Worm RBOT - wie kann ich meinen Pc wieder säubern?

#1 hallo
irgendwie weiß ich grade nicht mehr weiter. vor 2 tagen hat mein nachrichtendienst mir gemeldet, dass mein pc von dem "WORM RBOT" infiziert ist. dieser wäre in C:/Win32/RBOT.GZ!WORM! habe dann einige virenscanner etc drüberlaufen lassen, wobei ich noch 5 weitere viren gefunden habe (java.c, usw) und hab die dann gelöscht. vorhin hatte ich noch BAT_BOTFTP.GEN auf meinem rechner. mit hilfe meines scanners hab ich diese datei auch gelöscht und die datei, in der zuvor der wurm angeblich war. wenn ich das hier richtig mitbekommen habe, hab ich ihn durch den msn messenger bekommen. nun ergibt kein scan mehr was. aber ist mein rechner jetzt echt wieder ok?
was kann ich denn jetzt machen um das rauszufinden?
danke schonmal im voraus.

#2 Die Anleitungen im Board sorgfältig lesen und abarbeiten!
http://board.protecus.de/t9373.htm

Nur noch als kurze Anmerkung

Zitat

W32/Rbot-GZ bleibt resident, wobei er als Dienstprozess im Hintergrund aktiv ist und auf Befehle von remoten Anwendern via IRC-Kanälen wartet.

http://www.sophos.de/virusinfo/analyses/w32rbotgz.html
Würmer aus der BOT-Familie sind Backdoors, d.h. sie erlauben Fremden den Zugriff auf Deinen PC (was mit hoher Wahrscheinlichkeit bei der "Infektionslage" auf Deinem Rechner schon passiert ist!)
Ich würde mir daher überlegen, ob es nicht besser ist, das System neu aufzusetzen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 danke für die schnelle antwort.
hatte mir die hinweise schon durchgelesen, aber ich hab von pc's null ahnung... wie man jetzt auch merk... :o(
bei dem scanner von panda hatte ich auch noch gaobot drauf. werde also meine festplatte brennen und anschließend das system neu aufspielen. sonst bringt es ja alles nix
danke für die antwort.

#4 Xyhra schrieb:

Zitat

werde also meine festplatte brennen...

Du meinst doch damit, dass Du eine Datensicherung machst, oder? Wenn Du den gesamten Inhalt der Festplatte(n) sicherst, dann ist ja auch Dein infiziertes System dabei. Also, nur Deine Daten sichern.
Hier findest Du Hinweise für das Neuaufsetzen
http://board.protecus.de/t13019.htm

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 ich muss da nochmal was nachfragen
habe erst jetzt zeit dazu, mich um meinen pc zu kümmern. :o(
würde es auch reichen, den pc in den auslieferungszustand zu versetzen, oder soll er definitiv formatiert werden?

@ brennen
ich brenne nur die dateien, die mir wichtig erscheinen. also meine bilder und die sachen aus der uni.. mehr nicht.

#6 Du brauchst nur die Systempartition zu formatieren (bei Dir wohl C und Windows neu aufspielen.
Kannst es aber auch mal mit dem Zurückversetzen in den Auslieferungszustand versuchen. Geht sicher schneller. Wenn das nicht klappt, dann s.o.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 hallo
ich habe auch so einen wurm WORM/RBot.89600.1

ich habe jetzt die Schritte die "Heron" vorgeschlagen hat erledigt.
was jetzt??

kann mir da noch einer helfen??


danke im voraus hans

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Mon Aug 08 11:23:04 2005 => File C:\WINDOWS\System32\oybyc.exe infected by "Backdoor.Win32.PoeBot.c" Virus! Action Taken: No Action Taken.
2: Mon Aug 08 11:56:53 2005 => File C:\WINDOWS\system32\oybyc.exe infected by "Backdoor.Win32.PoeBot.c" Virus! Action Taken: No Action Taken.
3: Mon Aug 08 12:48:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
4: Mon Aug 08 14:03:13 2005 => Scanning Folder: C:\Sicherheit\INFECTED\*.*

