Hallo,

habe den Wurm Rbot I.Q 02 und bekomme ihn einfach nicht weg.

kann mir einer helfen? gibts ein prog dafür?

danke im vorraus

Hallo PhilS,

woher weisst Du, dass Du diesen Wurm hast? In welcher Datei befindet er sich und welches AntiVirenProgramm verwendest Du?

Erstelle bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

SD

@ PhilS,

wenn Du tatsächlich den W32/Rbot-IQ auf dem System haben solltest, empfehle ich Dir die Lektüre des Virenlexikons von Sophos: "W32/Rbot-IQ ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist."

Ein Wurm mit Backdoor-Funktionalität auf dem System bedeutet, dass das System kompromittiert ist. Siehe dazu: Formatieren+Neuaufsetzen

Zitat:

Zitat von MountainKing

Alles andere als ein Formatieren und Neuaufsetzen des Systems wäre nahezu fahrlässig. Zudem musst du UNBEDINGT dein Surfverhalten überdenken [..] und alle Passworte ändern. Nach der Neuinstallation solltest du als erstes Windowsupdate besuchen und alle Patches installieren, danach auf deinen alternativen Browser (firefox, mozilla, opera) umsteigen und den IE nur noch zum Windowsupdate benutzen, den den Internetoptionen bzw. in den Browsern selbst aktive Inhalte (Java-Script, VBS, Active-X) deaktivieren. Nicht jede angepriesene Shareware installieren, vorher im Netz informieren, ob sie eventuell Spyware enthält, keine mailanhänge öffnen, bei denen du nicht 100%ig sicher bist, dass sie wirklich in ordnung sind. Ein Virenscanner kann nicht schaden (AntivirPE ist für einen kostenlosen Scanner ok), ist aber keinesfalls ein 100%iger Schutz, genausowenig wie alle andere Schutzsoftware.

Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.

- Hier ein weiterer, oft gegebener Rat von Cidre:

Zitat:

Zitat von Cidre

- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm

- Hier noch einige Links:

- PC-Sicherheit
- www.windowsupdate.com
- Entfernungstools von Spyware und Adware
- Eine Auswahl Virenscanner

SD

Vielen Dank leute, aber die Sache hat sich erledigt. Ich sag nur eins:

"System-Neu-Installation"

Hab auf meheren Seiten gelesen das alles andere als eine Neuinstallation des Systems fahrlässig wäre.

Von daher ist die Sache für mich vom Tisch.

Trotzdem Danke an alle

... auch von mir ein hilfeschrei:

habe meinen doch sehr verzweifelten hilferuf schon hier gepostet:
schau mal rein, da sind auch filelogs etc vorhanden:
http://www.windowspower.de/beitrag2009.html

ist der wurm /rbot.JL in die gleiche kategorie einzustufen???

bin über jeden ernsten ratschlag dankbar !!!!

guido

Die Rbot-Familie ist allgemein sehr gefährlich und genügt im Prinzip bereits für eine empfohlene Neuinstallation. Deine Logfiles sehen nicht gut aus, da laufen nach wie vor Trojanische Pferde. PhilS hat daher schon das Richtige gemacht und auch SD hat das ja vorgeschlagen:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen

Nach der Neuinstallation sollten die angesprochenen Dinge beherzigt werden, besonders das schnelle Update von XP und IE bei eingeschalteter Firewall oder per Service Pack 2 von CD. Und dann gilt es, die Surfgewohnheiten und Konfigurationen der Software dahingehend grundlegend zu verbessern, dass eine erneute Infektion bereits im Ansatz möglichst verhindert wird. Weitere Informationen dazu:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000120000000000000000

@ beteigeuze

Bei sind/waren mehrere Backdoor Trojaner aktiv, daher solltest du zur deiner eigenen Sicherheit dein System neuaufsetzen, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Info zum W32/Rbot-JL findest du hier:
http://www.sophos.de/virusinfo/analyses/w32rbotjl.html

Zitat:

# Ermöglicht Dritten den Zugriff auf den Computer
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus
# Wird für DOS-Attacken verwendet
Distributed-Denial-of-Service-Attacke
Proxyserver
Paket-Sniffing
Keystroke-Logging
Remote-Shell
Videoaufnahmen
Hoch- und Herunterladen von Dateien

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

EDIT:
MK war schneller.

ich arbeite mit zwei betriebsystemen.
4 partitionen:
c: xp
d: für programme
e: meine dateien
f: mein zweites xp betriebsystem (welches infiziert ist !!). dieses benutze ich für downloads oder für unsicheres.

wie kann ich feststellen, ob mein erstes bs auf c sauber ist??
wenn dem so ist, müsste es doch reichen, mein zweites bs neu aufzusetzen, oder??

guido

Du kannst Scanner drüberlaufen lassen oder auch ein HJT-Log erstellen. Wenn du damit nie im Netz warst und keine heruntergeladenen fragwürdigen Dateien bzw. Programme vom anderen OS dort gelagert hast, dürfte es nicht betroffen sein und die Neuinstallation des zweiten XP genügen.

habe natürlich auch auf daten von dem infizierten system von meinem "ersten" system zugegriffen.
internet verbindungen haben auch bestanden.

jedoch glaube ich, das ich, seit ich mir diese viren/trojaner eingefangen habe, nicht mehr mit diesem system im netz war - aber sicher ist was anderes.

kann ich nicht mit einer halbwegs hohen sicherheit überprüfen, ob das erste system clean ist?

soweit ich weiss (????) gibt es keine ausführbaren verbindungen zwischen beiden systemen - aber wie gesagt: kann ich das nicht überprüfen??

dort sind all meine daten wie onlinbanking, onlinekäufe, passwörter, kreditkarten, ec karten etc verwendet/hinterlegt worden.
allerdings nicht mehr seit der - vorraussichtlichen - infizierung.