backdoor win 32.rbot.gen ?

#1 hallo.bin neu hier und muss gestehen das ich leider wenig ahnung habe aber dafür meines erachtens viel probleme.hab das sicherheitsprogramm amor 2 net drauf und der zeigte mir an das winlog.exe aufs i-net zugreifenwill was ich aber untersagt habe.da dies aber circa jede sek. passierte kam es mir schon komisch vor.ich hab hier und da mal was gelesen bis ich einen link gefunden hatte von kaspersky.ich habe viele vienprogramme laufen lassen und nichts passierte.ich hatte aber vor ner woche nen wurm drauf namens (grübel) glaub sillik worm oder so ähnlich.na weis ja nicht obs in zusammenhang steht.auf jedenfall habe ich mit kaspersky diese winlog.exe überprüft und die haben mir gesagt :winlog.exe- infected by Backdoor.Win32.Rbot.gen .so und nun weiß ich nicht mehr weiter.bitte helft mir schnell weiter. danke

#2 cyberx

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 also hier der log file:

Logfile of HijackThis v1.99.1
Scan saved at 22:19:10, on 15.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Armor2net\Armor2net Personal Firewall\Armor2net.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\outlook\outlook.exe
C:\WINDOWS\System32\winlog.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hjack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
O2 - BHO: (no name) - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: A2NPopUpKiller Class - {8A321C7D-9CED-45A8-870D-DAE843A45FD0} - C:\Programme\Armor2net\Armor2net Personal Firewall\PopUpKiller.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Armor2net] C:\Programme\Armor2net\Armor2net Personal Firewall\Armor2net.exe
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe

und hier die anderen sachen

Verzeichnis von C:\WINDOWS\system32

14.02.2006 20:46 0 Biport
14.02.2006 20:01 2.184 wpa.dbl
04.02.2006 22:00 42.067 QuickTime.qtp
07.01.2006 22:30 687 jupdate-1.5.0_03-b07.log
18.12.2005 09:53 195.368 FNTCACHE.DAT
09.12.2005 14:46 62.464 bszip.dll
07.12.2005 19:53 3.120 HSeNJ.ocx
04.12.2005 10:41 30 brss01a.ini
04.12.2005 10:41 184 brsvc01a.bsi
04.12.2005 10:17 50 BRIDF04A.dat


Verzeichnis von C:\DOKUME~1\SCHULU~1\LOKALE~1\Temp

15.02.2006 21:51 950.272 ~DF3B09.tmp
15.02.2006 21:51 16.384 ~DF4FA3.tmp
15.02.2006 21:48 80.187 avg7inst.log
15.02.2006 21:35 983.040 ~DF6B7A.tmp
15.02.2006 21:32 16.384 ~DF89D9.tmp
15.02.2006 21:29 933.888 ~DF5EEB.tmp
15.02.2006 21:28 16.384 ~DF596F.tmp
14.02.2006 21:01 130.109 A~NSISu_.exe

Verzeichnis von C:\WINDOWS

15.02.2006 21:58 1.258.123 WindowsUpdate.log
15.02.2006 21:51 315.441 setupapi.log
15.02.2006 21:50 0 0.log
15.02.2006 21:50 159 wiadebug.log
15.02.2006 21:50 50 wiaservc.log
15.02.2006 21:50 2.048 bootstat.dat
15.02.2006 21:49 32.604 SchedLgU.Txt
12.02.2006 20:27 129 winamp.ini
04.02.2006 22:00 1.409 QTFont.for
04.02.2006 22:00 54.156 QTFont.qfn
04.02.2006 20:46 29 standard.sta
12.01.2006 21:14 33 winlabel.ini
08.01.2006 21:04 69 NeroDigital.ini
07.01.2006 21:53 30 gnucleus.INI
05.01.2006 20:59 2.560 _MSRSTRT.EXE


Verzeichnis von C:\

15.02.2006 22:01 0 sys.txt
15.02.2006 22:01 6.740 system.txt
15.02.2006 21:59 740 systemtemp.txt
15.02.2006 21:57 93.649 system32.txt
15.02.2006 21:50 402.653.184 pagefile.sys
13.02.2006 21:51 3.907.902 AVG7DB_F.DAT
07.01.2006 22:35 31.027 strClearInner.log
05.01.2006 20:58 0 ~GLHTTP1.TMP


hoffe das reicht aus.es ist nämlich sehr wichtig weil an dem netzwerk auch firmen computer dran sind und vater schon stink sauer ist .

#4 cyberx

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file)
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\system32\HSeNJ.ocx
C:\DOKUME~1\SCHULU~1\LOKALE~1\Temp\A~NSISu_.exe
C:\WINDOWS\System32\DSMANA~1.DLL
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\System32\winlog.exe

PC neustarten

arbeite das ab:
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

wenn es fertig ist.. kopiere hier den scanreport vom ewido
__________
MfG Sabina

rund um die PC-Sicherheit

#5 so hab alles so gemacht.:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:28:23, 05.03.2006
+ Report-Checksumme: 99D51070

+ Scanergebnis:

HKLM\SOFTWARE\Classes\ToolBand.StartBHO -> Adware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ToolBand.StartBHO\CLSID -> Adware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ToolBand.StartBHO\CurVer -> Adware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ToolBand.StartBHO.1 -> Adware.CoolWebSearch : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-725345543-1003\Software\Pop -> Adware.CoolWebSearch : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-725345543-1003\Software\Pop\Poper -> Adware.CoolWebSearch : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-725345543-1003\Software\SerG -> Adware.EZ-Finder : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-725345543-1003\Software\SerG\SearchBar -> Adware.EZ-Finder : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-725345543-1003\Software\SerG\SearchBar\History -> Adware.EZ-Finder : Gesäubert mit Backup
HKU\S-1-5-21-1292428093-1844237615-725345543-1003\Software\SerG\SearchBar\History\Work -> Adware.EZ-Finder : Gesäubert mit Backup
C:\!KillBox\DSMANA~1.DLL -> Adware.BHO : Gesäubert mit Backup
C:\!KillBox\winlog.exe -> Backdoor.Rbot : Gesäubert mit Backup
C:\!KillBox\winlog.exe( 3) -> Backdoor.Rbot : Gesäubert mit Backup
C:\Programme\hjack\backups\backup-20060302-215126-813.dll -> Adware.BHO : Gesäubert mit Backup
C:\Thormann\Programme\NewDotNet\newdotnet6_38.dll -> Adware.NewDotNet : Gesäubert mit Backup
C:\Thormann\Programme\NewDotNet\uninstall6_38.exe -> Adware.NewDotNet : Gesäubert mit Backup

C:\Thormann\WINDOWS\lbbho.dll -> Adware.Neon : Gesäubert mit Backup
C:\Thormann\WINDOWS\NDNuninstall4_85.exe -> Adware.NewDotNet : Gesäubert mit Backup
C:\Thormann\WINDOWS\NDNuninstall6_38.exe -> Adware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\webdlg32.dll -> Adware.SBSoft : Gesäubert mit Backup
C:\WINDOWS\winsx.dll -> Adware.Puper : Gesäubert mit Backup
E:\Kwijaf\C\Programme\Date Manager\DateManager.exe -> Adware.Gator : Gesäubert mit Backup
E:\Thormann\Programme\NewDotNet\newdotnet6_38.dll -> Adware.NewDotNet : Gesäubert mit Backup
E:\Thormann\Programme\NewDotNet\uninstall6_38.exe -> Adware.NewDotNet : Gesäubert mit Backup

E:\Thormann\WINDOWS\Cookies\user@tfag[2].txt -> TrackingCookie.Tfag : Gesäubert mit Backup
E:\Thormann\WINDOWS\lbbho.dll -> Adware.Neon : Gesäubert mit Backup
E:\Thormann\WINDOWS\NDNuninstall4_85.exe -> Adware.NewDotNet : Gesäubert mit Backup
E:\Thormann\WINDOWS\NDNuninstall6_38.exe -> Adware.NewDotNet : Gesäubert mit Backup


::Report Ende


aber irgendwie sag mir mein scanner ab und zu das da ein wurm sein soll.sillik worm oder ähnlich in c:\System Volume Information.kann den ordner aber nicht löschen.auch nicht mit killbox

#6 cyberx

1.
fixe mit dem HijackThis:

O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto

PC neustarten

2.
scanne noch mal mit ewido (und berichte)

3.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

4.
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

----------

Counterspy killt immer nur einen Teil Dateien.
Man muss also immer wieder den Quarantäne-Ordner von Counterspy leeren
und wieder neu damit scannen, solange bis Counterspy nichts mehr findet.

**
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:27:44, 06.03.2006
+ Report-Checksumme: D3717D81

+ Scanergebnis:

Keine infizierten Objekte gefunden.


::Report Ende

mein fp win hat mir schon wieder folgendes gezeigt.das diese datei infiziert ist ich aber nichts machen kann. :
c:\systemvolumeinformation\_restore\....\a0053594.exe
einmal steht da w32/sillyworm.gk
und dann w32/vb.nq

#8 cyberx

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann wieder aktivieren. Dann sollte wieder alles in Ordnung sein
__________
MfG Sabina

rund um die PC-Sicherheit