Textdokument mit dem Inhalt ''Backdoor:Win32/Rbot'' in C:\WINDOWS\system32\config\systemprofile
 

Hallo zusammen,

wie der Name schon sagt liegt in diesem Ordner ein Textdokument das unter anderem die genannte Zeile enthält.

Der volle Inhalt ist:

regf

Dá‰mÌ c o n f i g \ s y s t e m p r o f i l e \ N T U S E R . D A T Backdoor:Win32/Rbot Backdoor:Win32/Rbot Backdoor:Win32/Rbot Backdoor:Win32/Rbot Backdoor:Win32/Rbot Backdoor:Win32/Rbot û\csDIRTÿð_á\ D e v i c e \ H a r d d i s k V o l u m e 1 \ W I N D O W S \ s y s t e m 3 2 \ c o n f i g \ s y s t e m p r o f i l e \ n t u s e r . d a t ÿÿ

Bin auch nur durch Zufall drauf gestoßen.

Antivir hat aber nirgendwo angeschlagen, weder von alleine noch nach Suche.

Hab die Suche genutzt aber niemanden mit genau dem selben Problem gefunden.

Weil eh nix wichtiges drauf war hab Ich den PC einfach mal komplett Formatier/neu Aufgesetzt, und sofort danach hier angemeldet.
Nichts runtergeladen oder angeschlossen außer einen Grafik Treiber.

Die Datei besteht aber nach wie vor.

In der Zeit davor hat der PC sich auch komisch verhalten.
Firefoxeinstellungen waren zurückgesetzt oder die Taskleiste hatte nach dem Hochfahren einen anderen Skin eingestellt (das ''Windows blau'' anstatt dem ''silber'').

Hab übrigens schon von nem externen PC alle Passwörter und dergleichen geändert!

Was ist zu tun?

Beste Grüße und danke schon mal,

JoWü

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Danke :)

Hab keine alten Logs.

Hier der aktuelle:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7673

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

07.09.2011 23:40:39
mbam-log-2011-09-07 (23-40-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 199012
Laufzeit: 23 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Hier die OTL Logs:

Extras:OTL Logfile:
--- --- ---

OTL:OTL Logfile:
--- --- ---


Richtig so?


Ich hatte vor der Formatierung übrigens auch das Gefühl, dass verschiedene neue und mehr Prozesse im Taskmanger angezeigt wurden.
rundell32.exe z.B.
Vielleicht hab ich mir das auch nur eingebildet, habs leider nicht wirklich überprüft.

Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Hay cosinus,

sorry das es etwas gedauert hat, musste arbeiten und anderer Stress.
Hier nun der ESET-Log:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=0
# version=7
# iexplore.exe=6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=90bc926ee4b8b34baf3f3889f3bbaf94
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-08 08:52:14
# local_time=2011-09-08 10:52:14 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=4864 16777215 100 0 190807064 190807064 0 0
# compatibility_mode=8192 67108863 100 0 120 120 0 0
# scanned=0
# found=0
# cleaned=0
# scan_time=0

Ist aber ziemlich nachlässig direkt nach der Neuinstallation, SP3 und IE8 sollten das erste sein was auf ein nacktes Windows kommt. Aber erstmal egal, kümmern wir uns später drum.

OTL-Log ist soweit ok, Malwarebytes keine Funde, ESET auch nicht.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Ich weiß, aber es ging mir erst mal nur darum herauszufinden was es mit dieser Datei auf sich hat.
Wenn das geklärt ist hatte Ich eh vor den PC noch mal komplett zu Formatieren.
Bisher auch keine andere Seite als diese hier & die von dir genannten besucht/geöffnet.
Dabei bleibt es auch..

Der TDSSKiller-Log:


Noch mal ein neuer Malewarebytes Scan-Log:

Hmm...

Nee formatieren wirst du wohl nicht nochmal müssen. Bislang alles völlig unauffällig.
Ein Check noch mit aswMBR und dann poste ich ein Baustein über SP3/IE8.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hier der aswMBR-Scan-Log:

MBR ist auch ok. Da sollte nichts sein, keine Anzeichen, nicht die geringste Spur von Malware. ;)

Mach nun die Updates:

1. Das SP3 von hier downloaden => Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler (und ja es ist das richtige Paket für dich)
   
2. Alle Programme beenden, Internetverbindung trennen, Virenscanner abstellen!
   
3. SP3 instalieren, Anweisungen folgen - Installation sollte ca. 15-20 Minuten dauern. Kann auch schneller gehen, bei älteren Rechnern dauert es ca. ne halbe Stunde - nach der Installation Rechner neu starten
   
4. IE8-Setup laden und ausführen => Internet Explorer 8 herunterladen - Microsoft Windows

Achte beim Setup des IE8 wieder dadrauf, dass vorher möglichst alle Programme beendet und der Virenscanner deaktiviert wurde. Im Setup selbst bitte nicht an dem Verbesserungsprogramm teilnehmen (oder wie MS das nennt) und auch KEINE Updates über das Setup installieren. Die installieren wir später, ich sag dir dann wie. Melde dich wenn der IE8 drauf ist.

Hay Arne,

danke noch mal/schon mal!

Antworte erst jetzt, da ich gestern nur noch in's Bett gefallen bin.

Aber:

Wenn das System wirklich sauber ist, was hat es denn dann mit der Datei auf sich?
Die gehört doch sicher nicht zu Windows und ich find den Inhalt schon irgendwie ''bedrohlich''.
Zu dem hat die Datei ja auch die Formatierung überlebt..

Und:

Außerdem hab Ich ein Problem mit der Installation vom SP3, also:

Beim ersten Runterladen war der Download innerhalb von einer Sekunde fertig, was mich verwundert hat, aber da ich es nicht besser weiß, kann es Ja sein das dass nun mal so ist..

