Trojanisches Programm Backdoor.Win32.Rbot.bsu

Das mit dem Software Invader hat sich geklärt war mit den Temp files zu regeln.

Zusatz: Kann ich die Datei einfach löschen, wo der eine Trojaner sitzt? Es ist keine Windows Anwendung, also nicht unbedinngt nötig für die Ausfürhrung des PC´s.

Der andere sitzt in:
 c:\system volume information\_restore{2b6a6856-321c-47cd-9b25-947e68683e26}\rp35\a0007018.dll

Was ist damit?

gruß

Hi,

deaktiviere deine Systemwiederherstellung und boote danach im Abgesicherten Modus. (beim starten F8 drücken.)

vorher aber noch den kaspersky scanner von der kaspersky homepage runterladen.

Dann bitte einen Scan durchführen und die betroffenen elemente löschen!

Mit welchem programm hast du eigentlich gescannt? Betriebssystem aktuell gepacht? Welches Betriebssystem?

Sir Mannor

Hallo,

Mein Betriebssystem: Windows XP

Mein Virusscanner Kaspersky.

Frage: Muss ich denn im abgesicherten Modus scannen und die Trojaner wegmachen, weil die eine ja nicht für die Erhaltung des Systems gebraucht wird.Was ist mit der C.\System Volume Information? notwendig?

Und das mit dem Software Invader hat sich doch nicht geklärt.

gruß

Hallo,
bei einem Backdoorbefall kann seriös nur das Neuaufsetzen geraten werden.Alles andere ist Flickschusterei und führt nur zu einer permanenten Unsicherheit,weil du nie mit 100% Sicherheit sagen kannst das du alles erwischt hast.
Solltest du Bank und EBayx Geschäfte über diese Kiste tätigen,solltest du dir sehr gut überlegen was du tust...
Am Besten bevor dein Konto leer ist ,oder jemand mit deinem EBay Zugang einen original indischen Weihnachtselefanten an deine Haustüre liefern läßt....
Sir Reklov

Hallo Heizung,
beachte bitte die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab!

Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.

Um eine optimale Überprüfung mit Kaspersky zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Kaspersky starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Bitte poste unbedingt das ausführliche Scanergebniss hier.

Auch der HijackThis-Log ist sehr nützlich.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493


@Sir Reklov
Wir wissen ja noch nicht mal das ein Backdoorbefall stattgefunden hat. Bis jetzt sehen wir kein aktiven Backdoor auf diesen System, nur eine Datei in der Systemwiederherstellung trägt die Malware, mehr nicht.   

Hallo,
oh doch ,das wissen wir...
Davon ausgehend, das kein Backdoortrojaner von einem AV-Hersteller so genannt wird wenn er keiner ist und wissend um die Funktion der Systemwiederherstellung,kann man sehr sicher feststellen das eine Infektion stattfand...
Der "Sytem Volume" Ordner oder auch "Restore" genannt,in dem sich der Backdoor oder Reste davon befinden,nimmt keine temporären Dateien auf.Das aber wäre die einzige Möglichkeit zu befinden,das der Backdoor nicht ausgeführt wurde.
Was noch zu überlegen wäre ist,wo "Heizung" das Spiel herhat und ob es die Quelle der Infektion sein kann.Daher wäre ein aktuelles HijackThis-Log angebracht.
Sir Reklov

Hallo,

werde den Anweisungen von "HELP" mal folgen.

