Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32/Rbot-EK + Windows neu installieren

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.08.2006, 17:48   #1
mr. bungle
 
W32/Rbot-EK + Windows neu installieren - Beitrag

W32/Rbot-EK + Windows neu installieren



Hallo zusammen!

Ich würde mich freuen, wenn mir jemand bei folgendem Problem hilft:

Name W32/Rbot-EK; Typ Wurm
Alias Backdoor.Rbot.gen
W32/Sdbot.worm.gen.h

Anfällige Betriebssysteme Windows

Erläuterung
Übersicht Erläuterung Wiederherstellung W32/Rbot-EK ist ein Netzwerkwurm und eine Backdoor für die Windows-Plattform.
W32/Rbot-EK ermöglicht einem bösartig gesinnten Anwender Fernzugriff auf den infizierten Computer via IRC.

Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich W32/Rbot-EK als scvhost.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Firewalll
= scvhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Windows Firewalll
= scvhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Firewalll
= scvhost.exe

W32/Rbot-EK beendet die folgenden Prozesse, sofern sie vorhanden sind:

i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
wincfg32.exetaskmon.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
msconfig.exe
regedit.exe


1. Ich habe keinen Zugriff auf regedit.exe. Fehlermeldung: Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert. Das Umbenennen des Registrierungseditors in regedit.com bringt auch nichts. Es kommt wieder die selbe Fehlermeldung.

2. Die Systemwiederherstellung ist ebenfalls blockiert. Fehlermeldung hier: Die Systemwiederherstellung wurde aufgrund einer Gruppenrichtlinie deaktiviert, wenden sie sich an den Domänenadministrator um die Systemwiederherstellung zu aktivieren. Die Systemwiederherstellung lässt sich auch über Verwaltung -> Dienste nicht starten.

3. Kein Zugriff auf das Sicherheitscenter.

4. Startleiste, Menü und sämtliche Desktopicons sind weg. Im Moment benutze ich Strg + Alt + Entf -> neuen Task erstellen -> explorer.exe um an meine Dateien zu kommen.

5. Nachdem ich endgültig die Schnauze voll hatte, hab' ich versucht Windows neu zu installieren. Ergebnis: Fehlermeldung: Tastaturlayoutdatei kbdgr.dll konnte nicht geladen werden. Der selbe Fehler erscheint beim Versuch die Wiederherstellungskonsole zu starten. Ich habe diese Fehlermeldung bei Google eingegeben. Das Problem ist überall das gleiche: Die Datei kbdgr.dll ist da wo sie sein soll. Die Windows-CD funktioniert auf anderen PC's, daran liegt's also auch nicht.

6. Das ganze System arbeitet nur noch im Schneckentempo. Außerdem bekomme ich noch eine Fehlermeldung beim Hochfahren: Begrenzter virtueller Speicher. Das System hat entweder keine Auslagerungsdatei, oder die Auslagerungsdatei ist zu klein. Gehen sie folgendermaßen vor, um dieses Problem zu beheben. Öffnen sie die Systemsteuerung... Systemleistung -> Erweitert -> ...Benutzerdefinierte Größe... OK.

7. Ich benutze Windows XP Home, (selbst Schuld... ) und hab' null Plan von PC's.

8. Meine LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 19:19:28, on 01.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\ISW\alice\signup\connctas.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Dokumente und Einstellungen\mr. bungle.MSI\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***.alice-dsl.de
F2 - REG:system.ini: Shell=Explor
F3 - REG:win.ini: load=C:\WINDOWS\WinIogon.exe
F3 - REG:win.ini: run=C:\WINDOWS\WinIogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WinSysKey] C:\WINDOWS\system32\dllrun.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF5961C5-73FE-4B79-B506-02B80DCE3FE7}: NameServer = 213.191.74.12 213.191.92.84
O23 - Service: windll - Unknown owner - C:\WINDOWS\system32\windll.exe (file missing)
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)


So, mehr fällt mir im Augenblick nicht ein. Wenn noch etwas fehlt, kurz Bescheid geben. Und Danke im Voraus!

Cheers Chris

Geändert von mr. bungle (01.08.2006 um 18:24 Uhr)

Alt 01.08.2006, 18:52   #2
Mellosun
 
W32/Rbot-EK + Windows neu installieren - Standard

W32/Rbot-EK + Windows neu installieren



Guten Abend,

also das ist sehr Merkwürdig bei Dir.
Das du irgendwas auf Deinem System hattest/hast ist klar und ich würde da auch eine Neuinstalation empfehlen aber da du dies schon versucht hast und gescheitert bist, kann ich nur vermuten, das der Fehler bei Dir liegt!

Wenn du XP Neuinstallieren tust, läuft da alles normal ab? Also Partition wählen und löschen, Formatieren usw.?
Normalerweise, wenn eine Datei beim Kopieren nicht gefunden wird, kannst du dies Ignorieren und die Installation sollte dennoch zum Abschluss kommen!

