Ok, jetzt kann ich es mir doch nicht verkneifen einen Link zu Symantec zu posten.
Man beachte:

Zitat:

Damage Level: Medium

Bata

@Christian X: Wenn du noch nicht neu aufgesetzt hast (also Systempartition formatiert) könnte man ja mal nachschauen welche streams der noch hinterlassen hat.

1. Besorg dir Streams und entpacke die streams.exe am besten nach c:\windows\system32
2. Ruf dann die Shell mit cmd.exe auf und tipp ein

streams -s c: > c:\streams.txt

mit Enter bestätigen.

3. Schau in die Datei c:\streams.txt und poste dessen Inhalt.

Ok hab den Befehl eingegeben und in der streams.txt Datei unter C:\ steht nun folgendes


Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com


C:\WINDOWS\system32\.:
:huy32.sys:$DATA 55004
...

...

..

Hm sagt mir jetzt nicht all zu viel, was soll ich jetzt tun ? Gibt es ein Antivir der mir die alternativen Datenströme dieser Datei zurückverfolgen und löschen kann? Oder steht da schon auf welche Datei das nun verweißt...werd da nicht ganz schlau drauß.

Mit dem fast gleichen Befehl kannst du alle alternativen Streams löschen lassen:

streams -s -d c: > c:\deleted.txt

Poste dann mal den Inhalt der deleted.txt. Mach dann mal einen Neustart und schau erneut mit dem ersteren Befehl

streams -s c: > c:\streams.txt

nach ob ein Schädling neue Streams angelegt hat, poste dann also den Inhalt der streams.txt.

Inhalt von "deleted.txt" :


Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com


C:\WINDOWS\system32\.:
Error deleting :huy32.sys:$DATA:
Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.


...

...

..

Sieht so aus als hätte das System die Datei nicht finden können...

Streams.txt sieht jetzt noch immer so aus:


Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com


C:\WINDOWS\system32\.:
:huy32.sys:$DATA 55004
...

...

..

Okay, wir sollten das Experiment abbrechen, das Teil lässt sich nicht löschen, mir gings eigentlich auch nur darum, ob man noch weitere ADS findet in deinem System - folge dem schon von meinem Vorredner verlinkten Artikel zum Neuaufsetzen.

Och nö wurde doch grade so spannend !
Gibts denn kein Antivirusprogramm der dieses Rootkit beseitigen kann?
Auf der Symantec-Seite, die BataAlexander gepostet hat, heißt es es wäre mit ihrem Programm möglich den Virus zu löschen, nur bräuchte ich jetz sowas wie ne Trialversion, da ich keine Lust habe schnell ma dafür zu bezahlen.

Glaub nicht alles, was auf so Seiten steht.
Die Chancen, dass das Programm den Virus gar nicht erst findet stehen schon sehr hoch und dann kann es den auch nicht entfernen.

Meine Erfahrungen mit Symantec bzgl Trojanern ist eher schlecht. Wenn sie mal was finden, dann sind sie nicht in der Lage es zu entfernen. Egal was behauptet wird.

lg myrtille

Ja das is schon klar, aht jetzt vielleicht ein bisschen leichtgläubig geklungen aber ich mein sie hätten sogar die genauen Updates für das Programm genannt die dafür nötig sind, also hab ich gedacht es könnte ja stimmen
Aber wenn denn wirklich keiner nen Tool zum entfernen von speziell dem Virus kennt, sollte man den Thread mal als abgeschlossen ansehen. Also mach ich mich mal ans Backupen, Formatieren und neuinstallieren ran.
Nomma Danke an alle für die Hilfe

Zitat:

Zitat von Christian X.

Auf der Symantec-Seite, die BataAlexander gepostet hat, heißt es es wäre mit ihrem Programm möglich den Virus zu löschen,

Die war aber mehr als Scherz in jeglicher Richtung zu verstehen.

Bata