Wie kann ich Backdoor.Win32.Rbot.gen entfernen? |
||
---|---|---|
#0
| ||
13.10.2004, 13:47
Member
Beiträge: 39 |
||
|
||
13.10.2004, 14:36
Member
Beiträge: 1095 |
#2
@Angelo
Wenn ich mir deinen Ersten Post so anschaue http://board.protecus.de/t12999.htm würde ich mal eine Neuinstallation empfehlen. Desweiteren kann man aus deiner kappen Beschreibung ,gar nichts herauslesen. Die Name .gen bedeutet das er generisch(Heuristisch) gefunden würde. Also ein "neuer" Virus , der einfach als "BackDoor" und "Win32" also windows hgekennzeichnet wird. Also welche Datei ist betroffen? Löscht ihn dein Virenscanner? Falls du dein Windows noch nicht upgedatest hast, mach dies erstmal Dann Virenscanner updaten Das hier durchführen http://www.rokop-security.de/main/article.php?sid=703 Dann kannst du auch nochmal das HiJackThis Logfile posten Gruß paff P.S. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 13.10.2004 um 14:46 Uhr von paff editiert.
|
|
|
||
13.10.2004, 17:56
Member
Themenstarter Beiträge: 39 |
#3
also ich hab das jetzt alles so gemacht
bis auf spoonweg ( den kann ich leider nicht downloaden ) bei spywareblaster weiß ich nicht wie ich da was einstellen soll ( leider bekomme ich immer noch im explorer diese sexseite, erst kommt t-online startseite und dann nach paar sekunden kommt die sexseite ) hier meine neue logdatei Logfile of HijackThis v1.98.2 Scan saved at 17:51:41, on 13.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\rpc.exe C:\WINDOWS\System32\svchostes.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\NoPopUp 2003\nopopup.exe C:\Dokumente und Einstellungen\Goofiad\Anwendungsdaten\soht.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe C:\WINDOWS\Downloaded Program Files\eBayTBar.exe C:\WINDOWS\system32\spoolsv.exe C:\Dokumente und Einstellungen\Goofiad\Desktop\HijackThis.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKLM\..\Run: [Start Upping] svchostes.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Goofiad\Anwendungsdaten\soht.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe O4 - HKCU\..\Run: [Start Upping] svchostes.exe O4 - Global Startup: eBay Toolbar.LNK = C:\WINDOWS\Downloaded Program Files\eBayTBar.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O15 - Trusted Zone: http://www.computerbase.de O15 - Trusted Zone: http://signin.ebay.de O15 - Trusted Zone: http://www.ebay.de O15 - Trusted Zone: http://www.praktica.de O15 - Trusted Zone: http://www.vcdhelper.com O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab hier noch meine eScan logdatei: [b]File C:\WINDOWS\System32\rpc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\svchostes.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Goofiad\ANWEND~1\soht.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken. File c:\windows\config\mt.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken. File c:\windows\config\mm.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\rpc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\svchostes.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\rpc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\svchostes.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Goofiad\ANWEND~1\soht.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\svchostes.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: [/b] Dieser Beitrag wurde am 13.10.2004 um 18:03 Uhr von Angelo23 editiert.
|
|
|
||
13.10.2004, 18:12
Member
Beiträge: 48 |
#4
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000) Dein Rechner hat offenbar noch keinen Patch gesehen, da ist es kein Wunder, dass er angegriffen wird, weil uralte Sicherheitslücken nach wie vor bestehen. Sauberste Lösung: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/security/windowsxp.mspx) 4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und war*hier nicht!*-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) keine alten Passworte wiederverwenden, sondern alle neu anlegen Lektüre für die Zukunft: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html |
|
|
||
13.10.2004, 18:23
Member
Themenstarter Beiträge: 39 |
#5
kann ich formatieren irgendwie umgehen?
