht ums ausspionieren - Du bist nicht mehr Herr Deines eigenen Systems. Also vor allem nicht mehr in Netz gehen!

Zitat:

...das Ding hier ist mein Arbeitsrechner, ich habe gar keine Installationssachen, (CD's und co..)

Wenn Du nicht, wer hat sie dann? Von wegen Arbeitsrechner: Von Firma zur Verfügung gestellt? - Wenn ja, dann Sache der IT Beauftragten dort. In diesem Fall sollte Deine Firma/Auftraggeber auch daran interessiert sein, dieses Problem sauber zu lösen!
Löschen, Dateien entfernen etc... ist nur Makkulatur
stupormundi
PS: Aus Jux und Tollerei gibt hier niemand den Rat zu Neu-Aufsetzen!

Ich danke euch Leute. Poste jetzt von zu Hause aus, da ich heute mit meinem Arbeitsrechner nicht mehr ins Netzt bin...
Nur noch eine Frage, wie läuft das mit dem Backdoor Programm, wenn ich im Netz bin, bekommt dann jemand sofort Nachricht und kann auf meinem Rechner verändern, was er will? Ich kann mir echt nicht vorstellen, wozu das gut sein soll
Gruß Annett

Zitat:

Zitat von mutschvieh

Nur noch eine Frage, wie läuft das mit dem Backdoor Programm, wenn ich im Netz bin, bekommt dann jemand sofort Nachricht und kann auf meinem Rechner verändern, was er will? Ich kann mir echt nicht vorstellen, wozu das gut sein soll

System wie "deines" sind meist Teil eines sog. Botnetzes. Diese werden für illegale Aktivitäten missbraucht.
-> http://www.heise.de/newsticker/meldung/57030
-> http://www.heise.de/newsticker/meldung/51689

Dabei dürfen aber nicht die normalen Verbrecher vergessen werden. Manche wollen wirklich nur Geld. Sie schicken dir nen keylogger (btw laden dir einen hoch), lassen ihn über den backdoor ausführen und der zeichnet derweil auf, wie du gerade deine PIN eingibst - eine horrorvorstellung.
Auch kanns sein, das er andere Passwörter will. Er kann dann auf gerade genanntem Wege dein Boardpw holen. Und schon ist geht die flooderei über deinen namen los.
Dann kannst du noch zum Lager von Pornofilmen oder illegaler Software aller Art werden. Es wurde hier ein Fall beschrieben, bei dem sogar die Kamera gesteuert wurde. das ist sehr selten, aber eben möglich. ..

Hier bin ich noch mal. Ich habe heute morgen noch mal mein ganz aktuelles Antivir überlaufen lassen, hat doch tatsächlich 8 Signaturen von diesem Backdings gefunden, ich habe die komlpetten Datein, also msdos.pif und wo das Ding noch so drin war gelöscht, obwohl sie vielleicht nützlich waren....
Jetzt laufen selbst nach dem Neustart keine Prozesse mehr, und Antivir findet beim scannen auch nichts mehr. Ich würde hier gern mal so einen Hijack posten, erklärt mir jemand wie das geht und warum finde ich den Worm jetzt nicht mehr?
Gruß Annett

Du solltest mit dem Rechner überhaupt nicht mehr ins Netz, jedenfalls nicht, solange er neu aufgesetzt wurde. Manipulationen an Systemdateien wird kein AV-Programm der Welt erkennen.

Du solltest schnellstmöglich die EDV-Abteilung bzw. den Admin über den Backdoor-Befall informieren. Wenn es ein guter Admin ist, wird er den Rechner asap neu aufsetzen.
Vielleicht kommst du so auch schneller an einen neuen Rechner.

Hauptgrund für Backdoor-Befall ist übrigens ein nicht-aktuelles System, die Windows-Update-Seite sollte regelmäßig besucht werden. Gibt es für NT noch Updates?

Gruß
Yopie