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Mon Aug 08 11:12:06 2005 => File C:\WINDOWS\NDNuninstall4_94.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
2: Mon Aug 08 11:12:25 2005 => File C:\WINDOWS\NDNuninstall4_80.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
3: Mon Aug 08 11:12:26 2005 => File C:\WINDOWS\NDNuninstall5_40.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
4: Mon Aug 08 11:12:30 2005 => File C:\WINDOWS\NDNuninstall5_48.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
5: Mon Aug 08 11:12:47 2005 => File C:\WINDOWS\GrussProfi[gpr-10011,,].exe tagged as "not-a-virusorn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
6: Mon Aug 08 11:12:52 2005 => File C:\WINDOWS\GrussProfi.exe.exe tagged as "not-a-virusorn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
7: Mon Aug 08 12:18:40 2005 => File C:\WINDOWS\NDNuninstall4_94.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
8: Mon Aug 08 12:24:09 2005 => File C:\WINDOWS\NDNuninstall4_80.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
9: Mon Aug 08 12:24:12 2005 => File C:\WINDOWS\NDNuninstall5_40.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
10: Mon Aug 08 12:24:16 2005 => File C:\WINDOWS\NDNuninstall5_48.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
11: Mon Aug 08 12:25:10 2005 => File C:\WINDOWS\GrussProfi[gpr-10011,,].exe tagged as "not-a-virusorn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
12: Mon Aug 08 12:25:15 2005 => File C:\WINDOWS\GrussProfi.exe.exe tagged as "not-a-virusorn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.
13: Mon Aug 08 13:19:28 2005 => File C:\System Volume Information\_restore{4C5D4716-F700-4FE2-9111-870F496E239B}\RP1\A0000200.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
14: Mon Aug 08 13:20:11 2005 => File C:\System Volume Information\_restore{4C5D4716-F700-4FE2-9111-870F496E239B}\RP2\A0000339.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
15: Mon Aug 08 13:20:11 2005 => File C:\System Volume Information\_restore{4C5D4716-F700-4FE2-9111-870F496E239B}\RP2\A0001217.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
16: Mon Aug 08 13:21:09 2005 => File C:\System Volume Information\_restore{4C5D4716-F700-4FE2-9111-870F496E239B}\RP2\A0001418.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
17: Mon Aug 08 13:21:10 2005 => File C:\System Volume Information\_restore{4C5D4716-F700-4FE2-9111-870F496E239B}\RP2\A0001419.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.
18: Mon Aug 08 13:21:10 2005 => File C:\System Volume Information\_restore{4C5D4716-F700-4FE2-9111-870F496E239B}\RP2\A0001420.dll tagged as "not-a-virus:AdWare.Gator.3124". Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Mon Aug 08 11:07:27 2005 => ERROR!!! Invalid Entry = C:\WINDOWS\System32\dllcache\msupdprx.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{6E28339B-7A2A-47B6-AEB2-46BA53782375}). No Action Taken.
2: Mon Aug 08 11:08:36 2005 => ERROR!!! Invalid Entry C:\WINDOWS\System32\Netmon.exe in SYSTEM\CurrentControlSet\Services\Netmon...
3: Mon Aug 08 11:08:36 2005 => ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\NtOfxat.sys in SYSTEM\CurrentControlSet\Services\NtOfxat...
4: Mon Aug 08 11:08:49 2005 => ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\VComPort.sys in SYSTEM\CurrentControlSet\Services\VComPort...
5: Mon Aug 08 11:08:49 2005 => ERROR!!! Invalid Entry System32\vsdatant.sys in SYSTEM\CurrentControlSet\Services\vsdatant...
6: Mon Aug 08 11:09:36 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx". Action Taken: No Action Taken.
7: Mon Aug 08 11:09:36 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\EGDHTML_1027.dll". Action Taken: No Action Taken.
8: Mon Aug 08 11:09:38 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "atl.dll". Action Taken: No Action Taken.
9: Mon Aug 08 11:09:53 2005 => Entry "HKCR\CLSID\{6E28339B-7A2A-47B6-AEB2-46BA53782375}" refers to invalid object "C:\WINDOWS\System32\dllcache\msupdprx.dll". Action Taken: No Action Taken.
10: Mon Aug 08 11:10:01 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
11: Mon Aug 08 11:10:06 2005 => Entry "HKCR\CLSID\{da27efe0-f138-11d4-8a37-00c04f8fd53b}" refers to invalid object "C:\Programme\McAfee\McAfee Shared Components\Guardian\mcsched.dll". Action Taken: No Action Taken.
12: Mon Aug 08 11:11:16 2005 => Entry "HKCR\Shareaza.SkinInfoExtractor.1" refers to invalid object "{0EEDB912-C5FA-486F-8334-57288578C627}". Action Taken: No Action Taken.
