Hallo Ihr Spezialisten,

ich habe ein riesen großes Problem. Hatte schon lange Kazaa auf dem Rechner, solange ich Norton AntiVirus hatte war auch alles in Ordnung, allerdings ist mein Abo abgelaufen. Seitdem habe ich einen Trojaner Namens Backdoor.IRC.RPCBot (winole.exe???), den ich nicht entfernen kann.

Ich habe die Maschine bereits mehrmals formatiert, im Moment habe ich XP Pro drauf, allerdings schaut es optisch aus als wäre es Win 98. AntiVirus (egal welches AntiVir und Norton bereits probiert) funktionieren alle nicht. Sie werden anscheinend von diesem Trojaner deaktiviert. Wenn ich einen Update bei MS mache, bekomme ich als Antwort, ich hätte gar kein XP Produkt.

Ausserdem erscheint immer Administrator als Benutzername bei Benutzerkonten. Ich kann es weder ändern noch löschen.

Ich bin über jede Antwort von Euch dankbar und hoffe auf baldige Hilfe...

Warum kaufst du dir kein AV-Produkt?
Es gibt genügend, die effektiver und besser als Norton sind und zudem noch günstiger.

Auch ein kostenloses AntiViren-Programm hätte es vielleicht getan: www.free-av.de

Nun gut, poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Ging aber schnell, vielen Dank!!!
Hier meine Logfile...

Logfile of HijackThis v1.97.7
Scan saved at 23:50:51, on 05.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\qrcrsu.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\T-Online\T-Online_Software_5\eMail\MAIL.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O4 - HKLM\..\Run: [Windows Compliant] qrcrsu.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Windows Compliant] qrcrsu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Compliant] qrcrsu.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099431146053
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D38181A-13A3-4005-AC72-21B38F66C80A}: NameServer = 217.237.151.97 217.237.150.33

Ausserdem ist mir noch aufgefallen, dass meine Übertragungs- und Empfangsrate unheimlich viel ist, keine Ahnung, was dieses Ding sendet oder empfängt.

Hallo Botan,

Platform: Windows XP SP1 (WinNT 5.01.2600)/MSIE: Unable to get Internet Explorer version! --> ??? --> besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird - auf Anweisung von uns - von Hand gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein aktuelles Hijack This Logfile (v1.98.2) und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hm, abgesicherter Modus funktioniert bei mir gar nicht. Ich habe zwar die Auswahlmöglichkeit,welche Art ich starten will, allerdings erscheint nach der Auswahl ein schwarzes Bildschirm und dann fährt er runter und versucht vergeblich neu zu starten, was nicht funktioniert.

Ich werde langsam verrückt mit diesem Zeug .
Antivirus hab ich auch nicht auf dem Rechner, der Trojaner lässt gar nichts zu. Sobald ich was installiere deaktiviert es einfach alles, so dass es nicht funktioniert.

Windows Update war auch erfolglos. Noch ´ne Idee vielleicht

Soll ich den eScan vielleicht ohne "abgesicherten Modus" starten? Würde das etwas bringen?

Ja, versuch es im normalen Modus.

Poste mal ein Log mit der aktuellen Version von HijackThis: 1.98.2

hier erstmal die Log-Datei von eScan (ich habe nur die infected Zeilen kopiert)

weiter unten ist die neue log von HJT

C:\WINDOWS\System32\qrcrsu.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\qrcrsu.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\qrcrsu.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\qrcrsu.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\ixrxar.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\kqrhbs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\qrcrsu.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\winole.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\pw134.exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
C:\pwt351.exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IZMVLQXY\ta[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\ixrxar.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\kqrhbs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\qrcrsu.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\winole.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.



Logfile of HijackThis v1.98.2
Scan saved at 02:41:20, on 06.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\qrcrsu.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O4 - HKLM\..\Run: [Windows Compliant] qrcrsu.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Windows Compliant] qrcrsu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Compliant] qrcrsu.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099431146053
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D38181A-13A3-4005-AC72-21B38F66C80A}: NameServer = 217.237.151.97 217.237.150.33

so, das war´s. Endlich

Hallo Botan,

keine erfreuliche Nachricht, leider.

Zitat:

C:\WINDOWS\System32\qrcrsu.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten: "W32/Rbot-CI ist enthält Backdoortrojaner-Funktionalität, wodurch er unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist."

Dieser Wurm gräbt sich so tief in die Registry und das System ein, dass es für Nicht-Systemexperten keinen anderen Weg gibt, als das System zu formatieren und neu aufzusetzen.

- Lutz: Datensicherung
- Cidre: ein umfassender Rat
- Festplatte Formatieren - Schritt für Schritt
- Vorbeugende Maßnahmen: www.trojaner-info.de

SD