Worm/Robobot, DR/Bridge.A.2

Dieses Thema Worm/Robobot, DR/Bridge.A.2 im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Ace_NoOne, 23. Aug. 2005.

Thema: Worm/Robobot, DR/Bridge.A.2 Hallo zusammen, gestern fing mein Computer plötzlich an, sich seltsam zu verhalten; in aktiven Eingabefeldern bzw....

  1. Hallo zusammen,

    gestern fing mein Computer plötzlich an, sich seltsam zu verhalten; in aktiven Eingabefeldern bzw. Texteditoren erschien haufenweise der Buchstabe q. Ich vermute, dass einfach das Keyboard einen Hänger hatte (obwohl das vorher noch nie vorkam), aber trotzdem hab' ich mal->nen Virenscan durchgeführt.
    AntiVir hat dann auch prompt was gefunden: In einem eher selten genutzten Verzeichnis (F:\disc images\ - dort liegen, sinnvolllerweise, verschiedene CD-Images) lagen drei Dateien:
    • [li]INSTALL.EXE[/li][li]TESTFILE (keine Endung, 0kb)[/li][li]AUTORUN.INF (Inhalt: [autorun] open=install.exe)[/li]
    Die INSTALL.EXE wurde als WORM/Robobot identifiziert.
    Ich erinnere mich, dass ich in genau diesem Verzeichnis schonmal ganz ähnliche Dateien gefunden hatte (siehe http://www.wintotal-forum.de/index.php/topic,78671.0.html).

    Sobald ich heute nach Hause komme, lasse ich HijackThis (http://www.spywareinfo.com/~merijn/downloads.html), McAfee's Stinger ([red]keine Direktlinks[/red]) und Trend Micro's Syscleaner (http://www.trendmicro.com/download/dcs.asp) drüberlaufen. Gibt's sonst noch was, das ich tun könnte/sollte?

    PS: In dem Zuge ist mir aufgefallen, dass im AntiVir-Quarantäneverzeichnis eine START.EXE (bzw. jetzt START.EXE.VIR) liegt, die als DR/Bridge.A.2 identifiziert wurde - könnte es sein, dass die noch irgendwo im System aktiv ist oder kann ich das jetzt abhaken?
     
  2. http://www.wintotal.de/Spyware/index.php?Filter=I

    Schau mal bitte da - und klick mal bei Install.exe auf Info - da geht es zu Symantec mit wichtigen Hinweisen zur beseitigung - wichtig ist nämlich das vorübergehende Abschalten der Systemwiederherstellung.......
     
  3. Lies Dir das mal durch
    http://board.protecus.de/t18706.htm
    Der User hat sich mit Robobot noch eine ganze Menge anderes Zeugs eingefangen.
    Dein Plan, Hijackthis, etc. drüberlaufen zu lassen, ist schon mal sehr gut. Lösche vorher Deine temp-Dateien. Hier kannst Du Dein Log auswerten lassen http://www.hijackthis.de/ bzw. poste das Log. Spätestens dann wissen wir mehr!
     
  4. Kann abgehakt werden, ist durch Avpersonal in Quarantäne geschickt worden - kann gelöscht werden - gesammelt werden, was auch immer - ob sich derselbe Schädling unter anderem Namen evtl. noch in einer Wiederherstellungsdatei auf deinem System versteckt o.ä. kann nur ein Virenscan rausfinden - mit Stinger bist du da schon schon mal, was Würmer betrifft, gut beraten...
     
  5. möchte ich doch nochmal wiederholen.......
     
  6. Habe gestern HijackThis und Stinger drüberlaufen lassen - hier die Logfiles:

    Mit [!] gekennzeichnete Einträge habe ich entfernen lassen.

    Die ersten beiden Versuche habe ich abgebrochen, weil ich vergessen hatte, zuerst alle temporären Dateien zu löschen.

    Die Hinweise von Symantec habe ich mir durchgelesen, konnte aber keine der dort aufgeführten Symptome (Einträge in WIN.INI und SYSTEM.INI) ausmachen.

    Kann ich jetzt davon ausgehen, dass mein System wieder clean ist? Ich werde das entsprechende Verzeichnis aber in jedem Fall weiter beobachten.

    A propos: Wie kommt es, dass sich der Schädling gerade in diesem Verzeichnis (F:\disc images\) festgesetzt hatte? Kann man daraus Rückschlüsse auf mögliche Verursacher (z.B. Nero oder CloneCD , mit denen die Images dort erstellt wurden) ziehen?

    UPDATE:
    Mir ist gerade eingefallen, dass ich die Scans ja nur in meinem Benutzerkonto durchgeführt habe. Muss ich das mit den beiden anderen Benutzerkonten (beide mit Adminrechten) wiederholen?
     
  7. Nach einem Neustart machst Du jetzt noch einmal einen Scan mit HJT und läßt ihn noch einmal auswerten. Dann siehst Du, ob die Aktionen wirklich gefruchtet haben.
     
  8. Hmm ... hatte HJT und einige andere Scanner drüberlaufen lassen und alles Suspekte entfernt. Dann ließ ich das Ganze ein paar Wochen ruhen und habe eben nochmal in den Ordner geschaut - und schon wieder sitzt da eine INTEGITOR.EXE sowie eine Datei TESTFILE!
    Vorhin war das Geändert am-Datum noch beim 27.09., und als ich gerade nachgeschaut habe war es von heute, 16:45 Uhr - das macht mir Angst!
     
  9. Hallo! Ich bin zufällig hier reingestolpert, weil ich plötzlich auch install.exe's auf meinem Rechner gefunden habe. Komischerweise ist mein Rechner clean, ich hab die Infos aus dem Link weiter oben gelesen und keine dieser Dateien gefunden und auch keine dort beschriebene Manipulation der Registry oder Autostart-Informationen entdeckt.

    Aber: Die install.exe's hab ich in allen Verzeichnissen gefunden, die ich für das LAN (nicht für das Internet!) zum Lesen und Schreiben freigegeben hatte. Einmal war das die ganze Partition F: (F:\install.exe) und dann ein Verzeichnis (G:\TRANSFER\install.exe). Ich bin mir also nicht sicher, ob diese Dateien auf meinem Rechner erzeugt wurden, oder beim letzten Netzwerkabend bei Freunden übers LAN auf meinen PC kamen...