Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.12.2007, 14:40   #1
d4m1
 
Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw - Standard

Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw



Hey Leute,
ich habe ein ziemliches dickes Problem.
Auf allen unseren vier Rechnern hat sich dieser Plagegeist eingeschlichen.
Kaspersky erkannte ihn als Backdoor.Win32.Rbot.fcu bzw. Backdoor.Win32.Rbot.fcw (Es waren 2 Dateien).
Escan schreibt soweit ich weiß "Trojan (IRCBOT)...". Das müsste ich nochmal genau zu Hause nachschlagen. Zudem findet er einen Spyware.Imfmonitor oder ähnliches.
Die beiden infizierten Dateien habe ich natürlich erstmal auf allen vier Rechnern gelöscht. Natürlich ist mir bewusst, dass es gerade mit dem Backdoor große Probleme geben kann.
2 Rechner sind garnicht bis selten am Netz, deshalb wollte ich dort erstmal nicht Hals über Kopf formatieren.
2 Rechner sind eigentlich permanent am Netz, von daher wollte ich da eben alles fein beseitigen, was natürlich nur übers Formatieren geht.

Ich bin gerade auf der Arbeit, von daher schreibe ich erstmal ohne Hijack-Login und Escan.
Vorallem bei Escan gibt es das Problem, dass er auf allen vier Rechnern einfach "abgestürzt" ist. Das heißt er lief eine gewisse Zeit und war dann plötzlich weg. Weiß jemand woran das liegt?

Zum anderen wollte ich fragen wie ich das mit meinen zusätzlichen Platten machen kann. Habe Windows auf einer eigenen Partition, dazu eben Partitionen für Programme, Daten und Musik. Das ganze teilt sich auf zwei Platten auf. Reicht es, wenn ich die Windowspartition komplett formatiere und dann im Prinzip im sauber aufgelegten System einen Virenscanner installiere um den Rest zu scannen?
Sobald ich zu Hause bin werde ich mich mal an den Hijacklog und den escanlog machen, falls er denn diesmal funktioniert.
Danke für eure Hilfe!
Gruß
Dami

Alt 03.12.2007, 15:24   #2
-SkY-
Gast
 
Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw - Standard

Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw



Naja, wenn Kaspersky und eScan den RBot/ IRCBot erkannten, gibts für dich dieses Vergnügen gleich 4 mal
__________________


Alt 03.12.2007, 18:52   #3
d4m1
 
Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw - Standard

Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw



Ja gut, das war mir ja ansich klar... aber reicht es wie gesagt einfach neuzuinstallieren und die anderen Partitionen unberührt zu lassen und dann eben von da aus nochmal zu scannen?
Ich will das Ding nicht nochmal drauf haben...

Hier übrigens erstmal der Hijack-Log!
Danke!

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:50:39, on 03.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
D:\Programme\Nero 8\Nero BackItUp\NBService.exe
d:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Razer\Diamondback\razerhid.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
D:\Programme\RivaTuner v2.06\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Razer\Diamondback\razertra.exe
D:\Programme\Razer\Diamondback\razerofa.exe
D:\Programme\Mozilla Firefox\firefox.exe
E:\Eigene Dateien\Miranda ME 2.0 RC2\miranda32.exe
C:\Dokumente und Einstellungen\Damian\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [amd_dc_opt] D:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Diamondback] d:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [RivaTuner] "D:\Programme\RivaTuner v2.06\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RivaTunerStatisticsServer] "D:\Programme\RivaTuner v2.06\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe" /s
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programme\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "d:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://d:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F1FBBB-143C-4380-B252-37A2DC93679C}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - d:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - d:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
__________________

Alt 03.12.2007, 18:57   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw - Standard

Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw



Formatieren der Systempartition sollte reichen - sofern du aber irgendwelche ausführbaren Dateien auf anderen Partitionen hast, solltest du diese sicherheitshalber löschen. Also die Dateien, nicht die Partitionen
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.12.2007, 19:25   #5
d4m1
 
Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw - Standard

Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw



Also wenn ich die löschen sollte, dann kann ich davon ausgehen, dass die böserweise bei einem Scan wahrscheinlich auch nicht erkannt werden?
Ich würde dann natürlich wieder mit Kaspersky und eScan drübergehen, wobei Kaspersky ja jetzt schon nichts mehr findet, im Gegensatz zu eScan.
Dummerweise sind ja sehr viele Dateien anscheinend ausführbar, auch so Sachen wie *.html und Co. Das wäre sehr ärgerlich.

