Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W32/Rbot-IQ

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.09.2004, 14:50   #1
PhilS
 
W32/Rbot-IQ - Icon27

W32/Rbot-IQ



Hallo,

habe den Wurm Rbot I.Q 02 und bekomme ihn einfach nicht weg.

kann mir einer helfen? gibts ein prog dafür?

danke im vorraus

Alt 17.09.2004, 14:59   #2
Shadowdance
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



Hallo PhilS,

woher weisst Du, dass Du diesen Wurm hast? In welcher Datei befindet er sich und welches AntiVirenProgramm verwendest Du?

Erstelle bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

SD
__________________


Alt 17.09.2004, 15:33   #3
Shadowdance
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



@ PhilS,

wenn Du tatsächlich den W32/Rbot-IQ auf dem System haben solltest, empfehle ich Dir die Lektüre des Virenlexikons von Sophos: "W32/Rbot-IQ ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist."

Ein Wurm mit Backdoor-Funktionalität auf dem System bedeutet, dass das System kompromittiert ist. Siehe dazu: Formatieren+Neuaufsetzen

Zitat:
Zitat von MountainKing
Alles andere als ein Formatieren und Neuaufsetzen des Systems wäre nahezu fahrlässig. Zudem musst du UNBEDINGT dein Surfverhalten überdenken [..] und alle Passworte ändern. Nach der Neuinstallation solltest du als erstes Windowsupdate besuchen und alle Patches installieren, danach auf deinen alternativen Browser (firefox, mozilla, opera) umsteigen und den IE nur noch zum Windowsupdate benutzen, den den Internetoptionen bzw. in den Browsern selbst aktive Inhalte (Java-Script, VBS, Active-X) deaktivieren. Nicht jede angepriesene Shareware installieren, vorher im Netz informieren, ob sie eventuell Spyware enthält, keine mailanhänge öffnen, bei denen du nicht 100%ig sicher bist, dass sie wirklich in ordnung sind. Ein Virenscanner kann nicht schaden (AntivirPE ist für einen kostenlosen Scanner ok), ist aber keinesfalls ein 100%iger Schutz, genausowenig wie alle andere Schutzsoftware.

Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.
- Hier ein weiterer, oft gegebener Rat von Cidre:

Zitat:
Zitat von Cidre
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm
- Hier noch einige Links:

- PC-Sicherheit
- www.windowsupdate.com
- Entfernungstools von Spyware und Adware
- Eine Auswahl Virenscanner

SD
__________________

Alt 18.09.2004, 14:14   #4
PhilS
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



Vielen Dank leute, aber die Sache hat sich erledigt. Ich sag nur eins:

"System-Neu-Installation"

Hab auf meheren Seiten gelesen das alles andere als eine Neuinstallation des Systems fahrlässig wäre.

Von daher ist die Sache für mich vom Tisch.

Trotzdem Danke an alle

Alt 28.09.2004, 23:38   #5
beteigeuze
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



... auch von mir ein hilfeschrei:

habe meinen doch sehr verzweifelten hilferuf schon hier gepostet:
schau mal rein, da sind auch filelogs etc vorhanden:
http://www.windowspower.de/beitrag2009.html

ist der wurm /rbot.JL in die gleiche kategorie einzustufen???

bin über jeden ernsten ratschlag dankbar !!!!

guido


Alt 29.09.2004, 00:04   #6
MountainKing
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



Die Rbot-Familie ist allgemein sehr gefährlich und genügt im Prinzip bereits für eine empfohlene Neuinstallation. Deine Logfiles sehen nicht gut aus, da laufen nach wie vor Trojanische Pferde. PhilS hat daher schon das Richtige gemacht und auch SD hat das ja vorgeschlagen:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen

Nach der Neuinstallation sollten die angesprochenen Dinge beherzigt werden, besonders das schnelle Update von XP und IE bei eingeschalteter Firewall oder per Service Pack 2 von CD. Und dann gilt es, die Surfgewohnheiten und Konfigurationen der Software dahingehend grundlegend zu verbessern, dass eine erneute Infektion bereits im Ansatz möglichst verhindert wird. Weitere Informationen dazu:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000120000000000000000

Alt 29.09.2004, 00:07   #7
Cidre
Administrator, a.D.
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



@ beteigeuze

Bei sind/waren mehrere Backdoor Trojaner aktiv, daher solltest du zur deiner eigenen Sicherheit dein System neuaufsetzen, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Info zum W32/Rbot-JL findest du hier:
http://www.sophos.de/virusinfo/analyses/w32rbotjl.html
Zitat:

