Hilfe ich habe einen Wurm rbot.adx

Dieses Thema im Forum "Sicherheit" wurde erstellt von mia.raffa, 9. Oktober 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. mia.raffa

    mia.raffa Byte

    Registriert seit:
    28. August 2005
    Beiträge:
    23
    Hallo leutz,

    ich habe Tatsache einen Wurm mit Namen rbot.adx :aua:
    (verbirgt sich hinter einer Win log exe).
    Verlangsamt meinen Rechner, und läßt sich per tu nicht
    meht löschen. :eek: habe schon einige viren progis rüberlaufen lassen.
    Weiss echt nicht weiter!!!
    Wie bekomme ich dises Vieh wieder los?

    Ich habe einen Pentium 3 mit Win XP drauf wenn dass
    weiterhilft.

    lg. mia
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    falls es sich wirklich um einen rbot Wurm handeln sollte (du kannst die Datei hier überprüfen um das zu bestätigen) solltest du das System neu aufsetzen da es kompromittiert ist.
    Höchstwahrscheinlich ist unzureichende Systemaktualität dafür die Ursache (aktuell wäre Sp2 +alle weitern updates).
    Hier ist eine Anleitung wie du beim neu aufsetzen vorgehen solltest, lies sie gut, und es ist die Basis für ein zukünftig sicheres System.


    Grüße Jasager
     
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    auch bei dir ist eine Ferndiagnose nur mit einem HiJackThis-Log möglich, poste den LINK zu deiner HiJackThis-Auswertung:

    Allgemeines Vorgehen:

    Deaktivierung der Systemwiederherstellung von Windows XP:

    Das geschieht in folgenden Schritten.
    1. rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen.
    2. Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen

    Im abgesicherten Modus booten, mit HiJackThis scannen und fixen. Führt das nicht zum Erfolg dann die MISC-Tools von HiJackThis verwenden um zur Bootzeit zu löschen.

    Wolfgang77
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @Wolfgang77
    ist das jetzt dein Ernst, einen Rbot durch fixen mit HijackThis beseitigen zu wollen?


    Grüße Jasager
     
  5. mia.raffa

    mia.raffa Byte

    Registriert seit:
    28. August 2005
    Beiträge:
    23
    Hallo Jasager,

    dake, für deine schnelle Antwort, es sind eigentlich immer
    alle update gemacht worden. Schaft man es nicht den Wurm
    mit einem bestimmten tool auszumerzen?
    Der Wurm wird ja von AntiVir auch erkannt. Dann schließt sich mein AntiVir jedoch, wenn man auf "ja" fürs löschen der Datei klickt.

    lg.mia :heul: :( :heul:
     
  6. mia.raffa

    mia.raffa Byte

    Registriert seit:
    28. August 2005
    Beiträge:
    23
    Hallo Wolfgang77

    bitte was ist ein HijackThis ich bin echt kein Bastler.
    bin nur gerade echt verzweifelt.

    ok, es ist ein log Tutorial so viel habe ich jetzt lesen können.
    weiß aber beim besten willen nicht wie ich das anwenden soll!?
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also AntiVir kann durchaus auch Fehlalarme auswerfen, also beende mal den von AntiVir beanstandeten Prozess mit dem Taskmanager und überprüfe die datei nochmal, wenn sich aber der Rbot bestätigen sollte, hatten dritte Zugriff auf das System und es sollte somit neu aufgesetzt werden, da man nicht wissen kann was alles verändert wurde.

    [EDIT]
    Wolfgang77 meint das hier kannst du auch mal machen um das Problem genauer zu bestimmen.
    [/EDIT]

    Grüße Jasager
     
  8. mia.raffa

    mia.raffa Byte

    Registriert seit:
    28. August 2005
    Beiträge:
    23
    Hallo Jasger,

    ich hab schon verstanden, alles neu installieren und platt machen. Einer Freundin ist mal nach einer neu Installation passiert dass der Virus immer noch drauf war.
    Muss ich an noch was denken?
     
  9. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Nein das ist nicht Ernst gemeint, wie du schon gepostet hast ist es ein Backdoor und man kann bereits stattgefundenen Fernzugriff auf den Rechner nicht ausschließen... ist halt jetzt eventuell eine Zombie-Maschine. Beseitigen des Virus an sich ist kein so großes Problem.. vielleicht für AntiVir.. :D, per Handarbeit ist das durchaus machbar..

