Wie kann ich Backdoor.Win32.Rbot.gen entfernen?

#1 Hi

meine Files sind mit dem Backdoor.Win32.Rbot.gen infiziert
leider finde ich nichts mit was ich den Virus entfernen kann

hat einer ein Tip für mich?

#2 @Angelo
Wenn ich mir deinen Ersten Post so anschaue
http://board.protecus.de/t12999.htm

würde ich mal eine Neuinstallation empfehlen.

Desweiteren kann man aus deiner kappen Beschreibung ,gar nichts herauslesen.

Die Name .gen bedeutet das er generisch(Heuristisch) gefunden würde. Also ein "neuer" Virus , der einfach als "BackDoor" und "Win32" also windows hgekennzeichnet wird.

Also welche Datei ist betroffen? Löscht ihn dein Virenscanner?

Falls du dein Windows noch nicht upgedatest hast, mach dies erstmal

Dann Virenscanner updaten

Das hier durchführen
http://www.rokop-security.de/main/article.php?sid=703

Dann kannst du auch nochmal das HiJackThis Logfile posten

Gruß paff
P.S.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 also ich hab das jetzt alles so gemacht
bis auf spoonweg ( den kann ich leider nicht downloaden )
bei spywareblaster weiß ich nicht wie ich da was einstellen soll

( leider bekomme ich immer noch im explorer diese sexseite, erst kommt t-online startseite und dann nach paar sekunden kommt die sexseite )

hier meine neue logdatei

Logfile of HijackThis v1.98.2
Scan saved at 17:51:41, on 13.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\rpc.exe
C:\WINDOWS\System32\svchostes.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Dokumente und Einstellungen\Goofiad\Anwendungsdaten\soht.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Goofiad\Desktop\HijackThis.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Goofiad\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKCU\..\Run: [Start Upping] svchostes.exe
O4 - Global Startup: eBay Toolbar.LNK = C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O15 - Trusted Zone: http://www.computerbase.de
O15 - Trusted Zone: http://signin.ebay.de
O15 - Trusted Zone: http://www.ebay.de
O15 - Trusted Zone: http://www.praktica.de
O15 - Trusted Zone: http://www.vcdhelper.com
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab


hier noch meine eScan logdatei:

[b]File C:\WINDOWS\System32\rpc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\svchostes.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Goofiad\ANWEND~1\soht.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken.

File c:\windows\config\mt.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

File c:\windows\config\mm.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\rpc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\svchostes.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\rpc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\svchostes.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Goofiad\ANWEND~1\soht.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\svchostes.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: [/b]

#4 Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein Rechner hat offenbar noch keinen Patch gesehen, da ist es kein Wunder, dass er angegriffen wird, weil uralte Sicherheitslücken nach wie vor bestehen.

Sauberste Lösung:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/security/windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und war*hier nicht!*-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen

Lektüre für die Zukunft:

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

#5 kann ich formatieren irgendwie umgehen?

hab doch erst vor paar tagen und hab jetzt fast wieder alles aufm rechner drauf und nun wieder formatieren :-(

#6 Ja, weil du nicht so formatiert hast, wie es in den Punkten beschrieben ist. Wenn du das System nicht vor dem Onlinegang patchst oder wenigstens durch die XP-Firewall absicherst vor dem Updaten, bringt das Ganze nicht sehr viel. Genauso sieht es aus, wenn du eventuell infizierte Software vorhger sicherst und dann wieder draufspielt. Effekt: Null. Verfahre genau nach der Anleitung und installiere nur Originalsoftware oder solche aus verstrauenswürdigen Quellen, keine gecrackte, keine zweifelhafte Shareware und konfiguriere die Programme wie beschrieben.

#7 das beste ist
format c: & dann router kaufen :-)

#8 Servus allseits,
die Sache mit "Format C" oder Neuinstallation oder "Schutzprogramm von NortonAV" ist alles Schmarrn!!!
Diese hartnäckige Datei hat ihren Hintergrund in einem Javascript-Befehl in einer Internet-Datei, der (hinterfotzig) über eine einfache DOS-Batch-Datei im Hintergrund aufgerufen wird. Dadurch wird diese Datei immer wieder erneuert, egal, was man macht.....!!!!!
So habe ich (heute bei meinem besten Freund) das Problem gelöst:
1. Explorer "suchen" nach Dateien mit dem Begriff "navprotect" im Inhalt,
2. dabei tauchen Dateien: "asa.bat" und "asa.dbx" auf.
3. die "asa.bat" ist eine DOS-Batch, wie wir sie früher beim Erstellen von "Stapelbefehlen" selber geschrieben haben. In ihr sind alle Einzelbefehle eingetragen, welche Dateien aufgerufen werden, um über mehrere Umwege die "navprotect.exe" neu anzulegen.
4. Alle in den Befehlen eingetragenen Dateien lassen sich löschen!!! Insbesondere die "update43.htm" und "update65.htm", die den genannten Javascript enthalten.
5. Alle Cookies und die temporären Internetfiles löschen.
Nun ist das System sauber.....
Gruß
Charles

#9 Format c: ist nach dem Befall mit einem Backdoor kein 'Schmarrn', da Backdoors das befallene System kompromttieren. D.h. alle Daten auf dem System (Passwörter, Daten, Online-Banking, etc) sind als öffentlich bekannt anzusehen!
Dritte hatten damit Einblick auf sensible Daten, des weiteren öffnen Backdoors wie der Name schon sagt 'Hintertüren' auf dem System um eben diesen Zugriff zu gewähren, diese Hintertüren lassen sich per Ferndiagnose unmöglich bei dem Rechner von einem nicht-Experten auf dem Gebiet nicht beheben.

Zum Thema Kompromittierung findet man übrigens einiges per www.google.de und z.B. hier:
http://de.wikipedia.org/wiki/Kompromittierung
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Des weiteren ist der Thread hier schon etwas älter und damit wohl sowieso nicht mehr aktuell.
In jedem Fall würde ich für meinen Teil es niemals verantworten einem Nutzer eines kompromittierten Systems nicht zu einem format c: zu raten, da einfach nicht abzusehen ist, welcher Schaden (ja, hier geht's auch wirklich um Geld, gibt leider genug Opfer von solchen Fällen) dem arglosen Nutzer entstehen könnte, wenn er sein System nicht sauber neu aufsetzt und alle Passwörter ändert.

Nur meine persönliche Meinung zu dem Thema ... better be safe than sorry.
__________
"life's a bitch, turn around and she'll backstab you for a buck."