navprotect.exe mit Backdoor.Win32.Rbot.gen

#1 Hallo Forum,
ein Freund hat einen Virus "Backdoor.Win32.Rbot.gen" auf dem Rechner. Ich habe ihn in der Datei navprotect.exe gefunden. Nachdem ich ihn in der Taskliste beendert, im Verzeichnis \system32 gelöscht und alle Einträge in der Registry gelöscht hatte startete ich den Rechner neu. Nach dem Booten war er wieder da, in der Registry wurde er aufgerufen, im System32 stand er wieder und die AV-Software meldete, dass er wieder starten wollte.
Reset, abgesicherter Modus, alles wieder gelöscht, antivirus über die Platte, Spybot und adaware sowie ewido-suite, alle temp-Dateien gelöscht, die Widerherstellungspunkte gelöscht, alles klar - neu gestartet: antivirus meldet: navprotect infiziert, alles wieder da.
Das gleiche nochmal, gleiches Ergebnis. Dass ich komplett offline war ist klar, keine externen Datenträger, keine Programme ausgeführt, hijackthis ist sauber!

Weis jemand rat?

cbresler

#2 Servus allseits,
die Sache mit "Format C" oder Neuinstallation oder "Schutzprogramm von NortonAV" ist alles Schmarrn!!!
Diese hartnäckige Datei hat ihren Hintergrund in einem Javascript-Befehl in einer Internet-Datei, der (hinterfotzig) über eine einfache DOS-Batch-Datei im Hintergrund aufgerufen wird. Dadurch wird diese Datei immer wieder erneuert, egal, was man macht.....!!!!!
So habe ich (heute bei meinem besten Freund) das Problem gelöst:
1. Explorer "suchen" nach Dateien mit dem Begriff "navprotect" im Inhalt,
2. dabei tauchen Dateien: "asa.bat" und "asa.dbx" auf.
3. die "asa.bat" ist eine DOS-Batch, wie wir sie früher beim Erstellen von "Stapelbefehlen" selber geschrieben haben. In ihr sind alle Einzelbefehle eingetragen, welche Dateien aufgerufen werden, um über mehrere Umwege die "navprotect.exe" neu anzulegen.
4. Alle in den Befehlen eingetragenen Dateien lassen sich löschen!!! Insbesondere die "update43.htm" und "update65.htm", die den genannten Javascript enthalten.
5. Alle Cookies und die temporären Internetfiles löschen.
Nun ist das System sauber.....
Gruß
Charles