    Beschreibung:
    http://www.sophos.com/virusinfo/analyses/w32rbotadx.html

    Wir können uns ja einmal sein "netstat -a" anschauen :)

    Wolfgang77
     
  10. mia.raffa

    mia.raffa Byte

    Registriert seit:
    28. August 2005
    Beiträge:
    23
    Ja habe meine Zombie Kiste jetzt runtergefahren morgen
    werde ich alle eure Ratschläge ausprobieren. Bleibt
    mir ja nichts anderes übrig :heul: :heul: :heul:
    werde euch morgen berichten wie weit ich gekommen bin.
    @ Wolfgang77 den Link Kant ich schon, macht mich umso
    trauriger.

    lg mia
     
  11. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    @ mia.raffa

    Ja, gehe beim Neuaufsetzen deines Systems bitte nach folgender Anleitung vor:

    http://www.cidres-security.de/neuaufsetzen.html

    Gruß
    Nevok
     
  12. mia.raffa

    mia.raffa Byte

    Registriert seit:
    28. August 2005
    Beiträge:
    23
    Hi Nevok,

    dank dir auch noch mal, alles ist halt das erste mal. :o

    wie gesagt, ich berichte euch morgen wies gelaufen ist.

    lg. mia
     
  13. mia.raffa

    mia.raffa Byte

    Registriert seit:
    28. August 2005
    Beiträge:
    23
    hier ist also mein HijackThis auswertung.
    nicht erschrecken, ich weiss, dass kein servicepack 2 installiert ist. habe das ganze betriebsystem eben erst neu draufgespielt.
    deswegen veraltet.
    ich denke, der wurm/trojaner ist immer noch drauf, weil meine systempartition gar nicht neu formatiert wurde. :heul: :(
    wie kann ich die systempartiton neu formatieren, wenn schon xp drauf ist.

    http://www.hijackthis.de/logfiles/bd79e77d1a3f03d72129f8d33384f03c.html

    und was sagt ihr zur auswertung?

    lg mia
     
  14. A1983

    A1983 ROM

    Registriert seit:
    10. Oktober 2005
    Beiträge:
    1
    Ich habe genau denselben virus, datei auch winlog.
    Wenn ich jetzt davon ausgehe, dass mein rechner kopromittiert ist, heißt das, dass ich alle Dateien und Programme die ich jetzt drauf habe nicht wieder benutzen darf? Weil sie nicht mehr vertrauenswürdig sind. Das heißt alles was ich auf meinem Rechner an Dokumenten, Dateien usw. habe werde ich verlieren? :(
     
  15. Ace Piet

    Ace Piet Computerversteher

    Registriert seit:
    7. September 2004
    Beiträge:
    3.325
    > ...dass mein rechner kopromittiert ist, heißt das, dass
    > ich alle Dateien und Programme die ich jetzt drauf habe
    > nicht wieder benutzen darf?

    Das könnte bedeuten, dass ein anderer die Inhalte ohne Dein Wissen benutzt. Bei gespeicherten PINs / TANs hebt vielleicht gerade einer Dein Moos ab. Bei mitgeloggten Passwörten benutzt jemand Deine Mail- oder sonstigen Konten (kann auch Moos kosten), zB. ordert im RTL-Shop an eine "neue" Adresse. - usw...

    Und das machen die *pözen Onkelz*, ob Du die Daten benutzt oder nicht. ALLES ist bekannt. Ob Du die Daten verlierst, ist nebensächlich. DAS bedeutet "kompromittiert".
     
  16. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    kleine Ergänzung zu Ace Piets Ausführung, nicht ausführbare Daten wie Bilder und mp3s kannst du gefahrlos sichern, bei Officedokumenten solltest du diese bevor du sie auf das neue System zurückspielst mit einem guten Virenscanner gegenprüfen(z.B. Escan ), denn theoretisch ist es möglich das diese den neuen Rechner infizieren, wenn ich es auch in der Praxis noch nie gehört habe.
    Auf keinen Fall exe pif oder com Dateien sichern!


    Grüße Jasager
     
  17. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    So: http://support.microsoft.com/?scid=kb;de;313348&spid=1173&sid=global#XSLTH3136121125120121120120


    Da du, außer HijackThis, noch keine weiteren Programme installiert hast, hat das Log kaum Aussagekraft. Aber sei beruhigt, es ist sauber.

    Gruß
    Nevok
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen