|
RBOT LOGON.EXE in allen Formen Hallo, als echter Rechner Looser hab ich das Problem, dass ich Cidres (Prost) Rat befolgt und per fdisk die Platte -----DIE PLATTEN - geschrottet und alles neu aufgelegt habe, mit fescher Firewall (xp-home) umgeben, mit antivir und norton versehen, jeweils die neusten versionen und updates (ohne bis dahin online gewesen zu sein) den explorer dazu gebracht habe mit einer leeren Seite zu starten, und im moment des ALLERERSTEN Internetkontakts schlägt Antivir an und meldet Rbot und diverse Würmer, bzw Rbot in den diversesten Ausführungen und beim letzten mal zusätzlich noch logon.exe, weiters lief im Taskmanager was ich auch nach intensivstem googeln nicht gefunden hab: eruwk.exe was ist das ?????? ich habe mittlerweile 4x meine Platte neu gebaut, und hab jedesmal den selben Mist wieder drauf (Rbot) nachdem ich ca 0,01 sec online war. Wie kann ich das verhindern................ wäre für jeden Rat dankbar, ahb die faxen von formatieren. Komischerweise passiert derartig Unheil NUR wenn ich über Kabel online geh - also mit DSL-Kabel, verwende ich nur meine Wirelessverbindung bleibt der Rechner sauber. WER WEISS WAS???? Denn was nützt es die Zeit mit intensivem neuerstellen des Systems zu verbringen, dieses nach besten Möglichkeiten (ich hab leider nichts anderes) zu sichern um nach Millisekunden den selben Müll wieder auf dem Rechner zu haben............... was sich dahingehend äussert, dass die Maschine nach kürzester Zeit online tut was sie will. |
Dazu folgender Link: http://www.trojaner-board.de/showthread.php?t=9546 Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html |
Hab ich mehrfach durchgelesen und meines erachtens auch befolgt, trotzdem, der Müll kommt - und nicht nur bei mir - sofort auf den Rechner, bzw nicht auf meinen - der läuft Wireless und ist frei davon - betroffen sind meine Schüler die per Kabel online gehn. |
Ist der PC evtl. an ein Netzwerk angeschlossen in dem sich andere infizierte Rechner befinden? |
nein, ein standalone teil, alles mit orginal softwares versehen, alle mit service pack1, norton, antivir und der XP Home Firewall, ich habe den verdacht, dass sich der rbot schon bei der Netzprüfung durch das TDSL Programm auf den Rechner schleicht, alles Rechner meiner Schüler und ich bin am abdrehen, auf allen Rechnern in verschiedener Form das gleiche, und weg bekommt mans gar nicht |
Ich weiss ja nicht, was du für ein System nutzt.Gehen wir dann einfach mal von XP aus. Besorg dir von nem Bekannten oder kollegen SP2: http://www.microsoft.com/downloads/d...displaylang=de Lass dir auch folgendes Script runterladen und führe es aus: http://www.ntsvcfg.de/#_download Erst jetzt online gehen Besuche als beim ersten Online gehen www.windowsupdate.com Nutze den IE nur noch für WindowsUpdates.Fürs normale Surfen:Mozilla oder Firefox oder halt Opera. Surfe nur noch mit eingeschränkten Benutzerkonto |
yo, xp home, allerneuste version, mit sp1, von sp2 haben mir viele abgeraten, gibt es irgendeinen für Laien verständlichen Weg rbot wieder runter zu bekommen (sophos hat bei uns nicht gefunzt - hat ihn nicht mal gefunden trotz aktueller defs) bzw logon.exe den garaus zu machen? ICH WILL NICHT SCHON WIEDER FORMATIEREN . mach ich fast seit 2 Wochen mit 4 verschiedenen Rechnern |
SP2 ist eigentlich Pflicht. Bei mir hats auf 2 Rechnern tadellos funktioniert. Zitat:
-> http://www.trojaner-board.de/showpos...8&postcount=12 |
Das wäre auch mein Tip, das Problem bezieht sich ja offenbar nicht wirklich auf deinen Rechner? Wieviele hängen denn noch dran, wo genau finden die Scanner die Schädlinge, wie sieht es mit der Verbindungsfreigabe aus, den Berechtigungen innerhalb des Netzwerkes, eventuell freigegebenen Verzeichnissen usw. Die traditionell beschriebene Vorgehensweise bezieht sich auf den normalen Einzelplatzrechner und der ist nach dieser Prozedur, falls sie von sauberen Medien durchgeführt wurde, zunächst sicher sauber. Wenn du alte Dateien mitschleppst sieht das dann anders aus und dazu zählen dann ja auch die Dateien, die sich auf den mit deinem Rechner verbundenen PCs befinden. Wenn sich dort der Schädling befindet oder die anderen Rechner die entsprechenden kritischen Patches nicht haben, kannst du natürlich bei dir neu installieren, bis du schwarz wirst, falls der Virenscanner auch das Netzwerk überwacht, wird er dann gleich anschlagen. |
