|
Robobot!....er kommt immer wieder! Hallo, ich habe seit geraumer Zeit das problem, das der worm/robobot (antivir) gefunden wird! Mit Kasperspy wird er als Backdoor.win32.Robobot.a oder .b erkannt! Habe bereits 4 Virewnprograme durchlaufen lassen, im abgesichterten modus gearbeitet, Spybot probiert, doch er kommt immer wieder! Ich kann das system nicht neu aufsetzen, bevor ich mir nicht sicher bin, dass er weg ist und ich meine eigenen dateien sichern kann, da dort wichtiges vom studium enthalten ist, das nicht verloren gehen darf, weil es lange dauerte, dieses zu erarbeiten... es werden im regelmäßigen abschnitten folgende dateien, auf c:....eigene Dateien, D:, E: erstellt! install. exe arun. exe autorun.inf auf d: wurden mir auch schon dateien gelöscht, die ich aber wiederherstellen konnte... kasperspy...und antivir springen bei der install.exe sofort an, die andern beiden lösch ich immer von hand, sie sind aber wie gesagt immer wieder da! Die systemwiederherstellung hab ich auch schon deaktiviert neugestartet und rechner laufen lassen ohne erfolg! hijackthis hat das ausgespuckt....die interpretation würd ich euch überlassen... :daumenhoc Code: |
Hallo, lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Hallo! Mich hat es ja fast erschlagen, als ich den Bericht von eScan gelesen habe! Danke Dir für den guten Hinweis! Hier erstmal die Infos aus der Log Datei! Habe mich heute gleich befleissigt, und schon einige Sachen gelöscht, hoffe das war richtig, aber schaden kann´s wohl nicht!! Habe alles so gekennzeichnet, dass es schnell herauszufinden ist, was ich gemacht hab!! Wenn das Backup gemacht ist, wird der gesammte Rechner gebügelt!! Hoffe Du kannst damit etwas anfangen!! Hab zum ersten mal seit 2 monaten das Gefühl, dem Ding endlich auf den Fersen zu sitzen! Danke..bis dann! :daumenhoc Code: |
@ zoom kannst Du diesen Teil des Logs bitte entsprechend unserer Darstellung ins Forum posten: Zitat:
[edit] .. ok, hat sich erledigt. Google hat mich überzeugt. Es liegt kein Schreibfehler vor. Sorry. [/edit] |
Hidiho! Also Ich hab heute Nacht nochmal eScan im abgesicherten Modus durchlaufen lassen und es hat garnichts mehr gefunden! Die oben beschriebenen Dateien, sind seit 2 Tagen auch nicht mehr aufgetaucht! ist doch erstmal ein gutes Zeichen oder! Würde mich aber dennoch freuen, wenn mir jemand vielleicht ´noch ein paar infos geben könnte zu diesem Robobot...weil ich selber nicht wirklich infos dazu finde!!! Dazu herscht irgendwie Totenstille im i-net! Würde mich freuen! Dann hab ich festgesellt, das die Kontrolled für die Festplatte ständig leuchtet, was hat das zu bedeuten? normal is das doch nicht! UND Kasperspy meldet immer nach jedem Sysremstart, das ein Angriff von Lovesan abgewehrt wurde! War Lovesan nicht auch irgend ein Trojaner?Wie kommt denn das zu stande? So das wars erstmal!hoffe es meldet sich mal wieder einer! THX für eure Hilfe bis hierhin!! |
|
Hallo ich arbeite gerade Cidres Tips zur neuaufsetzung des Systems durch, soweit hab ich alles verstanden, nur Punkt 10 komm ich nicht mit! gehen wir davon aus ich habe alles neu eingerichtet, dann mach ich mir das Image...richtig oder....? Was mach ich dann mit dem image, wird das auf der festplatte gespeichert oder auf CD/DVD gebrannt um das System nach einem erneuten befall neu und schneller aufsetzen zu können? macht das genannte programm das allein? ist es freeware? oder hab ich da was falsch verstanden....?! |
Du kannst die Images entweder auf die Fesplatte speichern und dann auf CD/DVD brennen oder direkt auf CD/DVD brennen. Wie du dich letztlich entscheidest, das bleibt natürlich dir überlassen. Am sinnvollsten ist jedoch das Image auf CD/DVD zu sichern. Ein erneuter Befall sollte so schnell nicht nötig sein, es sei denn du machst einen Fehler oder die verwendete Software ist fehlerträchtig. Wenn dieser Fall doch eintreffen sollte, dann spielst du dein sauberes Image zurück und kannst so wieder mit einen vertrauenswürdigen System arbeiten. Die aktuelle Version 8.0 von Acronis ist kostenpflichtig, die hingegen "ältere" Version 7.0, auch Vollversion, war als Beilage in vielen PC Heften vor kurzer Zeit kostenlos erhältlich. |
Hallo zusammen, ich hab auch Bekanntschaft gemacht, mit Robobot. Im Gegensatz zu Zoom, scheint Antivir Robobot bei mir aber ausgemerzt zu haben. In dem Zusammenhang hat Antivir auch den Trojaner/Starter gefunden und beseitigt. Hat vielleicht jemand Informationen, wie man sich mit den beiden infizieren kann (per Email-Anhang oder über Webseiten?) und ob es evtl. Schutzmöglichkeiten gibt (Internet Explorer Update von MS oder so). Kann im Internet nichts dazu finden. Vielen Dank ace |
@acetone bist du dich wirklich sicher? lade dir escan download anleitung http://www.trojaner-board.de/42731-escan-anleitung.html überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) chaosman |