Ich hänge jetzt eben noch den Anfang des eScan-Logs an... er hört komischerweise immer an der gleichen Stelle auf... also das Programm verschwindet einfach.
Die letzte Logzeile ist dann immer:

Zitat:
Mon Dec 03 19:14:44 2007 => [Scanne Ordner: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Portal\1031]
Mon Dec 03 19:14:45 2007 => Scanne Datei C:\Programme\Gemeinsame Dateien\Microsoft Shared\Portal\1031\PortalConnect.dll (????)
Mon Dec 03 19:14:45 2007 => Scanne Datei C:\Programme\Gemeinsame Dateien\Microsoft Shared\Portal\PortalConnect.dll (????)
Aus dem kompletten Log macht die "Find.bat" folgendes:

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.8
Sprache: German
H:\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({06849e9f-c8d7-4d59-b87d-784b7d6be0b3})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({645ff040-5081-101b-9f08-00aa002f954e})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({6bf52a52-394a-11d3-b153-00c04f79faa6})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({06849e9f-c8d7-4d59-b87d-784b7d6be0b3})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware ({6bf52a52-394a-11d3-b153-00c04f79faa6})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden/type)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_users\.default\software\microsoft\windows nt\currentversion\windows/load)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows nt\currentversion\windows/load)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: E:\Eigene Dateien\miranda me 2.0 rc2\tools
Offending Folder found: E:\Eigene Dateien\miranda me 2.0 rc2\tools
Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden/type
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.3.0.70\QuickTime.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:22:35,28
Batchende: 19:22:38,54


Alt 03.12.2007, 19:31   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw - Standard

Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw



Zitat:
Dummerweise sind ja sehr viele Dateien anscheinend ausführbar, auch so Sachen wie *.html und Co. Das wäre sehr ärgerlich.
Hm...*.html bzw. *.htm würde ich nicht wirklich als ausführbar betrachten - der Browser führt die HTML-Befehle aus. Damit von diesen Dateien Gefaht ausgeht, muss es eine manipulierte html sein und der ausgeführte Browser muss die jew. Schwachstelle besitzen. *.html solltest du ohne Probleme behalten können.

Was hast du denn noch auf den Partitionen? Irgendwelche dubiosen *.exe vllt? Du kannst nat. nach dem Neuaufsetzen mit dem Virenscanner rübergehen, hast aber keine Garantie dafür, dass auch wirklich alles clean ist wenn nichts gefunden wird.

Zitat:
er hört komischerweise immer an der gleichen Stelle auf... also das Programm verschwindet einfach.
So ist das nunmal bei kompromittierten Systemen...
__________________
--> Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw

Alt 03.12.2007, 19:42   #7
d4m1
 
Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw - Standard

Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw



Naja, hab mir schon gedacht, dass es bei eScan genau daran harkt, dass das System kompromittiert ist (kompromittiert ist eigentlich ja ein schönes Wort, aber echt schade, dass es sowas schlechtes beschreibt ). Aktualisieren lässt sich eScan auch nicht.

