title image


Smiley Virus direkt nach BS-Neuinstallation - Hilfe! (viel Text)
Hallo zusammen,



seit zwei Tagen versucht mein GG eine Ersatz-Festplatte zu installieren, zu formatieren und Win2000 draufzuspielen. Es ist leider nicht möglich, da er bei diesen Versuchen immer wieder ein großes und für uns unlösbares Virenproblem hat. Ich versuche mal die verschiedenen Installationsversuche in 2. Versuchen zusammenzufassen und hier schriftlich nachzuvollziehen und hoffe, daß ich nichts durcheinander bringe und nichts vergesse.



1. Versuch

Noch nichts Böses ahnend, BS aufgespielt, dann Chipsatztreiber, AntiVir und noch ein paar der von meinem GG üblichen verwendeten Programme, dann online gegangen, um von Microsoft die Updates runterzuladen (bis auf SP4, weil er das mal irgendwo runtergeladen und auf CD gebrannt hat). Anschließend SP4 von der CD aufgespielt. Im weiteren Installationsverlauf plötzlich Alarm von AntiVir - hat RBot.MD gefunden. Großes Fragezeichen über unseren Köpfen, wo das wohl herkommen mag. Ich hatte die Vermutung, es läge vielleicht am gebrannten SP4, daß mein GG da irgendwie eine unsaubere Downloadseite erwischt hat. Kann aber nicht sein, da ich im folgenden bei Trendmicro die CD habe scannen lassen. Die ist aber sauber. Mein GG ging dann ebenfalls zu Trendmicro, dort wurden beim Scannen 5 oder 6 Bösewichter entdeckt. Leider weiß ich nicht mehr alle Namen, aber es waren rpc.exe und sysgut.exe darunter. Löschen laut Trendmicro nicht möglich, da die Datei verwendet wird. Löschen per Hand zunächst auch nicht möglich, da die Quelldatei geöffnet ist. Diese Dateien erkannte AntVir komischerweise aber nicht! Nach dem Löschen der rpc.exe aus den bei Ants angezeigten Prozessen ließ sich die rpc.exe per Hand löschen, ist jedoch nach einem Neustart offenbar wieder da. Eine weitere Datei, die uns gemeldet wurde, hieß ynouwi.exe.



2. Versuch

Anfangsteil wie oben, aber zunächst auf SP4 und sämtliche Programme außer AntiVir und Ants verzichtet und vorerst nur 6 der Updates runtergeladen. Dann zum Zwischenscan zu Trendmicro gegangen. Scannen war aber nicht möglich, Scan-Fenster ging zwar auf, es wurde aber nicht gescannt, statt dessen eine Meldung, es solle durch einen Neustart zuerst der Trojahner entfernt werden. Nach dem Neustart ging ein DOS-Fenster auf, in dem alle möglichen Virendatei-Namen durchliefen, davor stand jeweils execute Worm .... Danach schloß sich das Fenster wieder. Wieder ein großes Fragezeichen über unseren Köpfen. Ants findet rpc.exe und lokalisiert sie in System32. Sie ist dort aber nur nach dem 1. Versuch auffindbar gewesen, beim 2. Mal nicht mehr. Sie ließ sich mit Ants auch löschen, ist jedoch nach dem Neustart wieder da, jedenfalls gibt AntiVir plötzlich Alarm (warum nicht schon beim 1. Versuch???). Mein GG hat dann erstmal SP4 runtergeladen und ist dann nochmal zu Trendmicro. Diesmal funktionierte der Scan. Noch während des Scannens schlug plötzlich auch AntiVir Alarm.



Eben sind wir nochmal bei Trendmicro gewesen, der zwar anfing zu scannen, dann aber plötzlich nicht weiterlief. Wir haben ihn abgebrochen, um ihn neu zu starten, aber nun schlug AntiVir plötzlich wieder Alarm mit RBot84480. Und plötzlich ist auch in Ants die rpc.exe wieder da, die nach dem Hochfahren des PC vorhin nicht drin war. Ein erneuter Scanversuch war nicht möglich, da der PC die Systemprüfung nicht bestanden hat. Wie bitte??? Warum das auf einmal? Außerdem war das System plötzlich extrem verlangsamt. Also Neustart gemacht und erneut zu Trendmicro. Mitten im Scan wieder Alarm von AntiVir und auch von Trendmicro, gleichzeitig ein Popoup-Fenster (s. unten), bei dem man - wenn man den angegebenen Link eingibt, aber nur auf einer Seite landet, wo einem was verkauft werden soll. Im weiteren Verlauf des Scans dann mehrere weitere Alarme von AntiVir sowie extreme Verlangsamung des Systems bis kurz vorm Aufhängen. Und zum Schluß von Trendmicro die Meldung, daß das System nicht gesäubert werden konnte. Die Systemverlangsamung bleibt auch nach dem Scan bestehen und ist nur durch einen Neustart zu beheben.



Hier nochmal kurz einige der gemeldeten Dateien:

RBot84480

RBot.MM2

WORM_SDBotQO (1) in c:/winnt/system32/MSBB.exe

RBot.MD in c:/winnt/system32/rpc.exe (1)

RBot.LV in c:/winnt/system32/TFTP528

RBot.GT in c:/winnt/system32/TFTP804



Sorry, wenn das vielleicht alles ein bißchen konfus klingt und so lang geworden ist, aber wir sind mit unserem Latein wirklich am Ende und brauchen dringend eure Hilfe. Auf den ersten Blick sieht es ja fast so aus, als wäre Trendmicro selber der Verursacher. Ist das möglich??? Wir haben keine Vorstellung, wo mein GG sich den Kram sonst hätte einfangen können, denn er ist nach der BS-Installation nur bei Microsoft und Trendmicro gewesen, ansonsten auf keiner anderen Internetseite. Andererseits war ich mit meinem eigenen PC gestern auch bei Trendmicro und vor ein paar Tagen auch bei Microsoft, um Updates runterzuladen. Ich habe aber ein völlig sauberes System und die komische Meldung unten auf dem Pic habe ich auf meinem PC auch noch nie zu Gesicht bekommen.



Bitte dringend um Hilfe!
Viele Grüße

Hier geht's zu meiner Homepage




geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: