WORM_RBOT.GEN in hpdriver.sys
 

hi leutz..

ich hab eben auch mit dem RBOT.GEN bekanntschaft gemacht..
hab erstmal die lanverbindung unterbrochen..
dann kahmen lästige einwahlversuche die ich ignoriert hab..
--> virenscan mit NAV ---> c:\windows\system32\hpdriver.sys... infiziert..
alle versuche die datei zu löschen klappten nicht..

habs dann aber doch hinbekommen..

das eigendliche destrucktive programm war nicht die hp..-datei..
diese wurde nur zur laufzeit temporär erzeugt und konnte daher auch nicht gelöscht werden..
habs 2x aus sportlichen geist geschaft, war aber nach reboot wieder da..

stellt die internetverbindung wieder her und lasst den trojaner online..
dann ausführen -> cmd -> "netstat -o"
--> jetzt bekommt ihr eine liste aller aktiven verbindungen mit der dazugehörigen PID !!!

den trojaner solltet ihr eigendlich gut erkennen anhand der angewählten adresse..

merkt euch dann die PID (Prozess-ID)

internetverbindung wieder kappen...
..taskmanager auf und bei der PID schauen.. bei mir wars die scmsm32.exe
kann bei euch aber auch anders sein..

dann den prozess beenden.
wenns die richtige war ist jetzt auch die hpdriver.sys verschwunden..
wenn se weg ist, dann nur noch alle einträge der entsprechenden datei und der hpdriver.sys in der regestry löschen.. dann alle platten nach den dateien durchsuchen und löschen... reboot... und ruhe ist wieder..

Delphi

RBot ist ein Backdoor. Einzige Möglichkeit, wieder ein vertrauenswürdiges System zu bekommen, ist das Neuaufsetzen gem. Anleitung in der Signatur.

Alles andere ist rumdoktern an Symptomen.

Gruß :daumenhoc
Yopie

neuaufsetzten ist bei allen problemen die simpelste methode..
..aber wer will das denn wirklich?
egal ob virus, hijack, oder backdoor, wenn die entsprechenden dateien weg sind sind sie weg...

LG
Delphi

Lies bitte die Anleitung, dort steht auch, warum deine Einschätzung vollkommen falsch ist und warum du neu aufsetzen musst.

Gruß :daumenhoc
Yopie

sorry aber ich weis was ich tue..

ich bin softwareentwickler und war vor jahren schon auf den virensektor tätig..
wir haben viren gesammelt, analysiert, und signaturen erstellt, die wir dann an symantec und co weitergeleitet haben..

ich weis das neuaufsetzten die sicherste und einfachste methode ist.
aber nicht jeder möchte das und symantec und co tuen auch nichts anderes als prozesse stoppen, dateien löschen und registry säubern...
..demnach also an "symthomen rumdocktern..." ;-)

ich hätte ja auch nichts posten brauchen, nur hab in vielen boards schon verzweifelte aufrufe gesehen und wollt einigen nur die mgl. geben es ohne plattmachen hinzukriegen..

LG
Delphi

Natürlich machen das die AV-Hersteller. Das wäre ja auch ein etwas seltsames Signal an die Kunden, wenn man ihnen ins Gesicht sagen würde, dass das Produkt nicht die versprochenen Produkteigenschaft hat, nämlich das Entfernen von Schadcode. Das könnten die Programme nur gewährleisten, wenn sie jede ausführbare Datei mit Prüfsummen ausstatten und Veränderungen dieser Dateien überwachen.

Zuverlässig wirst du das nicht schaffen. Es sei denn: Prüfsummen oder identisches Vergleichsystem.

Hier gibts eine Grundsatzdiskussion zum Thema: http://www.trojaner-board.com/showth...satzdiskussion

Übrigens: Wie hast du das geschafft, dir den RBot einzufangen?

Gruß :daumenhoc
Yopie

ich habe ihn nicht eingefangen.. ich wollte ihn eben vom rechner haben..
auf meinem rechner sammel ich keine vieren ;-)

es ist aber auch kein großes problem an den quelltext eines virus zu kommen.. aber das zu posten lassen wir mal lieber..
es gibt schon genug idioten die das netzt damit vollpumpen..

wobei..
das eigendliche destrucktive programm war nicht die infizierte datei ..
sondern die andere.. und die ging durch alle virenprüfungen durch..
..hätt man noch was von lernen können..
;-)


LG
Delphi