13: Mon Aug 08 12:27:59 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewNet1.zip is Not Scanned
14: Mon Aug 08 12:28:00 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
15: Mon Aug 08 12:28:00 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Altnet.zip is Not Scanned
16: Mon Aug 08 12:28:01 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewNet2.zip is Not Scanned
17: Mon Aug 08 12:28:01 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Altnet1.zip is Not Scanned
18: Mon Aug 08 12:28:01 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Altnet2.zip is Not Scanned
19: Mon Aug 08 12:28:02 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Altnet3.zip is Not Scanned
20: Mon Aug 08 12:28:03 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Altnet4.zip is Not Scanned
21: Mon Aug 08 12:28:03 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Altnet5.zip is Not Scanned
22: Mon Aug 08 12:28:04 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Altnet6.zip is Not Scanned
23: Mon Aug 08 12:28:04 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CommonName.zip is Not Scanned
24: Mon Aug 08 12:28:09 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ConnectMFCApplication.zip is Not Scanned
25: Mon Aug 08 12:28:09 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eGroupInstantAccess.zip is Not Scanned
26: Mon Aug 08 12:28:10 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip is Not Scanned
27: Mon Aug 08 12:28:10 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator.zip is Not Scanned
28: Mon Aug 08 12:28:11 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator1.zip is Not Scanned
29: Mon Aug 08 12:28:11 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator2.zip is Not Scanned
30: Mon Aug 08 12:28:12 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator3.zip is Not Scanned
31: Mon Aug 08 12:28:12 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator4.zip is Not Scanned
32: Mon Aug 08 12:28:13 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator5.zip is Not Scanned
33: Mon Aug 08 12:28:14 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator6.zip is Not Scanned
34: Mon Aug 08 12:28:14 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator7.zip is Not Scanned
35: Mon Aug 08 12:28:14 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator8.zip is Not Scanned
36: Mon Aug 08 12:28:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator9.zip is Not Scanned
37: Mon Aug 08 12:28:16 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator10.zip is Not Scanned
38: Mon Aug 08 12:28:20 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator11.zip is Not Scanned
39: Mon Aug 08 12:28:20 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator12.zip is Not Scanned
40: Mon Aug 08 12:28:21 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator13.zip is Not Scanned
41: Mon Aug 08 12:28:25 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINGator14.zip is Not Scanned
42: Mon Aug 08 12:28:26 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MainPean.zip is Not Scanned
43: Mon Aug 08 12:28:26 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyWayMyBar.zip is Not Scanned
44: Mon Aug 08 12:28:27 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyWayMyBar1.zip is Not Scanned
45: Mon Aug 08 12:28:27 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\NewNet.zip is Not Scanned
46: Mon Aug 08 12:57:04 2005 => Result: ERROR!!! File C:\Programme\aawsepersonal03.exe is Not Scanned

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\System32\oybyc.exe => Backdoor.Win32.PoeBot.c
2: C:\WINDOWS\system32\oybyc.exe => Backdoor.Win32.PoeBot.c

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Mon Aug 08 14:17:29 2005 => Total Objects Scanned: 53077
Mon Aug 08 14:17:29 2005 => Total Virus(es) Found: 22
Mon Aug 08 14:17:29 2005 => Total Errors: 46
Mon Aug 08 14:17:29 2005 => Virus Database Date: 2005/08/08
Mon Aug 08 14:17:29 2005 => Virus Database Count: 142606

#8 Du solltest dir auch folgendes überlegen:

Zitat

Würmer aus der BOT-Familie sind Backdoors, d.h. sie erlauben Fremden den Zugriff auf Deinen PC (was mit hoher Wahrscheinlichkeit bei der "Infektionslage" auf Deinem Rechner schon passiert ist!)
Ich würde mir daher überlegen, ob es nicht besser ist, das System neu aufzusetzen.

Außerdem hast du noch Dialer und AdWare drauf