Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Hilfe! Win32/RBot.138752!Worm bringt mich zur Verzweiflung!

lenin / 8 Antworten / Baumansicht Nickles

Hallo, seit einigen Tagen erhalte ich in unregelmäßigen Abständen folgende Meldung:

Nachricht von COMPUTER an COMPUTER am 19.03.2005 22:29:28

\'Win32/RBot.138752!Worm\' wurde in C:\\SYSTEM VOLUME IN...\\A0000297.EXE entdeckt.
Computer: COMPUTER, Benutzer: NT-AUTORITÄT\\SYSTEM.
Dateistatus: Infiziert

Ich kann dann auf OK klicken und das Fenster verschwindet. Ich hab mir schon Zugriff auf den Ordner "System Volume Information" verschafft und darin die Datei A0000297.EXE gesucht, aber (auch sonst auf der Festplatte) nichts gefunden. Mein Anti-Virenprogramm erkennt keinen Virus und auch bei Google hab ich zur Datei A0000297.EXE nichts gefunden.

Bin deswegen ziemlich ratlos und hoffe, ihr könnt mir helfen, das Problem zu lösen!

bei Antwort benachrichtigen
GarfTermy lenin „Hilfe! Win32/RBot.138752!Worm bringt mich zur Verzweiflung!“
Optionen

"...Bin deswegen ziemlich ratlos und hoffe, ihr könnt mir helfen, das Problem zu lösen! ..."

du kannst dir selbst helfen - mit einer formatierung der systempartition und der fälligen neuinstallation von originaldatenträgern.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Mario32 lenin „Hilfe! Win32/RBot.138752!Worm bringt mich zur Verzweiflung!“
Optionen

in der sxstem volume information sind die infos dersystemwiederherstellungspunkte mit samt der geänderten dateien gespeichert. der dateiname Datei A0000297.EXE wird willkürlich von windows benutzt! deshalb findest du nix bezüglich des dateinamens bei google!
Augenscheinlich ist eine datei die du in deinen systemwiederherstellungen hast infiziert.
Die dateien in SVI kannst du unter xp micht anzeigen! Lösch einfach alle systemwiederherstellungspunkte mit der funktion des BS, dann bleibt nur die letzte version, die du auch loswirst, wenn du die überwachung auf dem laufwerk abschaltest, dann wird dieser ARchivierte Schädling ebenfalls gekillt!

AAABER: Da du nicht sicher wissen kannst, seit wann der bei dir drauf war, was der schädlink schon alles getan/verändert hat, und überhaupt tun kann/konnte bist du trotz dieser "LoswerdeMöglichkeit" nur annähernd auf der sicheren seite, wenn du das machst was Garftermy dir geraten hat; KOMPLETTE NEUINSTALLATION !
Sorry!

bei Antwort benachrichtigen
Tyrfing lenin „Hilfe! Win32/RBot.138752!Worm bringt mich zur Verzweiflung!“
Optionen

Du kansnt jetzt zwei Sachen machen
1.) In Panik geraten wie zwei gewisse Personen hier es jedem raten -> dein System wegen nichts plätten, am besten noch deine Festplatte schreddern und die CPU einschmelzen
2.) Den Nachrichtendienst abschalten (einfach mal bie Google schauen) -> Juxmeldungen verschwinden, kein Problem

bei Antwort benachrichtigen
Mario32 Tyrfing „Du kansnt jetzt zwei Sachen machen 1. In Panik geraten wie zwei gewisse Personen...“
Optionen

das mit dem nachlesen leiber tyfing ist wohl eher dein problem! ich beschreibe wie lenin die datei die ja wohl in dem SVI ordner ist loswird! Ganz ohne dein offenbar nicht richtig gelesenes von "schreddern" und co!
Was ein Nachrichtendienstfenster ist weiß ich sehr wohl, was für Schindluder damit bei unbedarften die keine ahnung von ihrem system haben angerichtet werden kann auch! Dennoch ist JEDE Schädlingsmeldung egal in welcher form er sie erhalten hat "ERSTMAL" als real zu betrachten! Oder weißt du mehr als wir wissen im bezug auf das was er gepostet hat!? ggfs komuniziert seine Schutzsoftwaresystemkonfiguration ja so mit ihm! (er hat ja keine wirklich konkreten angaben zu seiner umgebung gemacht!!! Aber sei du ruhig witer unkritisch blauäugig! Einmal mehr "geschreddert" ist nicht so gravierend wie einmal zu wenig! DAs wirst du ggfs auch noch merken wenn deine VR-identität geklaut wurde und du ruiniert bist weil du einer ggfs auch suspekten meldung nach keine adequaten schritte unternommen hast!)