hab doch erst vor paar tagen und hab jetzt fast wieder alles aufm rechner drauf und nun wieder formatieren :-( |
|
|
||
13.10.2004, 18:40
Member
Beiträge: 48 |
#6
Ja, weil du nicht so formatiert hast, wie es in den Punkten beschrieben ist. Wenn du das System nicht vor dem Onlinegang patchst oder wenigstens durch die XP-Firewall absicherst vor dem Updaten, bringt das Ganze nicht sehr viel. Genauso sieht es aus, wenn du eventuell infizierte Software vorhger sicherst und dann wieder draufspielt. Effekt: Null. Verfahre genau nach der Anleitung und installiere nur Originalsoftware oder solche aus verstrauenswürdigen Quellen, keine gecrackte, keine zweifelhafte Shareware und konfiguriere die Programme wie beschrieben.
|
|
|
||
24.10.2004, 19:13
...neu hier
Beiträge: 1 |
#7
das beste ist
format c: & dann router kaufen :-) |
|
|
||
24.04.2005, 14:51
...neu hier
Beiträge: 2 |
#8
Servus allseits,
die Sache mit "Format C" oder Neuinstallation oder "Schutzprogramm von NortonAV" ist alles Schmarrn!!! Diese hartnäckige Datei hat ihren Hintergrund in einem Javascript-Befehl in einer Internet-Datei, der (hinterfotzig) über eine einfache DOS-Batch-Datei im Hintergrund aufgerufen wird. Dadurch wird diese Datei immer wieder erneuert, egal, was man macht.....!!!!! So habe ich (heute bei meinem besten Freund) das Problem gelöst: 1. Explorer "suchen" nach Dateien mit dem Begriff "navprotect" im Inhalt, 2. dabei tauchen Dateien: "asa.bat" und "asa.dbx" auf. 3. die "asa.bat" ist eine DOS-Batch, wie wir sie früher beim Erstellen von "Stapelbefehlen" selber geschrieben haben. In ihr sind alle Einzelbefehle eingetragen, welche Dateien aufgerufen werden, um über mehrere Umwege die "navprotect.exe" neu anzulegen. 4. Alle in den Befehlen eingetragenen Dateien lassen sich löschen!!! Insbesondere die "update43.htm" und "update65.htm", die den genannten Javascript enthalten. 5. Alle Cookies und die temporären Internetfiles löschen. Nun ist das System sauber..... Gruß Charles |
|
|
||
24.04.2005, 15:32
Member
Beiträge: 669 |
#9
Format c: ist nach dem Befall mit einem Backdoor kein 'Schmarrn', da Backdoors das befallene System kompromttieren. D.h. alle Daten auf dem System (Passwörter, Daten, Online-Banking, etc) sind als öffentlich bekannt anzusehen!
Dritte hatten damit Einblick auf sensible Daten, des weiteren öffnen Backdoors wie der Name schon sagt 'Hintertüren' auf dem System um eben diesen Zugriff zu gewähren, diese Hintertüren lassen sich per Ferndiagnose unmöglich bei dem Rechner von einem nicht-Experten auf dem Gebiet nicht beheben. Zum Thema Kompromittierung findet man übrigens einiges per www.google.de und z.B. hier: http://de.wikipedia.org/wiki/Kompromittierung http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html Des weiteren ist der Thread hier schon etwas älter und damit wohl sowieso nicht mehr aktuell. In jedem Fall würde ich für meinen Teil es niemals verantworten einem Nutzer eines kompromittierten Systems nicht zu einem format c: zu raten, da einfach nicht abzusehen ist, welcher Schaden (ja, hier geht's auch wirklich um Geld, gibt leider genug Opfer von solchen Fällen) dem arglosen Nutzer entstehen könnte, wenn er sein System nicht sauber neu aufsetzt und alle Passwörter ändert. Nur meine persönliche Meinung zu dem Thema ... better be safe than sorry. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
meine Files sind mit dem Backdoor.Win32.Rbot.gen infiziert
leider finde ich nichts mit was ich den Virus entfernen kann
hat einer ein Tip für mich?