@chaosman Tja, da hab ich mich wohl zu früh gefreut. Hier die liste der infected-dateien: File C:\WINDOWS\system32\win.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\wuampd.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP244\A0030421.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Dann hat er noch andere "not-a-virus"-Dateien gefunden: File C:\gendel32.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken. File C:\Sierra\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File C:\Sierra\Counter-Strike\podbot\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP244\A0031736.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken. File C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP244\A0031738.ex_ tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken. Danke für den Escan-tipp. Was mach ich jetzt mit den infected-Dateien? Und nochmal meine Frage, weiß jemand, wass der Wurm macht, bzw. Wie man ihn sich einfängt/was dagegen hilft? ace (schon mal Danke für die Hilfe) |
@ acetone Setze dein System zur deiner eigenen Sicherheit neu auf, die genaue Vorgehensweise hierzu, findest du im Link in meiner Sig. Info Backdoor Rbot.gen: http://www3.ca.com/securityadvisor/v....aspx?id=39437 |
Hallo ich habe auch den robobot auf meinem Rechner bei mir hat die escan diagnose folgendes ergeben: Mon Feb 14 17:26:18 2005 => File C:\WINDOWS\System32\SYSTEM.EXE infected by "Net-Worm.Win32.Small.c" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:18 2005 => File C:\WINDOWS\System32\wreg.exe infected by "Backdoor.Win32.Rbot.ia" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:18 2005 => File C:\WINDOWS\System32\SDK0mCORE.exe infected by "Backdoor.Win32.Rbot.gn" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:19 2005 => File C:\WINDOWS\System32\Messenger.exe infected by "Backdoor.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:19 2005 => File C:\WINDOWS\System32\IEXPLORE.exe infected by "Backdoor.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:19 2005 => File C:\WINDOWS\System32\regexpress.exe infected by "Backdoor.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:21 2005 => File C:\WINDOWS\System32\IEXPLOREN.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:22 2005 => File C:\WINDOWS\System32\winexz.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:22 2005 => File C:\WINDOWS\System32\exme.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:29 2005 => File C:\WINDOWS\system32\wreg.exe infected by "Backdoor.Win32.Rbot.ia" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:29 2005 => File C:\WINDOWS\system32\wreg.exe infected by "Backdoor.Win32.Rbot.ia" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:29 2005 => File C:\WINDOWS\system32\SDK0mCORE.exe infected by "Backdoor.Win32.Rbot.gn" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:29 2005 => File C:\WINDOWS\system32\Messenger.exe infected by "Backdoor.Win32.PdPinch.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:30 2005 => File C:\WINDOWS\system32\IEXPLOREN.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:30 2005 => File C:\WINDOWS\system32\winexz.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:39 2005 => File C:\WINDOWS\System32\SYSTEM.EXE infected by "Net-Worm.Win32.Small.c" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:43 2005 => File C:\WINDOWS\System32\AA.EXE infected by "Trojan-Downloader.Win32.Small.wa" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:47 2005 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:26:51 2005 => File C:\WINDOWS\System32\csrs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:27:00 2005 => File C:\WINDOWS\System32\ftch32a.exe infected by "Trojan-Downloader.Win32.Small.aki" Virus. Action Taken: No Action Taken. Mon Feb 14 17:27:12 2005 => File C:\WINDOWS\System32\msbe.dll infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken. Mon Feb 14 17:27:27 2005 => File C:\WINDOWS\System32\PreInstaller_p1.exe infected by "Trojan-Downloader.Win32.Keenval.o" Virus. Action Taken: No Action Taken. Mon Feb 14 17:27:31 2005 => File C:\WINDOWS\System32\ROBA32E.EXE.VIR infected by "Backdoor.Win32.Robobot.i" Virus. Action Taken: No Action Taken. Mon Feb 14 17:27:38 2005 => File C:\WINDOWS\System32\systemm.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Mon Feb 14 17:27:39 2005 => File C:\WINDOWS\System32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken. Mon Feb 14 17:27:54 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ATeuro.exe infected by "Trojan-Dropper.Win32.Agent.eo" Virus. Action Taken: No Action Taken. Mon Feb 14 17:27:59 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cdt_bbi8016.exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken. Würde mich über ne Lösung freuen um diese Viren zu löschen... Danke im Vorraus!!! |
Nachdem ich jetzt mein System zweimal neu aufgesetzt habe, mir das Service Pack installiert, die Firewall aktiviert und mir als Browser Mozilla installiert habe, ist mein Rechner jetzt endlich wieder sauber. Nochmal vielen Dank für Eure Hilfe und besonders für den Escan-Tipp (Warum das der einzige Scanner war, der alle Viren gefunden hat, wird mir zwar ein Rätsel bleiben, aber egal, hauptsache endlich virenfrei!) ace |
Hi Spawn(85), siehe hier. Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board