Trojaner-Board - Backdoor.win32.Rbot.gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Backdoor.win32.Rbot.gen (https://www.trojaner-board.de/12502-backdoor-win32-rbot-gen.html)

Backdoor.win32.Rbot.gen

Hallo leute..

nachdem die firewall von meinem router vorhin alarm schlug, hab ich mir escan geholt und eine datei die mit dem besagten teil ifiziert war mit killbox
gelöscht.

jetzt funktioniert auch alles wieder wie vorher.

ABER...

escan findet des ding schon wieder!!!

hier mal meine escan-log:

File C:\!Submit\A0002347.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File D:\System Volume Information\_restore{6B083385-8D5F-41AB-8973-66669C70E4D9}\RP101\A0022058.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

mein hijackthis ergebnis:

Logfile of HijackThis v1.99.0
Scan saved at 22:15:00, on 20.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RealPopup\RealPopup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOKUME~1\Pfeiffer\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Pfeiffer\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Pfeiffer\Eigene Dateien\downloads\viren-software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RealPopup] "C:\Programme\RealPopup\RealPopup.exe" BOOT
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B27EA11E-91AA-4344-AC3A-6192CEF68035}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

kann mir da einer weiterhelfen.
ich weiss, hab noch kein win-update gemacht.
muss ich jetzt alles neu machen??

danke für eure hilfe......christian

wenn du ein vertrauenswürdiges system haben willst, geht nur neuinstallieren und Cidre's Rat befolgen.
selbst wenn du ihn loswirst, kannst du dir nie sicher sein, ob der net was an den systemdateien verändert hat..

@christian_p
dein problem hat hier angefangen
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
bei diesen backdoor Backdoor.Win32.Rbot.gen
http://www.sophos.de/virusinfo/analyses/w32rbotot.html

da kann man dich nur format C empfehlen

hier eine Hilfestellung
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman

@chaosman

was meinst du mit "mein problem hat hier angefangen"?

was soll ich nach dem neuauflegen machen?

was kann passieren wenn ich es aus zeitgründen erst in zwei bis drei tagen mach?

danke.....christian

@christian_p nichts wenn der computer schön vom internet getrennt ist, ansonsten besteht auch die gefahr andere computer mit dem rbot zu infizieren.
achja das problem fängt hier an, bedeutet das du kein sp2 installiert hast. das war auch der grund warum er auf dein system kam.

chaosman und ich haben gerade einen link gepostet, der vorbeugungsmaßnahmen beeinhaltet ebenso wie sehr nützliche links sowie erklärungen

ARRGH....

Nach Neuauflage ist des sch.... ding immernoch da!!

escan hat es in
c:\!submit\vgacard.exe
und
c:\!submit\winregs32.exe

gefunden.

ich war nichtmal ne minute im internet.
kann das so schnell gehen??

oder kann das sein das es auf der anderen partition der festplatte sitzt?

gruß.....christian

Zitat:

Zitat von christian_p

ARRGH....
ich war nichtmal ne minute im internet.
kann das so schnell gehen??

oder kann das sein das es auf der anderen partition der festplatte sitzt?

Beides ist möglich, wobei ich die erste Variante für wahrscheinlicher halte. Bei der zweiten Variante müsstest Du imho den Wurm selbst ausführen.

An die Installationsanleitung von http://www.trojaner-board.de/showpos...28&postcount=2 hast Du Dich gehalten?

Gruß :daumenhoc
Yopie

naja...

kann schlecht updaten wenn ich nichtmal ne minute im netz sein kann...

und firewall is ja eigentlich die im router an..

werds wohl nochmal alles neu machen müssen..

gruss.....christian

Zitat:

Zitat von christian_p

kann schlecht updaten wenn ich nichtmal ne minute im netz sein kann...

Gibts beim nackten XP auch schon die Firewall? Wenn ja: aktivieren!

Außerdem gibts auf winboard.org empfehlenswerte Update-Packs. Vorher mit einem sauberen Rechner runterladen, dann auf CD brennen, und nach dem Neuaufsetzen installieren.

Obwohl dies dann nicht mehr Original von MS ist, bin ich bislang so gut gefahren. Trotzdem gilt natürlich: auf eigene Gefahr!

Gruß :daumenhoc
Yopie

alles klar...

jetzt würd mich ja nurnoch interessieren wie das ding zu mir kommt??

wartet das nur bis ich wieder online gehe??

oder wie geht das??

wie kann es sein, das ein anderer pc (xp home SP 1) der über die gleiche leitung ins netz geht, nicht infiziert wird??

irgendwann werde ich da auch mal durchblicken!!

danke........chrisian

das liegt einfach daran das du mit einem ungepatchdem System online bist keine Updates hast etc.Würmer benutzen eben bekannte Windows Schwachstellen!

google einfach mal,auch Eigeninitiative ist gefragt ;)

Gruss

Zitat:

Zitat von christian_p

wartet das nur bis ich wieder online gehe??

oder wie geht das??

Der Wurm scannt ganze IP-Ranges nach offenen, verwundbaren Rechnern. Und findet sie.

Zitat:

Zitat von christian_p

wie kann es sein, das ein anderer pc (xp home SP 1) der über die gleiche leitung ins netz geht, nicht infiziert wird??

Die Firewall ist aktiviert und alle Patches sind installiert.

Gruß :daumenhoc
Yopie

eben nicht...

bei dem anderen rechner ist auch kein update oder sonst irgendwas drauf!!

@ HerrKautz

wieso läuft das ein monat ohne probs und dann gleich nach der neuinstallation ist das ding wieder da?

sitzt es also doch irgendwo auf der anderen partition, die ich nicht formatiert habe?? oder??