Backdoor.Rbot:gen
 

Hallo Ihr!

Erstmal ein "hallo" - ich bin neu hier und froh euch gefunden zu haben.

Ich habe ziemliche Probleme mit meinem PC, er scheint von Viren geradezu befallen zu sein :heulen:

Bitte helft mir!

Unter anderem zeigt mir mein Virenprogramm (AntiVir), dass ich "Backdorr.Rbot.gen" auf dem PC habe. Leider habe ich eigentlich überhaupt keine Ahnung von Computern und weiß auch nicht was ich jetzt dagegen tun kann.

Könnt Ihr mir bitte helfen und ausführlich und für einen Laien (bzw. Laiin ;-) ) beschreiben, wie ich diesen Sche...!! wieder loswerde??

Wäre super.

Liebe Grüsse
Dabra

Hallo Dabra,

wo/in welcher Datei wurde der Rbot.gen gefunden? Wie heisst er genau?

Lade Dir bitte den eScan - entsprechend der Anleitung in diesem Thread runter, erstelle einen Ordner (=Verzeichnis) c:\bases, entpacke den eScan dahinein, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung im Thread: Thread-6083

Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****
=>Virus Database Date:
=>Virus Database Count:

Erstelle bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&pase - entsprechend der Anleitung in diesem Link - hier ins Forum.

SD

Hallo Shadowdance!

Lieben Dank für Deine Hilfe. Ich hab's gerade so hingekriegt ;-)))

Hier die Infos:

Der Virus heißt: Backdoor.Rbot.gen

Und hier die Logs:

Wed Sep 08 13:28:26 2004 => Total Number of Files Scanned: 19234
Wed Sep 08 13:28:26 2004 => Total Number of Virus(es) Found: 5
Wed Sep 08 13:28:26 2004 => Total Number of Disinfected Files: 0
Wed Sep 08 13:28:26 2004 => Total Number of Files Renamed: 1
Wed Sep 08 13:28:26 2004 => Total Number of Deleted Files: 4
Wed Sep 08 13:28:26 2004 => Total Number of Errors: 0
Wed Sep 08 13:28:26 2004 => Time Elapsed: 00:54:28
Wed Sep 08 13:28:26 2004 => Virus Database Date: 2004/08/09
Wed Sep 08 13:28:26 2004 => Virus Database Count: 100135

Wed Sep 08 13:28:26 2004 => Scan Completed.

File C:\WINNT\system32\syshost.exe infected by "Worm.Win32.Francette.n" Virus. Action Taken: File Deleted.

File C:\WINNT\System32\WinGasys.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\Programme\AVPersonal\INFECTED\LOL.DLL.001 infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\LOL.DLL.002 infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\LOL.DLL.VIR infected by "TrojanSpy.Win32.Small.q" Virus. Action Taken: File Deleted.


Logfile of HijackThis v1.98.2
Scan saved at 13:54:53, on 08.09.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\kavss.exe
C:\WINNT\System32\notepad.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\unzipped\hijackthis1982[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.de/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jesus-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O4 - Global Startup: Web.lnk = C:\Programme\Teledat\TelWeb32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .swf: C:\Programme\Netscape\Communicator\Program\PLUGINS\npswf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{41957932-C014-4BCC-B2E4-FD57825012E6}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D1BFD78-A989-49E0-AD88-4D7484762463}: NameServer = 192.168.121.252,192.168.121.253

So, das wars :-) Ich hoffe, Du kannst etwas damit anfangen.

Wie gehts nun weiter?? Hoffentlich nicht zu kompliziert... und falls doch, bitte einfach erklären *grins*

Danke schon mal

:bussi:
Dabra

Hallo,
Auch wenn du augenscheinlich das Problem gelöst haben solltest, wiege dich nicht in Sicherheit.
Bei Backdoor.Rbot.gen gibt es zig modifizierte Unterarten, die allesamt nur ein Ziel haben: Fernzugriff auf das System zu ermöglichen! http://www3.ca.com/securityadvisor/v....aspx?id=39437

Imho wäre die sicherste Lösung ein Neuaufsetzen deines Sytems.
http://oschad.de/wiki/index.php/Kompromittierung