|
[Virus] Verzweiflung.. wie kann das möglich sein? hatte den virus "Rbot.LN" ... oder "Rbot.wieauchimmer" ich hab nen spur 0 killer über meine festplatte gehauen, hab sie anschliessend nochmal in verindung mit der windows 2000 installation formatiert, dann windows 2000 drauf gemacht.... aneschliessend hab ich programme installiert die ich bei meinem freund runtergeladen habe und auf cd gebrannt, es ist also unmöglich dass diese programme in kontakt mit dem virus waren.... ich hab also das windows service pack 4 installiert, ich habe escan installiert, ad aware, spybot und ich habe anti vir free installiert...... so wie einige andere sachen.. raspppoe... und den detonator treiber.... ich geh also gerade online und nach kurzer zeit kommt von anti vir wieder die fehlermeldung der rbot.ln wurde gefunden...... dass ich mich unmittelbar nach dem online gehen infiziert hab ist undenkbar... das ist jetzt sooo oft passiert innerhalb der letzten woche, dass das einfach nich sein kann... der wurm gilt als selten... jetzt bekomm ich gerade den fehler "Rbot.EL"... das einzige was ich mir grad noch erklären könnte wär, dass der detonator treiber von nvidia.com infiziert ist, weil ich den immer direkt nach der neuinstallation drauf gemacht hab... aber wie groß ist diese wahrscheilnichkeit schon?.. aber andererseits gibt es nach (meinem) logischen menschlichen ermessen keine andere möglichkeit... bitte um hilfe.. vielleicht kann mir auhc nur einer erklären wies zu sowas kommen kann... wo soll der virus denn sonst noch gespeichert werden ausser auf der festplatte? ... |
Ganz ruhhig. Poste zuallererst mal einen HijackThis Log. Das Programm erhälst du hier. http://filepony.de/download-hijackthis/ Wenn du escan bereits hast, mach ein Update führe es durch (abgesicherter Modus) und poste deinen Log. Hast du es nicht, installier es nach in folgendem Link genannter Anweisung: http://www.trojaner-info.de//hijacker/escan.shtml Geh genau nach der Anleitung vor, die die Seite gibt. Mach aer bitte zuerst wie gesagt einen Log mit HijackThis und poste diesen hier im Board |
Einige Fragen dazu: Wo wurde der Rbot von Antivir gefunden (genaue Pfadangabe)? Hast Du neben dem SP4 auch alle anderen notwendigen Updates installiert? Ist der PC von Deinem Freund malwarefrei? Ist Dein Netzwerk sicher eingerichtet? Dazu http://www.ntsvcfg.de/ bzw. http://dingens.org/ beachten. Gruß :daumenhoc Yopie |
gut ich werd das gleich mal machen... was ich noch sagen wollte: hab etliche male formatiert die letzten tage... immerm it nem spur 0 killer.. hab tausend mal die programme neu runtergeladen... immer erst das sp4 drau gemacht vorm online gehen... und die virensoftware und ich hatte sicher 10 mal sofort wieder den rbot drauf... wenn nicht 15 mal... .das sit nicht jetzt nich untertrieben..... wie groß ist schon die chance, dass in so kurzer zeit sofort wieder dieser virus drauf kommt.. ? ... das kann doch eigentlich gar nich sein... jetzt isses grad der rbot.rt hab übrigens auch shcon zum r.bot die anleitung anderer foren befolgt, bin ja nicht der einzige der den je hatte.. aber bei hat nix funktioniert bisher edit: der wurm wird immer in winnt\system32 gefunden.. grad als tftp2040... dann als tftp2048.. die tftp.exe is wohl also infiziert ;) .. waren aber auch schon andere dateien... ich werde das gefühl nicht los, dass der detonator treiber infiziert ist, im ernst.. ich kanns mir nicht anders erklären |
Zitat:
Gruß :daumenhoc Yopie |
hier mein hijack log: Logfile of HijackThis v1.98.2 Scan saved at 00:46:13, on 03.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\Explorer.EXE C:\Programme\Sicherheit\AntiVirPersonal\AVGNT.EXE C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\system32\internat.exe C:\PROGRA~1\Internet\MOZILL~1.0\firefox.exe C:\Programme\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...=ie&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Sicherheit\AntiVirPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [internat.exe] internat.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{E5284C72-FCD4-4A8E-8BD5-7BA31F0E058B}: NameServer = 217.237.150.141 217.237.150.97 ___________ wobei da am anfang immer die meldung kommt: "for some reason system denied write acess to your host file.." jetzt bekomm ich grad den fehler: "sdbot.74752".... auch in der selben datei wiw egrad angegeben... udn jetzt haben sich grad tasuend fenster geöffnet... oh mann ... na ja erst mal danke für die späte hilfe.. bevor ich hier nur jammer.. aber ich bin grad nervlich leicht angefressen da dasjetzt echt schon über ne woche so geht... weiss einer wo ich noch nen anderen nvidia treiber runterldaenk ann.. nen älteren... als bei nvidia.com ? .. nur so als option ;) |
