Hallo,

habe den Wurm Rbot I.Q 02 und bekomme ihn einfach nicht weg.

kann mir einer helfen? gibts ein prog dafür?

danke im vorraus

Hallo PhilS,

woher weisst Du, dass Du diesen Wurm hast? In welcher Datei befindet er sich und welches AntiVirenProgramm verwendest Du?

Erstelle bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

SD

@ PhilS,

wenn Du tatsächlich den W32/Rbot-IQ auf dem System haben solltest, empfehle ich Dir die Lektüre des Virenlexikons von Sophos: "W32/Rbot-IQ ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist."

Ein Wurm mit Backdoor-Funktionalität auf dem System bedeutet, dass das System kompromittiert ist. Siehe dazu: Formatieren+Neuaufsetzen

Zitat:

Zitat von MountainKing

Alles andere als ein Formatieren und Neuaufsetzen des Systems wäre nahezu fahrlässig. Zudem musst du UNBEDINGT dein Surfverhalten überdenken [..] und alle Passworte ändern. Nach der Neuinstallation solltest du als erstes Windowsupdate besuchen und alle Patches installieren, danach auf deinen alternativen Browser (firefox, mozilla, opera) umsteigen und den IE nur noch zum Windowsupdate benutzen, den den Internetoptionen bzw. in den Browsern selbst aktive Inhalte (Java-Script, VBS, Active-X) deaktivieren. Nicht jede angepriesene Shareware installieren, vorher im Netz informieren, ob sie eventuell Spyware enthält, keine mailanhänge öffnen, bei denen du nicht 100%ig sicher bist, dass sie wirklich in ordnung sind. Ein Virenscanner kann nicht schaden (AntivirPE ist für einen kostenlosen Scanner ok), ist aber keinesfalls ein 100%iger Schutz, genausowenig wie alle andere Schutzsoftware.

Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.

- Hier ein weiterer, oft gegebener Rat von Cidre:

Zitat:

Zitat von Cidre

- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm

- Hier noch einige Links:

- PC-Sicherheit
- www.windowsupdate.com
- Entfernungstools von Spyware und Adware
- Eine Auswahl Virenscanner

SD

Vielen Dank leute, aber die Sache hat sich erledigt. Ich sag nur eins:

"System-Neu-Installation"

Hab auf meheren Seiten gelesen das alles andere als eine Neuinstallation des Systems fahrlässig wäre.

Von daher ist die Sache für mich vom Tisch.

Trotzdem Danke an alle

hi,

infiziert haben kann ich mich über einen datei download oder eine sicherheitslücke - über einen dateianhang nicht !
kann ich sicher sein das das programm HijackThis und der escan sauber ist?

dann würde ich es mal auf das system aufspielen und diese beiden programme durchlaufen lassen ....

aus:http://www.windowspower.de/beitrag2009.html
erstellt am: 29/9/2004 um 09:46, Antwort 8
sollte eigentlich weg sein, aber:

finde mit "suchen":

sys32snd.exe-0280346a.pf in f:\windows\prefetch
syssnd.exe.mvt in f:\windows\system32
recall.dll in d:\programme\microsoft office\office
recall(2).dll in d:\programme\microsoft office\office
recall.exe-12b9a584.pf in f:\windows\prefetch
recall.exe.mvt in f:\windows\system32
recall.dll in f:\programme\microsoft office\office

ich vermute mal, das die recall und sys32smd.exe auf jeden fall übeltäter sind ....???

die hjt logfiles findest du dort auch
das einzige, was ich woanders finde, als auf f:\ sind diese zwei dateien...

und wie gesagt, die meldung von antivir über den worm/rbot.jl kam einmal, wurde dann gelöscht und dann nicht mehr,
nur kann ich diese logfiles nicht interpretieren
(der escan ist zu lang zu in dieses board stellen) kann ihn aber gerne als textdatei zumailen geht ja auch in reinem textformat ..

lg,
guido.

nachtrag:
arbeite seit dem von einem anderen pc aus .....

Das Grundproblem bei derartigen Schädlingen ist, dass sich nicht mehr ohne größeren Aufwand (wenn überhaupt) nachvollziehen lässt, was ein eventueller Angreifer damit manipuliert haben kann. Es ist rein theoretisch möglich, dass gar nichts passiert ist (also niemand diese Funktion während der Zeit, in der sie zur Verfügung stand, ausgenutzt hat), aber genauso, dass man dir noch mehr Schädlinge, die dann noch wesentlich schwerer zu entdecken sind, weil sie unsichtbare Registry-Einträge verwenden oder Scanner manipulieren usw.auf das System gebracht hat. Wir wissen ja beispielsweise schon mal gar nicht, wie genau du infiziert wurdest, über Ausnutzen einer Sicherheitslücke von Windows, über einen mailanhang oder einen Dateidownload.
Es lässt sich deswegen auch nicht ausschließen, da man ja im infizierten System auch die Festplatte mit dem anderen sehen kann, dass darauf ebenfalls Zugriff bestand. Du solltest es auch mal mit E-Scan scannen und ein HJT-Log erstellen evtl. kann man die Unsicherheit damit ja schon beseitigen, falls sich dort dann ebenfalls Schädlinge finden.