Es gibt definitiv kein Schadprogramm, das eine Formatierung "Überleben" sollte!

Sonst hab ich echt keinen Tip!



Gruß Mellosun
__________________

__________________

Alt 01.08.2006, 19:32   #3
mr. bungle
 
W32/Rbot-EK + Windows neu installieren - Standard

W32/Rbot-EK + Windows neu installieren



Also erst mal Danke für deine Antwort!

Zitat:
Zitat von Mellosun
Das du irgendwas auf Deinem System hattest/hast ist klar
Ich habe den Wurm leider immernoch nicht wegbekommen, da ich wie gesagt nicht an regedit.exe rankomme.

Zitat:
Zitat von Mellosun
Normalerweise, wenn eine Datei beim Kopieren nicht gefunden wird, kannst du dies Ignorieren und die Installation sollte dennoch zum Abschluss kommen!
Die Fehlermeldung erscheint schon ganz am Anfang der Installation. Da kommt leider nix von wegen ignorieren und so. Der Bildschirm wird total schwarz +

Fehlermeldung: Tastaturlayoutdatei kbdgr.dll konnte nicht geladen werden. Fahren sie ihren Computer herunter oder starten sie ihn neu.

An dem Punkt kann ich nur noch mit dem Reset Button runterfahren. Hab' den Vorgang mehrmals wiederholt, ohne Erfolg.

Wie ich schon gesagt, ist die Tastaturlayoutdatei kbdgr.dll da wo sie sein soll (und meine Tastatur funzt auch einwandfrei), weshalb ich denke, dass die Meldung irreführend ist und das Problem an anderer Stelle liegt.
__________________

Geändert von mr. bungle (01.08.2006 um 20:03 Uhr)

Alt 01.08.2006, 20:19   #4
Mellosun
 
W32/Rbot-EK + Windows neu installieren - Standard

W32/Rbot-EK + Windows neu installieren



Du hattest geschrieben, das die XP CD an einen anderen Rechner Funktioniert!

Richtig?

Hast du die möglichkeit, Deine Festplatte in einen anderen Rechner als Slave anzuschließen? Oder hast du gar eine zweite Festplatte zur Verfügung, die du als Master verwenden kannst?
Hast du mal versucht, von einer Knoppix ( oder wie auch immer das heißt ) zu Booten und so versucht, etwas Licht ins Dunkle zu bringen?

Gruß Mellosun

Alt 01.08.2006, 21:16   #5
mr. bungle
 
W32/Rbot-EK + Windows neu installieren - Standard

W32/Rbot-EK + Windows neu installieren



Zitat:
Du hattest geschrieben, das die XP CD an einen anderen Rechner Funktioniert! Richtig?
Richtig.

Zitat:
Hast du die möglichkeit, Deine Festplatte in einen anderen Rechner als Slave anzuschließen? Oder hast du gar eine zweite Festplatte zur Verfügung, die du als Master verwenden kannst?
Hast du mal versucht, von einer Knoppix ( oder wie auch immer das heißt ) zu Booten und so versucht, etwas Licht ins Dunkle zu bringen?
Äh, hatte ich schon erwähnt, dass ich Null Ahnung von Computern habe.

Also, mein Mitbewohner hat noch einen PC, aber da ich Viren auf meinem habe, würde ich eigentlich nicht versuchen wollen die beiden zu koppeln. Mal ganz zu schweigen, von den fehlenden Kabeln.

...

Sag' mir, wenn ich mich irre, aber ist Knoppix nicht zum Testen der Linuxtauglichkeit eines PCs da?

Bei Wikipedia steht: automatische Hardwareerkennung und -konfiguration von linuxunterstützter Hardware während des Rechnerstarts.

Mir ist ehrlich gesagt nicht ganz klar, was ich damit machen soll?

Nochmal vielen Danke für deine Hilfe, aber ich glaube, ich versuchs mal mit verschrotten, ich habe von Windows echt so was von genug...


Alt 01.08.2006, 21:32   #6
myrtille
/// TB-Ausbilder
 
W32/Rbot-EK + Windows neu installieren - Standard

W32/Rbot-EK + Windows neu installieren



Knoppix ist Linux auf CD, also ein Betriebsprogramm, dass keinen Speicherplatz auf der Festplatte benötigt.
Du kannst also die CD einlegen, in den Bootoptionen zuerst von CD starten anwählen und hast dann ein laufendes System. Dann hast du zb die Möglichkeit dich mal ein wenig umzuschauen auf deinem Rechner und rauszufinden was zb mit deinem Keyboardlayout unter Windows nicht stimmt.

Ich nutze Knoppix gelegentlich weil ich zu faul bin Linux zu installieren, CD einlegen geht einfach schneller.