Mach mal den escan und im abgesicherten Modus und poste uns das Ergebnis.Wird wohl das beste sein. Um das Ergebnis zu posten gehe nach Scan wie folgt vor öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) |
so ich hab jetzt die beiden weiteren programme gesaugt die alles sicherer machen sollen und werd jetzt nochmal neu installieren und formatieren.. danach die beiden drauf machen und dann hoffen es bleibt sicher.. greetz und nochma danke für die späte hilfe.. ich meld mich entweder nacher, oder gaaaanz nachher |
wenn ich eine datei rutnerlad und die lässt sich nich aufn anderes laufwerk verschieben? (geht um das update)... also mit der meldung sie sei möglicherweise geöffnet oder in gebrauch, kann das ein zeichen dafür sein dass sie von nem virus befallen is? edit: muss am laufwerk liegen |
Zitat:
Wenn du formatieren willst, richt dich bitte nach folgender Anleitung: http://www.trojaner-board.de/showpos...28&postcount=2 oder nach dieser: http://www.trojaner-board.de/showthread.php?t=9546 zweitere geht auch auf das partitionieren etwas ein. Egal, welche du wählst-falsch machen kannste erstmal nichts. |
so... hab jetzt formatiert... bevor du das geschrieben hast allerdings cronos... aber mit nem spur 0 killer wieder inklusive der oben angegeben updates... bisher is noch nix... hab jetzt eben wieder den nvidia treiber installiert und da is mir was aufgefallen das mir schon vorn paar tagen aufgefallen ist, nachdem ich ihn installiert hatte: nachdem der treibe rinstallier wurde und automatisch neu gebootet wird, schliesst sich ein programm das "should not see me" nennt... irgendwie komisch oder? edit: ok das hat sich erledigt.. hab beim googlen in nem anderen forum folgenden kommentar dazu gefunden und stimme mit dem verfasser zu 100% überein: Zitat:
edit2: was für ne firewall is denn zu empfehlen? |
oh mann ich hab ihn glaub endlich geschafft... big thx nochmal... die tools und die einstellungen sind genau das was ich gebraucht hab... hab jetzt wirklich alles gemacht.. von den updates bis zum ausschalten der dienste... jetzt lad ich mir noch ne firewall runter die bei chip gut bewertet wurde, die sygate personal... und dann dürfts ok sein... sonst benutz ich dann noch antivire, spybot, ad ware und cwshredder... aber eine frage hätt ich noch.. grad hat ad aware zwei kritische einträge gefunden.. und zwar "Iecache":. ich hatte den ie aber net offen... öffnet der sich irgendwie im hintergrund oder so? und wenn ja.. gibts ne möglichkeit das zu verhindern? nochmal big big big thx, ihr glaubt gar net wie froh ich bin endlich wieder nen funktionierenden pc zu haben .. doch.. ihr glaubts :D |
Hallo moe, hier ein bißchen Info zu Firewalls: Firewall - Rubrik und was den IE anbelangt, wenn er installiert ist, und das ist bei allen Windows-Rechnern der Fall, scheint er im Hintergrund mitzulaufen. Ich selbst verwende ihn auch nicht, behalte ihn aber geupdatet und auf dem neuesten Stand auf dem System, da es angeraten wird, und wenn ich meine TIF leere, stelle ich fest, dass der IE aktiv ist .. obwohl ich ihn nicht verwende. Das habe ich auch noch nicht so ganz begriffen. Du solltest den IE auf jeden Fall sicher konfigurieren, um Risiken und Nebenwirkungen ausschliessen zu können: IE sicher konfigurieren und Browser-Sicherheit. Ausserdem würde ich Dir empfehlen den SpywareBlaster 3.2 zu downloaden und das Programm auf Deinem Rechner auszuführen. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen! Besuche desweiteren diese Seite und lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. Erstelle dann ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board