... auch von mir ein hilfeschrei:

habe meinen doch sehr verzweifelten hilferuf schon hier gepostet:
schau mal rein, da sind auch filelogs etc vorhanden:
http://www.windowspower.de/beitrag2009.html

ist der wurm /rbot.JL in die gleiche kategorie einzustufen???

bin über jeden ernsten ratschlag dankbar !!!!

guido

Die Rbot-Familie ist allgemein sehr gefährlich und genügt im Prinzip bereits für eine empfohlene Neuinstallation. Deine Logfiles sehen nicht gut aus, da laufen nach wie vor Trojanische Pferde. PhilS hat daher schon das Richtige gemacht und auch SD hat das ja vorgeschlagen:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen

Nach der Neuinstallation sollten die angesprochenen Dinge beherzigt werden, besonders das schnelle Update von XP und IE bei eingeschalteter Firewall oder per Service Pack 2 von CD. Und dann gilt es, die Surfgewohnheiten und Konfigurationen der Software dahingehend grundlegend zu verbessern, dass eine erneute Infektion bereits im Ansatz möglichst verhindert wird. Weitere Informationen dazu:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000120000000000000000

@ beteigeuze

Bei sind/waren mehrere Backdoor Trojaner aktiv, daher solltest du zur deiner eigenen Sicherheit dein System neuaufsetzen, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Info zum W32/Rbot-JL findest du hier:
http://www.sophos.de/virusinfo/analyses/w32rbotjl.html

Zitat:

# Ermöglicht Dritten den Zugriff auf den Computer
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus
# Wird für DOS-Attacken verwendet
Distributed-Denial-of-Service-Attacke
Proxyserver
Paket-Sniffing
Keystroke-Logging
Remote-Shell
Videoaufnahmen
Hoch- und Herunterladen von Dateien

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

EDIT:
MK war schneller.

hallo mountain king,

escan findet auf meinem infizierten bs nichts mehr, ich habe aber das gefühl,das die wieder aktiv werden, sobald ich ins netz gehe...

was ich jetzt machen würde:
1.einen HijackThis log von dem system offline
dann online gehen und
2.einen online erstellen,
3.einen e-scan log von dem infizierten system aus machen, nachdem ich online war (müsste eigentlich reichen, da e-scan ja alle partitionen scant ( ODER ???? )
4.einen HijackThis log von dem vielleicht noch sauberen system erstellen.

und hier bin ich mir nicht sicher:
kann/sollte/darf ich mit dem vielleicht noch sauberen system online gehen, um auch von dort einen hjt-log zu erstellen, nachdem ich online war... ?????

das ganze poste ich dann hier (als anhang oder direkt ???)

guido.

mein virenscanner auf dem vielleicht noch intakten bs ist nicht ganz auf dem neusten stand (update ca. 'ne woche alt, da ich mit diesem bs nicht mehr im netz war) findet nichts ....

meine frage ist nur:
kann ich mir das HijackThis programm und den e-scan auf mein - hoffentlich noch sauberes bs - kopieren und es dort durchlaufen lassen oder kann es auch sein, das diese programme verseucht sind???

lg,
guido

Die heruntergeladenen Dateien sind sicher sauber und es ist extrem unwahrscheinlich, dass sie so schnell manipuliert wurden.

Wir brauchen auch nicht das komplette Log von E-Scan, die namen der gefundenen Viren genügen.

ich arbeite mit zwei betriebsystemen.
4 partitionen:
c: xp
d: für programme
e: meine dateien
f: mein zweites xp betriebsystem (welches infiziert ist !!). dieses benutze ich für downloads oder für unsicheres.

wie kann ich feststellen, ob mein erstes bs auf c sauber ist??
wenn dem so ist, müsste es doch reichen, mein zweites bs neu aufzusetzen, oder??

guido

Du kannst Scanner drüberlaufen lassen oder auch ein HJT-Log erstellen. Wenn du damit nie im Netz warst und keine heruntergeladenen fragwürdigen Dateien bzw. Programme vom anderen OS dort gelagert hast, dürfte es nicht betroffen sein und die Neuinstallation des zweiten XP genügen.