# Ermöglicht Dritten den Zugriff auf den Computer
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus
# Wird für DOS-Attacken verwendet
Distributed-Denial-of-Service-Attacke
Proxyserver
Paket-Sniffing
Keystroke-Logging
Remote-Shell
Videoaufnahmen
Hoch- und Herunterladen von Dateien
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

EDIT:
MK war schneller.
__________________
Gruß, Cidre


Alt 29.09.2004, 00:25   #8
beteigeuze
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



ich arbeite mit zwei betriebsystemen.
4 partitionen:
c: xp
d: für programme
e: meine dateien
f: mein zweites xp betriebsystem (welches infiziert ist !!). dieses benutze ich für downloads oder für unsicheres.

wie kann ich feststellen, ob mein erstes bs auf c sauber ist??
wenn dem so ist, müsste es doch reichen, mein zweites bs neu aufzusetzen, oder??

guido

Alt 29.09.2004, 00:30   #9
MountainKing
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



Du kannst Scanner drüberlaufen lassen oder auch ein HJT-Log erstellen. Wenn du damit nie im Netz warst und keine heruntergeladenen fragwürdigen Dateien bzw. Programme vom anderen OS dort gelagert hast, dürfte es nicht betroffen sein und die Neuinstallation des zweiten XP genügen.

Alt 29.09.2004, 00:55   #10
beteigeuze
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



habe natürlich auch auf daten von dem infizierten system von meinem "ersten" system zugegriffen.
internet verbindungen haben auch bestanden.

jedoch glaube ich, das ich, seit ich mir diese viren/trojaner eingefangen habe, nicht mehr mit diesem system im netz war - aber sicher ist was anderes.

kann ich nicht mit einer halbwegs hohen sicherheit überprüfen, ob das erste system clean ist?

soweit ich weiss (????) gibt es keine ausführbaren verbindungen zwischen beiden systemen - aber wie gesagt: kann ich das nicht überprüfen??

dort sind all meine daten wie onlinbanking, onlinekäufe, passwörter, kreditkarten, ec karten etc verwendet/hinterlegt worden.
allerdings nicht mehr seit der - vorraussichtlichen - infizierung.

Alt 29.09.2004, 10:35   #11
beteigeuze
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



hallo !

...bitte schaut nochmal in diesen thread.
dann muss ich nicht alles nochmal posten.

... die gleichen fragen auch an euch ...

wenn ich alles neu partionieren muss, wie kann ich überprüfen, ob dateien sauber sind (mit sicherheitskopien auf cds ist's ja nicht geholfen ...)
wie sieht es mit kreditkarten nummern, bankkonten, internetzugängen , naja, halt mit allem was so richtig wichtig ist aus???

auch wenn ich alles neu machen muss ... würde ich ganz gerne irgendwie herausbekommen, ob mein erstes system verseucht ist.

WIE ????

neue kreditkarten, ec karten, neue internetkonten, neue pins, ebay ... es kommt 'ne ganze menge zusammen ... etc ist 'n haufen arbeit, und kostet auch 'ne menge geld ....

eine allgemeine frage:
sehe ich das richtig: mit diesem virus ist mein computer ein offenes buch. alles was auf dem pc gemacht worden ist und alle dateien sind verfügbar?
... auch wenn es vor der verseuchung stattgefunden hat ???

kann ich herausfinden, wann genau alles aufgespielt worden ist??

lg,
guido

Alt 29.09.2004, 10:36   #12
beteigeuze
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



nachtrag:
arbeite seit dem von einem anderen pc aus .....

Alt 29.09.2004, 11:22   #13
MountainKing
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



Das Grundproblem bei derartigen Schädlingen ist, dass sich nicht mehr ohne größeren Aufwand (wenn überhaupt) nachvollziehen lässt, was ein eventueller Angreifer damit manipuliert haben kann. Es ist rein theoretisch möglich, dass gar nichts passiert ist (also niemand diese Funktion während der Zeit, in der sie zur Verfügung stand, ausgenutzt hat), aber genauso, dass man dir noch mehr Schädlinge, die dann noch wesentlich schwerer zu entdecken sind, weil sie unsichtbare Registry-Einträge verwenden oder Scanner manipulieren usw.auf das System gebracht hat. Wir wissen ja beispielsweise schon mal gar nicht, wie genau du infiziert wurdest, über Ausnutzen einer Sicherheitslücke von Windows, über einen mailanhang oder einen Dateidownload.
Es lässt sich deswegen auch nicht ausschließen, da man ja im infizierten System auch die Festplatte mit dem anderen sehen kann, dass darauf ebenfalls Zugriff bestand. Du solltest es auch mal mit E-Scan scannen und ein HJT-Log erstellen evtl. kann man die Unsicherheit damit ja schon beseitigen, falls sich dort dann ebenfalls Schädlinge finden.