Nun ja, auf den Laufwerken ist sonst das übliche dabei. Ein paar *.exe Dateien (z.b. Spielepatches oder auch ein ganzes Spiel [rFactor, was legal ist Also keinen Stress ], aber sowas kann man ja in der Regel wieder herunterladen).
Dazu eben avi, mpg, rar, zip, iso, pdf, open office und microsoft office dokumente. Halt so das übliche würde ich schätzen... ich muss eben nochmal anschauen was davon definitiv ungefährdet ist und der Rest muss dann wohl oder übel über den Jordan gehen. Wobei ich die wirklich nicht ersetzbaren Dateien wohl behalten werde und dann regelmäßig das System scannen werde.
Dann werde ich mal per Linux etwas rumsäubern und wenigstens die erforderlichen Patches für Windows wieder runterladen.

Danke auf jeden Fall für deine/eure Hilfe!
Gruß
Dami

Antwort

Themen zu Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw
backdoor, beseitigen, bewusst, dateien, einfach, frage, fragen, hijacklog, infizierte, leute, plötzlich, probleme, programme, rechner, scannen, scanner, system, trojan, virenscanner, win, windows, windowspartition, zusätzliche




Ähnliche Themen: Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw


  1. Backdoor.Win32.Rbot!IK und Win32.SuspectCrc!IK 1
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (4)
  2. Windows-Defender meldet Backdoor.win32/Rbot
    Log-Analyse und Auswertung - 15.04.2008 (1)
  3. Backdoor.win32.rbot.csa
    Mülltonne - 29.08.2007 (1)
  4. Backdoor.WIN32.Rbot.bsu BGOLDLIB.DLL
    Log-Analyse und Auswertung - 22.12.2006 (1)
  5. Backdoor.Win32.Rbot.bnb beseitigen
    Plagegeister aller Art und deren Bekämpfung - 04.11.2006 (23)
  6. Backdoor.Win32.rbot.bnb aufgetreten
    Plagegeister aller Art und deren Bekämpfung - 02.11.2006 (3)
  7. Backdoor.Win32.rbot.bnb eingefangen
    Plagegeister aller Art und deren Bekämpfung - 02.11.2006 (2)
  8. backdoor.win32.rbot.gen gefunden
    Log-Analyse und Auswertung - 19.09.2006 (4)
  9. Backdoor.Win32.Rbot.l ->HILFE
    Plagegeister aller Art und deren Bekämpfung - 16.07.2005 (4)
  10. Ich präsentiere: mein neues Haustier, der Backdoor.Win32.Rbot.rc.
    Plagegeister aller Art und deren Bekämpfung - 05.06.2005 (4)
  11. Backdoor.Win32.Rbot.gen finden
    Plagegeister aller Art und deren Bekämpfung - 28.04.2005 (10)
  12. Mist, auch bei mir. Backdoor.Win32.Rbot.gen
    Log-Analyse und Auswertung - 28.02.2005 (2)
  13. Kann mir jemand helfen?? Backdoor.Win32.Rbot.gen
    Plagegeister aller Art und deren Bekämpfung - 10.02.2005 (1)
  14. Backdoor.Win32.Rbot.gen gefunden in studio.exe
    Log-Analyse und Auswertung - 01.02.2005 (3)
  15. Backdoor.win32.Rbot.gen
    Plagegeister aller Art und deren Bekämpfung - 21.01.2005 (12)
  16. !!!! Backdoor.Win32.Rbot.gen trotz Neuansetzung immer noch da !!!!!
    Plagegeister aller Art und deren Bekämpfung - 16.01.2005 (1)
  17. HILFE: Escan fand: Backdoor.Win32.Rbot.gen
    Plagegeister aller Art und deren Bekämpfung - 28.11.2004 (3)

Zum Thema Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw - Hey Leute, ich habe ein ziemliches dickes Problem. Auf allen unseren vier Rechnern hat sich dieser Plagegeist eingeschlichen. Kaspersky erkannte ihn als Backdoor.Win32.Rbot.fcu bzw. Backdoor.Win32.Rbot.fcw (Es waren 2 Dateien). Escan - Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw...
Archiv
Du betrachtest: Befallen mit Backdoor Win32.Rbot.fcu/Win32.Rbot.fcw auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.