bei Antwort benachrichtigen
out-freyn Mario32 „das mit dem nachlesen leiber tyfing ist wohl eher dein problem! ich beschreibe...“
Optionen

Liebe Malware-Programmierer, so könnt Ihr Euch zukünftig die Mühe sparen, einen Virus mit Schadfunktion zu programmieren:

1.) Man nehme den Windows Nachrichtendienst und sende Nachrichten an beliebige IP-Blöcke, dass der Computer ganz schrecklich infiziert sei - natürlich mit dem Hinweis, auf nickles.de die Lösung des Problems zu erfragen.

2.) Der unbedarfte User wendet sich tatsächlich an nickles.de und schildert sein Problem. Die rituell empfohlene Lösung: Platte f_ormatieren.

3.) Der User ist eingeschüchtert und überzeugt und plättet seinen Rechner.

4.) Nach der Neuinstallation (der Nachrichtendienst ist ja nach wie vor aktiv) kann wieder bei Schritt 1 angefangen werden.

Und da behaupte noch einer, der Nachrichtendienst hätte kein Schadenspotenzial...!

The conspiracy theory of society [...] comes from abandoning God and then asking: »Who is in his place?« (Sir Karl Popper, Conjectures and Refutations, 1963)
bei Antwort benachrichtigen
Tyrfing Mario32 „das mit dem nachlesen leiber tyfing ist wohl eher dein problem! ich beschreibe...“
Optionen

>>Oder weißt du mehr als wir wissen im bezug auf das was er gepostet hat!? ggfs komuniziert seine Schutzsoftwaresystemkonfiguration ja so mit ihm! Ja, ich weiß mehr als ihr WEIL ICH IM GEGENSATZ ZU EUCH PANIKPREDIGENDEM HAUFEN DES LESENS MÄCHTIG/WILLENS BIN

Zitat:
Mein Anti-Virenprogramm erkennt keinen Virus

bei Antwort benachrichtigen
GarfTermy lenin „Hilfe! Win32/RBot.138752!Worm bringt mich zur Verzweiflung!“
Optionen

@tyrfing...

vielleicht solltest du das "nichts" vorher mal genauer kennenlernen?

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39437 ...aber ich kopiere dir gerne den wichtigsten teil:

Beschreibung

Win32.Rbot is an IRC controlled backdoor (or "bot") that can be used to gain unauthorized access to a victim's machine. It can also exhibit worm-like functionality by exploiting weak passwords on administrative shares and by exploiting many different software vulnerabilities, as well as backdoors created by other malware. There are many variants of Rbot, and more are discovered regularly. Rbot is highly configurable, and is being very actively developed, however the core functionality is quite consistent between variants. Most instances of Rbot are compressed and/or encrypted with one or more run-time executable packers. Examples include Morphine, UPX, ASPack, PESpin, EZIP, PEShield, PECompact, FSG, EXEStealth, PEX, MoleBox and PEtite.

wenn das "nichts" ist...

du stehtst jedenfalls mit dem abschalten des nachrichtendienstes zur abwehr dieses schädlings ebenso allein da, wie mit dem hinweis auf "nicht neu installieren".

von so einem rechner würde ich kein onlinebanking mehr machen wollen...

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Tyrfing GarfTermy „@tyrfing... vielleicht solltest du das nichts vorher mal genauer kennenlernen?...“
Optionen

Den Wurm gibt es tatsächlich, nur dummerweise passt die Beschreibung der "Virenwarnung" 100% auf ein Nachrichtendienst-Fenster und kommt nicht vom AVProgramm


Wie ich es schon einige Male gesagt habe: Ihr denkt exakt überhaupt nicht nach, ihr lest die Beiträge offenabr nicht einmal komplett sondern schreibt einfach nur noch "formatieren", Ende

bei Antwort benachrichtigen