Lade die Datei bei http://rapidshare.de/ hoch. Und poste dann den Downloadlink, der Dir unten auf der Seite angeziegt wird.

So, hab die datei mal hochgeladen.
Wer sich die mühe machen will............

http://rapidshare.de/files/13098421/rootkitlog.txt.html

OK, erstmal das ganze im abgesicherten Modus versuchen:

Diesen Fix runterladen, entpacken und dann in den abgesicherten Modus wechseln und die RunThis.bat ausführen Enpacke die Datei am besten nach C:\ ).
http://swandog46.geekstogo.com/aproposfix.exe

Danach nochmal RKR laufen lassen und berichten. Sollte das nicht gefunzt haben, werden wir über die Recovery Konsole was versuchen müssen.

Kleine Anmerkung:

Wenn man mit Cracks rummacht, braucht man sich nicht wundern, wenn es einem das System zerschiesst!

Danke für die Anmerkung, bekenne mich schuldig

Hallo,
@MM
wie kommst du auf Apropos? Für mich sieht das eher so aus als ob treibgut alle möglichen Anwendungen im Hintergrund hat laufen lassen wärend dem scan.
@treibgut
Kannst du den Scan mit Rootkitrevealer noch mal wiederholen und währendessen kein anderes Programm laufen lassen.


Grüße wildone

@Wildone

Das mit Apropos ist nur eine wage Vermutung. Der Backdoor, der die sysbus32 mitschleppt, taucht wohl auch häufiger mit Apropos zusammen auf. Ob man das ganze überhaupt noch retten kann, damit der TO vernünftig seine Daten sichern kann, ist ne andere Frage.

Hallo,
ja jetzt sehe ich die Datei:
C:\WINDOWS\system32\drivers\sysbus32.sys
auch, ob das etwas mit Apropos zu tun hat weiß ich nicht, kenne mich bei der Beseitigung von Rootkits nicht besonders gut aus, da ich da aus Prinzip zur Neuinstallation rate.


Grüße Wildone

Zitat:

Zitat von Wildone

... da ich da aus Prinzip zur Neuinstallation rate.

Full ack. Aber so wie es scheint, hätte der TO derzeit nicht die Möglichkeit, seine Daten zu sichern. Nur wie gesagt, ob man das überhaupt wieder hinbekommt, ist ne ganz andere Frage. BTW ich glaube nicht, dass die Einträge durch Hintergrundprozesse zustande kommen. Dies würde afaik durch "Data Mismatch" gekennzeichnet sein, aber nicht durch "Hidden from API".

Es koennte das sein. Ich habe es heute bekommen:

C:\DOKUME~1\Ralf\LOKALE~1\Temp\Rar$DI01.906\sysbus32.sys Infected SpamTool.Win32.Mailbot.al

Waere interessant zu erfahren was Blacklight findet.
http://www.f-secure.com/blacklight/try.shtml

@raman

Könnte....aber ein Mailbot entzieht Dir normaler weise nicht die Adminrechte und versteckt alles vor der Windows API. Ich fürchte da ist mehr dabei.

...zudem ist das ein Backdoor, zumindest laut Sophos.

Naja, eins nach dem anderen. Erst das beseitigen, was man findet!

Blacklight koennte da nuetzlich sein. Das Rootkit scheint was zu verstecken, was mit "S" beginnt und sich in bestimmten Ordnern befindet.

Dienste (wie die sysbus 32.sys) eignen isch sehr gut als start fuer ein Rootkit....

Zitat:

Zitat von raman

Naja, eins nach dem anderen. Erst das beseitigen, was man findet!

Ich warte jetzt erstmal bis sich der TO wieder gemeldet hat. Derzeit ist das große Problem, dass nur von der Recovery Console aus vernünftig gearbeitet werden kann. Wobei "vernünftig" da nicht das Wort der Wahl ist.

Zitat:

Blacklight koennte da nuetzlich sein. Das Rootkit scheint was zu verstecken, was mit "S" beginnt und sich in bestimmten Ordnern befindet.

Wenn der TO wieder im Land ist, kann er uns mal sagen, ob es einen Benutzernamens "S" gibt. Irgnedwie mag ich nicht an die Theorie mit dem alles-hinter-S-verstecken glauben. Da liegt soviel unnützes Zeug drin. Kann natürlich sein, dass per Remote Shell jemand das komplette Userverzeichnis versteckt hat, um den TO vom Sichern und damit auch vom Neuaufsetzen abzuhalten.

Zitat:

Dienste (wie die sysbus 32.sys) eignen isch sehr gut als start fuer ein Rootkit....

Ja.

so da bin ich wieder

Mein Benutzer ist "S"

Datei is hochgeladen. Nur der Explorer lief im hintergrund.
rootkitlog2.txt

und ich verstehe nur noch Bahnhof, also bitte der reihe nach

Aso, noch was, was bedeutet TO ?

OK, das hat gar nichts gebracht.

Textdokument erstellen. Die folgenden Zeilen einfügen und als "del.bat" (mit Anführungszeichen) abspeichern. die Datei nach C:\ kopieren und von odrt aus in der recovery console ausführen.



del /F /S /Q %TEMP%\*.* >> C:\delbat.log
del /F /S /Q %TMP%\*.* >> C:\delbat.log
del /F /S /Q %SystemRoot%\Temp\*.* >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temporary Internet Files\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temp\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Cookies\*.*" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\Eigene Downloads\*.*" >> C:\delbat.log
del /F /S /Q "C:\WINDOWS\system32\drivers\sysbus32.sys" >> C:\delbat.log
del /F /S /Q "C:\Dokumente und Einstellungen\S\*.*" >> C:\delbat.log

Anschliessend den Inhalt der delbat.log posten.

Du weisst schon, das das

del /F /S /Q "C:\Dokumente und Einstellungen\S\*.*" >> C:\delbat.log

den kompletten User loescht??