Alt 29.09.2004, 12:14   #14
beteigeuze
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



hi,

infiziert haben kann ich mich über einen datei download oder eine sicherheitslücke - über einen dateianhang nicht !
kann ich sicher sein das das programm HijackThis und der escan sauber ist?

dann würde ich es mal auf das system aufspielen und diese beiden programme durchlaufen lassen ....

aus:http://www.windowspower.de/beitrag2009.html
erstellt am: 29/9/2004 um 09:46, Antwort 8
sollte eigentlich weg sein, aber:

finde mit "suchen":

sys32snd.exe-0280346a.pf in f:\windows\prefetch
syssnd.exe.mvt in f:\windows\system32
recall.dll in d:\programme\microsoft office\office
recall(2).dll in d:\programme\microsoft office\office
recall.exe-12b9a584.pf in f:\windows\prefetch
recall.exe.mvt in f:\windows\system32
recall.dll in f:\programme\microsoft office\office

ich vermute mal, das die recall und sys32smd.exe auf jeden fall übeltäter sind ....???

die hjt logfiles findest du dort auch
das einzige, was ich woanders finde, als auf f:\ sind diese zwei dateien...

und wie gesagt, die meldung von antivir über den worm/rbot.jl kam einmal, wurde dann gelöscht und dann nicht mehr,
nur kann ich diese logfiles nicht interpretieren
(der escan ist zu lang zu in dieses board stellen) kann ihn aber gerne als textdatei zumailen geht ja auch in reinem textformat ..

lg,
guido.

Alt 29.09.2004, 12:24   #15
beteigeuze
 
W32/Rbot-IQ - Standard

W32/Rbot-IQ



mein virenscanner auf dem vielleicht noch intakten bs ist nicht ganz auf dem neusten stand (update ca. 'ne woche alt, da ich mit diesem bs nicht mehr im netz war) findet nichts ....

meine frage ist nur:
kann ich mir das HijackThis programm und den e-scan auf mein - hoffentlich noch sauberes bs - kopieren und es dort durchlaufen lassen oder kann es auch sein, das diese programme verseucht sind???

lg,
guido

Antwort

Themen zu W32/Rbot-IQ
danke, einfach, helfen, wurm




Ähnliche Themen: W32/Rbot-IQ


  1. Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw
    Plagegeister aller Art und deren Bekämpfung - 03.12.2007 (6)
  2. W32/Rbot-DID
    Plagegeister aller Art und deren Bekämpfung - 25.05.2006 (5)
  3. Rbot.118441
    Plagegeister aller Art und deren Bekämpfung - 14.05.2006 (2)
  4. Backdoor.rbot.gen
    Plagegeister aller Art und deren Bekämpfung - 02.02.2006 (1)
  5. Rbot/BAT
    Plagegeister aller Art und deren Bekämpfung - 12.01.2006 (1)
  6. Worm/Rbot-AEu & Worm/Rbot-AFC Hilfe
    Mülltonne - 12.10.2005 (1)
  7. RBot.AB00A57D
    Log-Analyse und Auswertung - 03.10.2005 (1)
  8. W32/Rbot-NN Entfernung
    Plagegeister aller Art und deren Bekämpfung - 16.09.2005 (1)
  9. Backdoor.RBOT.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.05.2005 (1)
  10. backdoor.rbot.reg
    Log-Analyse und Auswertung - 12.01.2005 (4)
  11. Worm RBot AGD
    Plagegeister aller Art und deren Bekämpfung - 23.12.2004 (8)
  12. Worm.Rbot.LN/RT
    Plagegeister aller Art und deren Bekämpfung - 13.12.2004 (1)
  13. Rbot.gen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (5)
  14. habe Rbot.su / ln / kt
    Plagegeister aller Art und deren Bekämpfung - 08.11.2004 (3)
  15. Worm/Rbot.TS
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (2)
  16. Win32.Rbot.gen
    Log-Analyse und Auswertung - 01.11.2004 (1)
  17. Rbot.ag und Rbot.gen
    Plagegeister aller Art und deren Bekämpfung - 28.08.2004 (2)

Zum Thema W32/Rbot-IQ - Hallo, habe den Wurm Rbot I.Q 02 und bekomme ihn einfach nicht weg. kann mir einer helfen? gibts ein prog dafür? danke im vorraus - W32/Rbot-IQ...
Archiv
Du betrachtest: W32/Rbot-IQ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.