Wege gibt es sicherlich.Allerdings kanst du dir nicht sicher sein, inwieweit dein System durch Rbot verändert worden ist.Infos dazu:http://www.trojaner-board.de/showpos...8&postcount=12 Also neuaufsetzen. Mein Rat zu SP2.Spiels dir auf den neuaufgesetzten Rechner und mach vorher eine Systemsicherung.Läufts ohne Probleme wunderbar.Denke auch nicht , das SP2 bei einem neuaufgestzten Rechner Probleme macht. Ansonsten auf die systemsicherung zurückgreifen. Ich persönlich habe nur 1 Person in meinem Bekanntenkreis, die Schwierigkeiten mit SP2 hatte, die mittlerweile aber auch behoben sind. |
Ich besorg mir grad SP2 - und Mozilla - ich hoffe es hilft, und diese Dienstekonfiguration ist auch schon da. Es sind alles einzelne Rechner, die zwar in der gleichen Ortschaft stehn aber in keinster Weise miteinander vernetzt sind, aber auf allen ist der gleiche Müll .... Rbot wird nur von Antivir angezeigt und dann ist alles zu spät, alles im System 32, die Dateien fangen immer mit TFT an, anschliessend findet Antivir im Sekundentakt Würmer, die zwar angeblich gelöscht werden aber doch immer wieder in anderen Dateien auftauchen. Bei meinem Modem-User shuted dann irgendein Trojaner (ich denke es ist einer, hab beim Googeln was gefunden) den Rechner down . Generic Host etc. |
Das Prob mit Sp2 ist, dass Emagic Logic damit nur sehr unsicher läuft :(( brauch ich für den Unterricht |
Wenn du nur SP1 installierst, fehlen dir (oder deinen Schülern) alle nachfolgenden Sicherheitspatches und deine Rechner sind eben NICHT ausreichend geschützt, wenn du das erste mal online gehst, daher ist das bei dir auftretende Phänomen auch gar nicht so unwahrscheinlich. Wenn du schon SP2 nicht willst, brauchst du MINDESTENS diese Patches, BEVOR du online gehst, d.h. du müsstest sie dir vorher herunterladen und brennen, wobei eben SP2 der einfachere Weg wäre. Die Trojaner schleichen sich nicht einfach so auf Rechner, man lädt sie entweder "bewusst" herunter und installiert sie oder sie nutzen Schwachstellen der Software aus. Gegen letztere gibt es die Patches und um ersteres zu vermeiden, musst du die heruntergeladenen Dateien überprüfen bzw. im Zweifelsfall löschen. Radikalste Methode: trenne ALLE Rechner vom Netz, mach sie alle platt und mach die Systeme neu inklusive SP2 bzw. anhand der Anleitung von Cidre oder dieser hier: http://board.protecus.de/showtopic.p...me=1097944155& Eine weitere Frage ist dann auch, inwieweit auf den Rechnern nur Originalsoftware installiert ist oder ob sich auch gecrackte Programme darauf befinden, so dass du evtl. bestimmte Sachen gleich mit installierst. Wie gesagt, die Sicherheitspatches sind zwingend notwendig, da genügt der Stand von SP1 definitiv nicht. Entgegen landläufiger Meinung haben auch Trojaner keine magischen Fähigkeiten, sondern nutzen nachvollziehbare Verbreitungs- und Infektionswege, die man ALLE unterbrechen muss, um Erfolg zu haben. Das heisst für den Anfang alle Patches installieren, keine nicht definitiv "saubere" Software verwenden und bestimmte Konfigurationen vornehmen (aktive Inhalte, Mailprogramme). Falls das geschieht, ist es auszuschließen, dass beim ersten Onlinegehen plötzlich irgendwie Schädlinge aus dem Nichts auftauchen. |
yo, ich geb Dir völlig recht - der härteste Müll ist erst da, seit MS die Service Packs verbreiten will :) - ich lass grad "escan" durch, der findet plötzlich sachen die hab ich noch nie gesehen, und damit ers platt macht soll ich ihn kaufen.................. macht ers dann auch wirklich platt??? bisher 32 Dateien, alle infiziert mit "Backdoor.Win32.Rbot.gen" wenn ichs kauf, muss ich dann nicht alle 4 RECHNER FORMATIEREN |
Zitat:
Aber wenn du sowieso formatieren willst, wofür dann Geld ausgeben? Zitat:
|
Also, 5x logon.exe infected by "Backdoor.Win32.Rbot.gen" und der Rest ist komischerweise immer das gleiche: System32/winspoolsv.32.exe infected by "Backdoor.Win32.Rbot.gen ist das was wichtiges?? |
Wie schon gesagt => formatieren. Wenn du fertig bist und das Problem, obwohl du alle Ratschläge (SP2, Dienste abschalten usw.) befolgt hast, weiterhin besteht kannst du ja nochmal posten, wenn klappt natürlich auch ;) |
Ja,wichtig insofern,dass dein system hochgradig kompromittiert ist. Du wirst um ein Neuaufsetzen nicht rumkommen. |
mann,mann............und das ganze 4x, ich gespannt auf sp2 und den rest und darauf, wie ich 14 jährigen Mädchen mit Mama erklär, das sie den explorer nich benutzen dürfen, die sagen nämlich ich hab kaputten rechner angeschleppt :( |