Jedenfalls wollte ich dann mit der Installation beginnen, jedoch kam folgende Fehlermeldung:

c:\Dokumente und Einstellungen \Joh\Desktop\WindowsXP-KB936929-SP3-x86-DEU.exe ist keine zulässige Win32-Anwendung.

Weitere Versuche und PC-Neustart haben nichts gebracht, also hab ich's noch mal runtergeladen.

Diesmal war's ein ''vernünftiger'' Download mit ''Ladezeit'' und ''Wartebalken''.

(Keine Ahnung ob das irgendwie wichtig/bedeutend ist)

Mit der neuen Datei kann ich die Installation nun auch starten, die läuft dann ne Zeit lang, aber bei dem Schritt ''Bereinigung'' (ca. 80% des Ladebalkens sind voll) bleibts dann hängen.
Der PC arbeitet merklich aber es tut sich nichts mehr.
Die ''Arbeitsgeräusche'' des PC bleiben auch in gleichbleibenden Intervallen.
Hört sich halt so an als würde er werkeln, abbrechen und wieder von vorne anfangen.
Außerdem flackert das Bild ab und zu leicht, ich kann aber noch alles andere machen, die Installation wird nur nicht fertig.

Uuund mir ist aufgefallen, dass auf der anderen Festplatte (D:\), zwei Ordner aufgetaucht sind.
Die Namen sind irgendwelche langen Zahlen und Buchstaben abfolgen.
Sie beinhalten Unterordner und tausende (glaube in einem etwas an die 2500) verschiedene Dateien.

Ich glaube aber die gehören zur Installationsroutine vom SP3, da nach dem ich diese einmal mit dem Taskmanager beendet hatte, einer der Ordner verschwunden war.

Ok, soweit der Stand der Dinge.

Was für ein Stress..

Mit dankbarem Gruß,

Joh

Das sieht irgendwie nach einem Splitter von einem Log aus. Ist die Datei nach dem Formatieren immer noch da?

Das kann auch nicht funktionieren, das SP3 für XP ist satte 313 MB groß.

Ja so ist das.
Warum das SP3 nicht sirklich will weiß ich jetzt auch nicht. Versuchs einfach nochmal, Rechner neu starten, KEINE Programme öffnen, Virenscanner abstellen und am besten ohne Internetverbindung die Vollversion des SP3 installieren.

1.
Hmm,..
Ja, hab das System bevor ich mich hier angemeldet hab neu aufgesetzt.
Weil die Datei noch vorhanden war hab ich hier um Rat gefragt.

Sie ist übrigens ''versteckt''.
Kann man aber ganz normal über die Ordneroptionen anzeigen lassen.

Trotzdem nur ne Log-Datei?
Soll ich Sie mal löschen?
Irgendwie fühl ich mich dann sicherer.
Vielleicht taucht Sie dann nach nem Neustart auch wieder auf..

2.
Ja, hab ich mir schon gedacht.
kA, warum der DL beim ersten mal nicht funktioniert hat.
Wahrscheinlich nix tragisches, wollte es nur erwähnen.

3.
Bin ich ja beruhigt!
Habs genauso gemacht.
Werds heut Abend aber auf jeden Fall noch mal wiederholen.
Zur Zeit auf der Arbeit.

Danke & bis später..

Joh

Also formatiert, komplette Neuinstallation? Dann ist das System schon im definierten sauberen Zustand.
Außerdem waren alle Logs unauffällig.

Wenn du die Datei noch hast, lad sie mal bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Genau, mit der ''Software, Drivers & Recovery Boot-DVD'' das System komplett platt gemacht und den Auslieferungszustand wiederhergestellt.



Ok, ich lad Sie Jetzt gleich hoch!


Aber es gibt schon wieder was Anderes:

Als ich eben den PC hochgefahren hab, hat das schon mal länger als bisher gedauert.
Als ich dann auf dem Desktop war hat sich plötzlich sowas wie n' DOS-Fenster geöffent, da liefen dann in Sekundenschnelle irgendwelche Daten durch und dann wars auch schon weg. Man konnte nix erkennen.
Nur der Pfad der oben Stand war ungefähr:

C:\Windows\cmd.exe (weiß nicht obs genauso war)

Danach wollte sich dann noch ne Internetseite öffnen, was aufgrund der fehlenden Verbindung natürlich nicht ging.

Adresse: hxxp://go.microsoft.com

Hab dann mal nachgeschaut und nun steht in den Systeminformationen das ich SP3 hab.
Obwohl die Installation gestern Ja garnicht bis zum Ende gelaufen ist und ich Sie abgebrochen hab.

Aber ok, wenn das stimmt, ist das Ja nicht schlecht.

Auf D:/ besteht immer noch ein Ordner mit irgendwelchen Datein, aber dazu hatten wir Ja schon was gesagt.

Hab dann aber vorsichtshalber einfach mal 3 Malewarebyte Scans gemacht:

1. Festplatte C:/

2. Vollscan

3. Festplatte D:/

Außerdem hab Ich noch ein paar unnütze Programme über die Systemsteuerung deinstalliert und ebenfalls noch n' paar überflüssige Dienste deaktiviert.
Nur damit du bescheid weißt und dich nicht wunderst weil da irgendwas anders ist.
Tut mir leid, vielleicht übertreibe ich es auch wenn ich hier jede kleine Veränderung aufschreibe, will nur endlich sauber werden & bleiben!

Danke für deine Geduld!

Joh


PS: Ich installier dann auch noch schnell den IE8, wie du auf Seite eins gesagt hast.

PPS: IE8 ist installiert und konfiguriert.

Hier noch mal ein QuickScan von MAMB mit aktueller Datenbank: