Hilfe ich habe einen Wurm rbot.adx

Hallo leutz,

ich habe Tatsache einen Wurm mit Namen rbot.adx
(verbirgt sich hinter einer Win log exe).
Verlangsamt meinen Rechner, und läßt sich per tu nicht
meht löschen. habe schon einige viren progis rüberlaufen lassen.
Weiss echt nicht weiter!!!
Wie bekomme ich dises Vieh wieder los?

Ich habe einen Pentium 3 mit Win XP drauf wenn dass
weiterhilft.

lg. mia

 

Hallo,
falls es sich wirklich um einen rbot Wurm handeln sollte (du kannst die Datei hier überprüfen um das zu bestätigen) solltest du das System neu aufsetzen da es kompromittiert ist.
Höchstwahrscheinlich ist unzureichende Systemaktualität dafür die Ursache (aktuell wäre Sp2 +alle weitern updates).
Hier ist eine Anleitung wie du beim neu aufsetzen vorgehen solltest, lies sie gut, und es ist die Basis für ein zukünftig sicheres System.


Grüße Jasager

 

Hallo,

auch bei dir ist eine Ferndiagnose nur mit einem HiJackThis-Log möglich, poste den LINK zu deiner HiJackThis-Auswertung:

Allgemeines Vorgehen:

Deaktivierung der Systemwiederherstellung von Windows XP:

Das geschieht in folgenden Schritten.
1. rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen.
2. Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen

Im abgesicherten Modus booten, mit HiJackThis scannen und fixen. Führt das nicht zum Erfolg dann die MISC-Tools von HiJackThis verwenden um zur Bootzeit zu löschen.

Wolfgang77

 

Hallo,
@Wolfgang77
ist das jetzt dein Ernst, einen Rbot durch fixen mit HijackThis beseitigen zu wollen?


Grüße Jasager

 

Hallo Jasager,

dake, für deine schnelle Antwort, es sind eigentlich immer
alle update gemacht worden. Schaft man es nicht den Wurm
mit einem bestimmten tool auszumerzen?
Der Wurm wird ja von AntiVir auch erkannt. Dann schließt sich mein AntiVir jedoch, wenn man auf "ja" fürs löschen der Datei klickt.

lg.mia

 

Hallo Wolfgang77

bitte was ist ein HijackThis ich bin echt kein Bastler.
bin nur gerade echt verzweifelt.

ok, es ist ein log Tutorial so viel habe ich jetzt lesen können.
weiß aber beim besten willen nicht wie ich das anwenden soll!?

 

Hallo,
also AntiVir kann durchaus auch Fehlalarme auswerfen, also beende mal den von AntiVir beanstandeten Prozess mit dem Taskmanager und überprüfe die datei nochmal, wenn sich aber der Rbot bestätigen sollte, hatten dritte Zugriff auf das System und es sollte somit neu aufgesetzt werden, da man nicht wissen kann was alles verändert wurde.

[EDIT]
Wolfgang77 meint das hier kannst du auch mal machen um das Problem genauer zu bestimmen.
[/EDIT]

Grüße Jasager

 

Hallo Jasger,

ich hab schon verstanden, alles neu installieren und platt machen. Einer Freundin ist mal nach einer neu Installation passiert dass der Virus immer noch drauf war.
Muss ich an noch was denken?

 

Nein das ist nicht Ernst gemeint, wie du schon gepostet hast ist es ein Backdoor und man kann bereits stattgefundenen Fernzugriff auf den Rechner nicht ausschließen... ist halt jetzt eventuell eine Zombie-Maschine. Beseitigen des Virus an sich ist kein so großes Problem.. vielleicht für AntiVir.. , per Handarbeit ist das durchaus machbar..

Beschreibung:
http://www.sophos.com/virusinfo/analyses/w32rbotadx.html

Wir können uns ja einmal sein "netstat -a" anschauen

Wolfgang77

 

Ja habe meine Zombie Kiste jetzt runtergefahren morgen
werde ich alle eure Ratschläge ausprobieren. Bleibt
mir ja nichts anderes übrig
werde euch morgen berichten wie weit ich gekommen bin.
@ Wolfgang77 den Link Kant ich schon, macht mich umso
trauriger.

lg mia

 

@ mia.raffa

Ja, gehe beim Neuaufsetzen deines Systems bitte nach folgender Anleitung vor:

http://www.cidres-security.de/neuaufsetzen.html

Gruß
Nevok

 

Hi Nevok,

dank dir auch noch mal, alles ist halt das erste mal.

wie gesagt, ich berichte euch morgen wies gelaufen ist.

lg. mia

 

hier ist also mein HijackThis auswertung.
nicht erschrecken, ich weiss, dass kein servicepack 2 installiert ist. habe das ganze betriebsystem eben erst neu draufgespielt.
deswegen veraltet.
ich denke, der wurm/trojaner ist immer noch drauf, weil meine systempartition gar nicht neu formatiert wurde.
wie kann ich die systempartiton neu formatieren, wenn schon xp drauf ist.

http://www.hijackthis.de/logfiles/bd79e77d1a3f03d72129f8d33384f03c.html

und was sagt ihr zur auswertung?

lg mia

 

Ich habe genau denselben virus, datei auch winlog.
Wenn ich jetzt davon ausgehe, dass mein rechner kopromittiert ist, heißt das, dass ich alle Dateien und Programme die ich jetzt drauf habe nicht wieder benutzen darf? Weil sie nicht mehr vertrauenswürdig sind. Das heißt alles was ich auf meinem Rechner an Dokumenten, Dateien usw. habe werde ich verlieren?

 

> ...dass mein rechner kopromittiert ist, heißt das, dass
> ich alle Dateien und Programme die ich jetzt drauf habe
> nicht wieder benutzen darf?

Das könnte bedeuten, dass ein anderer die Inhalte ohne Dein Wissen benutzt. Bei gespeicherten PINs / TANs hebt vielleicht gerade einer Dein Moos ab. Bei mitgeloggten Passwörten benutzt jemand Deine Mail- oder sonstigen Konten (kann auch Moos kosten), zB. ordert im RTL-Shop an eine "neue" Adresse. - usw...

Und das machen die *pözen Onkelz*, ob Du die Daten benutzt oder nicht. ALLES ist bekannt. Ob Du die Daten verlierst, ist nebensächlich. DAS bedeutet "kompromittiert".

 

Hallo,
kleine Ergänzung zu Ace Piets Ausführung, nicht ausführbare Daten wie Bilder und mp3s kannst du gefahrlos sichern, bei Officedokumenten solltest du diese bevor du sie auf das neue System zurückspielst mit einem guten Virenscanner gegenprüfen(z.B. Escan ), denn theoretisch ist es möglich das diese den neuen Rechner infizieren, wenn ich es auch in der Praxis noch nie gehört habe.
Auf keinen Fall exe pif oder com Dateien sichern!


Grüße Jasager

 

So: http://support.microsoft.com/?scid=kb;de;313348&spid=1173&sid=global#XSLTH3136121125120121120120

Da du, außer HijackThis, noch keine weiteren Programme installiert hast, hat das Log kaum Aussagekraft. Aber sei beruhigt, es ist sauber.

Gruß
Nevok