hat jemand eine erklärung, warum ich den mist nicht bekomm, obwohl ich das gleiche system mit den gleichen programmen in der gleichen konfiguration benutze? ich arbeite mit einem d-link wireless teil und hatte noch nie sowas auf der maschine, die buben bzw mädels bekommens über kabel sofort???? |
Zitat:
Lesenswerte Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html |
Zitat:
|
Zitat:
|
:) das kann ich Dir genau sagen..... sie kommen um mich zu lynchen........ :snyper: |
kann ich nicht genau sagen, ICQ und limewire funktionieren tadellos, hab ohne firewall angeklickt, wär aber möglich, mein Schlapptop ist klinisch sauber, und die Rechner von den Buben auch solange sie noch bei mir sind ,gibts eine free firewall die was taugt? hab gar kein vertrauen in die xp home firewall |
Wenn dein System aktuell ist,alle Vorschläge des vorhin genannten Scripts umgesetzt sind,dein Antivirenproggie aktuell ist,der IE nur noch für Updates benutzt wird und sicher konfiguriert ist (http://www.blafusel.de/ie.html) undeben genannte Links alle befolgt werden ist ne Software Firewall unnötig: Siehe auch http://www.trojaner-info.de//firewall/index.shtml |
oje, ist das alles umfangreich, eigentlich hab ich ka ahnung von sowas.......... ich bedanke mich nochmal für die Hilfe und wünsche einstweilen gute Nacht |
@ venzolo, ein interessanter Thread. Hier noch ein bißchen Hintergrundinformation zu Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten. Die 14 jungen Damen und Herren wollen doch sicher gerne den Umgang mit dem Computer lernen? Verantwortungsvolles Umgehen mit einem Computer fängt beim formatieren an. Mach einen Security-Kurs mit den jungen Damen und Herren. Ihr lernt gemeinsam. Geh nach der Anweisung von Cidre vor, dazu solltest Du sie allerdings bereits beherrschen, in allen Punkten, also lesen: Cidre zitiert: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html ---------------- Wenn Du dies beherrscht, beherzige Den Rat von Lutz zur Datensicherung. Und wenn Du dies alles begriffen hast, erkläre es Deinen Schülern. Sie sollten ihre verseuchten Rechner baldmöglichst aus dem Netz nehmen, denn kompromittierte Systeme sind nicht nur ein Risiko für die Betroffenen selbst sondern für alle, die mit ihnen in Verbindung stehen. Der Wurm, der sich auf Euren Systemen befindet hat Backdoor-Funktionalität. Das bedeutet, dass alles, was auf den betroffenen Rechnern gemacht wird, Dritten bekannt ist, alle Passworte bekannt sind, und die Rechner in der Hand anderer sind. Jeder Deiner Schüler hat einen kleinen Spion im eigenen Rechner, der mitliest und steuert, was auf den Rechnern Deiner Schüler geschieht. Du magst Angst vor den Eltern haben, aber kannst Du das verantworten? Ich nehme an, dass sie Dir sehr dankbar sein werden, wenn Du diese Spionage im eigenen Heim beendest. Ein Kursus "sicheres Surfen" sollte eigentlich selbstverständlich dazu gehören, wenn man Schülern Rechner zur Verfügung stellt. Was das löschen von Würmern, Viren und Trojanern anbelangt, hier ein wenig Information: Entfernung von Schädlingen und Kompromittierung unvermeidbar?. SD |
hi, ich verstehe noch nicht, wozu das neue benutzerkonto gut sein soll, dem wurm ists doch recht wurst, ob ich eingeschränkt bin oder nicht, er kommt auf jeden fall??? |
Das hat z.B. den Vorteil das der Wurm zwar auf den Rechner kommen kann, aber sich nicht selber starten kann. Der wurm schreibt einen befehl in die Registry, der dafür sorgt, das er bei jedem Systemstart mitgestartet wird. Bei einem Eingeschränkten Benutzerkonto, kann er nicht in die Registry schreiben, damit wird seine ausführung verhindert. Er kommt zwar immer noch auf den Rechner, kann aber sich aber nicht ausführen. |
Hi, hattu Rechtgehabt, SP2 wirkt, und firefox is nicht so schlecht, eigentlich sogar besser als der explorer, kein müll mehr auf den maschinen, sehr fein, mann sowas bösartiges hab ich noch nie gesehen............... da muss sich a wer verdammt gut in windows auskennen um sowas zu kreieren. Hat doch jemand was von eruwk.exe gehört? das stand im taskmanager und war der hauptsitz von rbot |
Schön, dass es geklappt hat! :daumenhoc |
Ja, schön, dass du das Zeug nun erst mal los bist. :) Es ist nicht unüblich, dass Schädlinge die Namen ihre ausführenden Dateien einfach zufällig generieren, daher ist es auch denkbar, dass du bisher der Einzge mit dieser eruwk.exe bist. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board