hatte den virus "Rbot.LN" ... oder "Rbot.wieauchimmer"

ich hab nen spur 0 killer über meine festplatte gehauen, hab sie anschliessend nochmal in verindung mit der windows 2000 installation formatiert, dann windows 2000 drauf gemacht....

aneschliessend hab ich programme installiert die ich bei meinem freund runtergeladen habe und auf cd gebrannt, es ist also unmöglich dass diese programme in kontakt mit dem virus waren....

ich hab also das windows service pack 4 installiert, ich habe escan installiert, ad aware, spybot und ich habe anti vir free installiert......

so wie einige andere sachen.. raspppoe... und den detonator treiber....

ich geh also gerade online und nach kurzer zeit kommt von anti vir wieder die fehlermeldung der rbot.ln wurde gefunden......

dass ich mich unmittelbar nach dem online gehen infiziert hab ist undenkbar... das ist jetzt sooo oft passiert innerhalb der letzten woche, dass das einfach nich sein kann... der wurm gilt als selten... jetzt bekomm ich gerade den fehler "Rbot.EL"...

das einzige was ich mir grad noch erklären könnte wär, dass der detonator treiber von nvidia.com infiziert ist, weil ich den immer direkt nach der Neuinstallation drauf gemacht hab... aber wie groß ist diese wahrscheilnichkeit schon?.. aber andererseits gibt es nach (meinem) logischen menschlichen ermessen keine andere möglichkeit...

bitte um hilfe.. vielleicht kann mir auhc nur einer erklären wies zu sowas kommen kann... wo soll der virus denn sonst noch gespeichert werden ausser auf der festplatte? ...

Ganz ruhhig.
Poste zuallererst mal einen HijackThis Log. Das Programm erhälst du hier.

http://filepony.de/download-hijackthis/

Wenn du escan bereits hast, mach ein Update führe es durch (abgesicherter Modus) und poste deinen Log.
Hast du es nicht, installier es nach in folgendem Link genannter Anweisung:
http://www.trojaner-info.de//hijacker/escan.shtml

Geh genau nach der Anleitung vor, die die Seite gibt.
Mach aer bitte zuerst wie gesagt einen Log mit HijackThis und poste diesen hier im Board

Einige Fragen dazu:

Wo wurde der Rbot von Antivir gefunden (genaue Pfadangabe)?
Hast Du neben dem SP4 auch alle anderen notwendigen Updates installiert?
Ist der PC von Deinem Freund malwarefrei?
Ist Dein Netzwerk sicher eingerichtet? Dazu http://www.ntsvcfg.de/ bzw. http://dingens.org/ beachten.

Gruß
Yopie

gut ich werd das gleich mal machen...

was ich noch sagen wollte:

hab etliche male formatiert die letzten tage... immerm it nem spur 0 killer..

hab tausend mal die programme neu runtergeladen... immer erst das sp4 drau gemacht vorm online gehen... und die virensoftware

und ich hatte sicher 10 mal sofort wieder den rbot drauf... wenn nicht 15 mal... .das sit nicht jetzt nich untertrieben.....

wie groß ist schon die chance, dass in so kurzer zeit sofort wieder dieser virus drauf kommt.. ? ... das kann doch eigentlich gar nich sein...

jetzt isses grad der rbot.rt

hab übrigens auch shcon zum r.bot die anleitung anderer foren befolgt, bin ja nicht der einzige der den je hatte.. aber bei hat nix funktioniert bisher


edit: der wurm wird immer in winnt\system32 gefunden.. grad als tftp2040... dann als tftp2048.. die tftp.exe is wohl also infiziert .. waren aber auch schon andere dateien...

ich werde das gefühl nicht los, dass der detonator treiber infiziert ist, im ernst.. ich kanns mir nicht anders erklären

Zitat:

Zitat von moe

hab tausend mal die programme neu runtergeladen... immer erst das sp4 drau gemacht vorm online gehen... und die virensoftware

und ich hatte sicher 10 mal sofort wieder den rbot drauf... wenn nicht 15 mal... .das sit nicht jetzt nich untertrieben.....

wie groß ist schon die chance, dass in so kurzer zeit sofort wieder dieser virus drauf kommt.. ? ... das kann doch eigentlich gar nich sein...

Bei entsprechenden Sicherheitslücken (RPC-DCOM, LSASS) geht das in Sekundenschnelle. Ich weiß leider nicht, ob diese Lücken durch SP4 schon geschlossen werden. Mein Tipp: Vorher von einem sauberen Rechner http://download.winboard.org/downloa...release_id=851 runterladen und dann das Update-Pack bei der (leider wieder mal fälligen) Neuinstallation direkt nach SP4 installieren. Das Netzwerk muss natürlich trotzdem sicher eingerichtet sein, s.o. .

Gruß
Yopie

hier mein hijack log:


Logfile of HijackThis v1.98.2
Scan saved at 00:46:13, on 03.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\Programme\Sicherheit\AntiVirPersonal\AVGNT.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\PROGRA~1\Internet\MOZILL~1.0\firefox.exe
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...=ie&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Sicherheit\AntiVirPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5284C72-FCD4-4A8E-8BD5-7BA31F0E058B}: NameServer = 217.237.150.141 217.237.150.97

___________

wobei da am anfang immer die meldung kommt:

"for some reason system denied write acess to your host file.."

jetzt bekomm ich grad den fehler:

"sdbot.74752".... auch in der selben datei wiw egrad angegeben... udn jetzt haben sich grad tasuend fenster geöffnet...

oh mann ...

na ja erst mal danke für die späte hilfe.. bevor ich hier nur jammer.. aber ich bin grad nervlich leicht angefressen da dasjetzt echt schon über ne woche so geht...

weiss einer wo ich noch nen anderen nvidia treiber runterldaenk ann.. nen älteren... als bei nvidia.com ? .. nur so als option

Mach mal den escan und im abgesicherten Modus und poste uns das Ergebnis.Wird wohl das beste sein.
Um das Ergebnis zu posten gehe nach Scan wie folgt vor
öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

so ich hab jetzt die beiden weiteren programme gesaugt die alles sicherer machen sollen und werd jetzt nochmal neu installieren und formatieren.. danach die beiden drauf machen und dann hoffen es bleibt sicher..

greetz und nochma danke für die späte hilfe.. ich meld mich entweder nacher, oder gaaaanz nachher