@Sir Reklov: Um welches Spiel geht es denn? Wo steht das denn?

gruß

Hallo,
ja...das war mir schon klar das du zu den Ignoranten zu zählen bist....
Ist halt viel einfacher ein paar Tools laufen zu lassen von denen du nicht mal ansatzweise weißt was sie tun..
Hauptsache es kommt hinterher,nach der Button-Drückerei, irgendwann eine Meldung "Ich der Subba-Dubba-Scanner habe alles erledigt"

Aber es ist dein Rechner und du darfst damit tun und lassen was du willst....
Du kannst aber mal "Help" fragen ,ob er für dich in den Knast geht   Falls es nämlich nicht geklappt hat ,könnte der Staatsanwalt vor deiner Türe stehen...
Sir Reklov

Hallo,
oh doch ,das wissen wir...
Davon ausgehend, das kein Backdoortrojaner von einem AV-Hersteller so genannt wird wenn er keiner ist und wissend um die Funktion der Systemwiederherstellung,kann man sehr sicher feststellen das eine Infektion stattfand...
Der "Sytem Volume" Ordner oder auch "Restore" genannt,in dem sich der Backdoor oder Reste davon befinden,nimmt keine temporären Dateien auf.Das aber wäre die einzige Möglichkeit zu befinden,das der Backdoor nicht ausgeführt wurde.
Was noch zu überlegen wäre ist,wo "Heizung" das Spiel herhat und ob es die Quelle der Infektion sein kann.Daher wäre ein aktuelles HijackThis-Log angebracht.
Sir Reklov

@Sir Reklov
Das hast du falsch verstanden !
Eine Malwaredatei auf dem System ist nicht gleich eine aktive Infektion des PCs. Kaspersky findet bis jetzt nur einen Backdoor in
c:\system volume information\_restore{2b6a6856-321c-47cd-9b25-947e68683e26}\rp35\a0007018.dll
Ob diese Malware auf dem System wirklich aktiv war, wissen wir nicht!

@Heizung
Scanne deinen PC wie beschrieben und poste den Bericht.
Prüfe auch, ob ältere Berichte mit einen Malwarefund von Kaspersky noch vorliegen, poste dann diese ebenfalls hier.

Hallo,
dann noch mal gaaanz langsam für dich,Help....

Im "Restore" Ordner werden nur und ausschlieslich installierte Dateien "festgehalten"

Installiert ist in diesem Fall gleichzusetzen mit ausgeführt.
Nur in einem "Temporärordner" kann der backdoor,wie auch alles andere,als völlig harmlos bezeichnet werden.
Temporäre dateien werden aber nicht im Restore Ordner "festgemacht" bzw."gemerkt".

Deshalb ist es auch völliger Unsinn eine Maleware mit Hilfe der Systemwiederherstellung löschen zu wollen....
Sir Reklov

Installiert ist in diesem Fall gleichzusetzen mit ausgeführt.

Nein, Installiert heißt nicht gleich ausgeführt, so das der Backdoor aktiv war!

Mein lieber help,

jetzt fängst du aber an mir echt Kummer zu machen...
Um ein Programm auszuführen muß ich ein "Setup"oder sinngemäßes starten.Also eine exe ausführen...
Der darin versteckte Backdoor wird sicherlich nicht um eine "Extrastartausführung" bitten,oder ?
Sir Reklov

@Sir Reklov: 

"Ich der Subba-Dubba-Scanner habe alles erledigt"

Das müssten wir ja schon mal geklärt haben, oder??
Du würdest ja sogar wenn dein pc nur die Uhranzeige falsch darstellt neu aufsetzen. 

 @ HELP:

er darin versteckte Backdoor wird sicherlich nicht um eine "Extrastartausführung" bitten,oder ?

Da muss ich ihm Recht geben, Help. Wenn etwas installiert wird wird es ebenfalls ausgeführt!(setup.exe) weil .exe bedeutet ja schon dass etwas ausgeführt wird. In diesem Fall ist der Backdoor dann auch aktiv.

Aber warten wir mal die jetzt schon überfälligen Scanreports ab! Also Heizung, häng dich rein und befolge genau die Anweisungen von HELP!!

See y´all

Sir Mannor

Hallo,

habe mich mal nochmal in woanders informiert, da sagte man mir auch, neu installieren wäre das beste, wie hier auch gesagt wurde.

Habe das System neu installiert, war denke ich die beste
Möglichkeit.

Danke für die Hilfe