Alt 01.08.2006, 21:52   #7
Mellosun
 
W32/Rbot-EK + Windows neu installieren - Standard

W32/Rbot-EK + Windows neu installieren



Na ja, Schrotten solltest mal lassen.....kannst ihn ( Rechner ) aber mir schicken...kann man immer mal gebrauchen!

Also, wegen Kabeln ect. brauchst Dir keine Gedanken machen. Auch wenn du die Platte eventuell an einen anderen Rechner anschließen würdest, solange sie als Slave gejumpert ist sollte da nichts passieren.

Aber ich denke, du solltest mal den PC Händler Deines Vertrauens aufsuchen und um Hilfe bitten. Oder hast du einen Kumpel, der sich damit etwas mehr auskennt?
Ist eigentlich nicht schwer, wenn man es kann!

Muss jetzt leider ins Bett, muss halb vier wieder aufstehen.....aber hier gibbts genügend Leute, die Dir sicher noch helfen können!


Gruß Mellosun

Alt 01.08.2006, 22:09   #8
mr. bungle
 
W32/Rbot-EK + Windows neu installieren - Standard

W32/Rbot-EK + Windows neu installieren



Na dann, Gute Nacht!

Ich werde erst einmal versuchen knoppix runterzuladen und poste dann das Ergebnis.

Nebenbei gesagt, halte ich mir die Option offen, das Mistding möglichst spektakulär plattzumachen. Ich habe so eine Ahnung, dass es mir danach gleich viel besser gehen wird...

Antwort

Themen zu W32/Rbot-EK + Windows neu installieren
.com, administrator, adobe, arbeitet, bho, computer, ctfmon.exe, dll -, einstellungen, ellung, fehlermeldung, fernzugriff, google, gruppe, hijack, hijackthis, home, ie deaktiviert, infizierte, internet, internet explorer, logfile, microsoft, neu, problem, programme, prozesse, richtlinie, software, start von windows, träge, windows, windows xp, wurm



Ähnliche Themen: W32/Rbot-EK + Windows neu installieren


  1. l+f: Laien installieren Antiviren-Software, Experten installieren Updates
    Nachrichten - 24.07.2015 (0)
  2. Wo finde ich mein Windows 7 Product Key um Windows 7 neu zu installieren?
    Alles rund um Windows - 21.06.2015 (39)
  3. Windows 7 - Windows Explorer stürzt dauernd ab und Update KB3046482 lässt sich nicht installieren
    Alles rund um Windows - 31.05.2015 (12)
  4. Windows 8.1 installieren?
    Alles rund um Windows - 19.06.2014 (3)
  5. Textdokument mit dem Inhalt ''Backdoor:Win32/Rbot'' in C:\WINDOWS\system32\config\systemprofile
    Plagegeister aller Art und deren Bekämpfung - 20.09.2011 (25)
  6. net. framework 4.0 installieren windows xp sp3
    Alles rund um Windows - 19.09.2011 (5)
  7. Virus WIN32.Rbot.fm + Trojaner in C:Windows/System32.....dll
    Plagegeister aller Art und deren Bekämpfung - 05.04.2011 (7)
  8. Virus WIN32.Rbot.fm + Trojaner in C:Windows/System32.....dll
    Mülltonne - 04.04.2011 (1)
  9. Windows xP neu installieren+ Formatierung
    Alles rund um Windows - 27.12.2010 (6)
  10. Windows XP vom USB Stick installieren
    Alles rund um Windows - 24.08.2010 (1)
  11. Auf Windows Vista Xp Installieren?
    Alles rund um Windows - 10.01.2009 (17)
  12. Windows-Defender meldet Backdoor.win32/Rbot
    Log-Analyse und Auswertung - 15.04.2008 (1)
  13. Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw
    Plagegeister aller Art und deren Bekämpfung - 03.12.2007 (6)
  14. Windows neu installieren
    Alles rund um Windows - 27.01.2007 (7)
  15. worm rbot.50176.6 in windows/system32/.exe
    Plagegeister aller Art und deren Bekämpfung - 28.11.2006 (2)
  16. windows neu installieren?
    Antiviren-, Firewall- und andere Schutzprogramme - 23.03.2005 (7)
  17. Windows XP neu installieren
    Alles rund um Windows - 31.12.2004 (1)

Zum Thema W32/Rbot-EK + Windows neu installieren - Hallo zusammen! Ich würde mich freuen, wenn mir jemand bei folgendem Problem hilft: Name W32/Rbot-EK; Typ Wurm Alias Backdoor.Rbot.gen W32/Sdbot.worm.gen.h Anfällige Betriebssysteme Windows Erläuterung Übersicht Erläuterung Wiederherstellung W32/Rbot-EK ist ein - W32/Rbot-EK + Windows neu installieren...
Archiv
Du betrachtest: W32/Rbot-EK + Windows neu installieren auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.