|
Plagegeister aller Art und deren Bekämpfung: Rechner mit Bagle Rootkit Variante infiziert, brauche Hilfe!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.02.2008, 03:01 | #1 |
| Rechner mit Bagle Rootkit Variante infiziert, brauche Hilfe! Hallo, Jetzt hab ich mich doch angemeldet Ich hab mir vor ein paar Tagen nen Bagle Rootkit eingefangen ;( Kurz nach der Infektion ist der PC abgestürzt und hat rebootet, ab dem Zeitpunkt hat keine Antivirensoftware mehr funktionert, kein Malware Scanner einfach nichts mehr. Die Programmen liesen sich nicht mal mehr installieren. Ich habe 2 Tage lang versucht der Lage Herr zu werden, mit mittelmässigem bis gutem Erfolg. Nach mehrfachem ausführen des Comofixes und Löschung einiger Registry Einträge, dem löschen und blocken einiger dubiosen Dienste und Treibern ist es mir gelungen das System wieder einigermassen Stabil zu bekommen. Ich habe mir seit dem zig Virusscanner, Registry Cleaner und was weiss ich nicht noch alles besorgt. Das System scheint jetzt soweit frei von "erkennbaren" Viren oder Trojanern zu sein. In den abgesicherten Modus komm ich ja leider nicht mehr, auch nicht nach ausführen des Regfixes, der die Einstellungen dafür reseten soll. Gmer Scans und Hook Analyzer sehen auch wieder ganz gut aus, zumindest im Vergleich zu vorher. Aber das Mistvieh ist nach wie vor in irgend einer Art und Weise aktiv. Nach jedem Neustart bekomme ich 5 Kernel Hooks angezeigt die auf ein unbekanntes Modul zurückzuführen sind, was das auch immer heissen mag !? Den als der Virus noch sichtbar war, konnte man sehen das sich bestimmte .sys Treiber und Programme an aktive Prozesse geheftet haben. Naja die unhooke ich sogleich um dann mit den sysinternal tools nachzusehen ob wieder was an den autostarts verändert wurde, dort findet man ebenfalls nach jedem neustart kryptische einträge die aber keine Referenz haben, bzw. auf irgendwas linken was es entweder nicht mehr gibt, oder was unsichtbar ist. Auch wurden immer neue Treiber und Dienste mit kryptischen Bezeichnungen aktiviert, das habe ich aber jetzt so glaube ich unterbunden. Auch der Mcafee Rootkit Analyzer findet 30 versteckte Registry Einträge, die aber nach jedem löschen oder renamen wieder da sind. Mag sein das die zum Betriebssystem gehören !? Zu guter letzt meldet mir die Outpost Firewall seit Tagen Portscans, minütlich ... sind alles Single Port Scans, die ich erst gar nicht bemerkt hatte weil die firewall nicht fein genug eingestellt war. Sind immer die gleichen Ports 772,516,20132,57626,34560 usw usw. Ich frage mich nur woher die meine IP haben, da muss doch noch irgendwas auf meinem PC aktiv sein was meine IP funkt !? Die IP´s die die Portanfrage ausführen sind über die ganze Welt verteilt mit schwerpunkt USA Also ich fasse nochmal zusammen: - Bagle Rootkit eingefangen - grösstenteils selbst beseitigt - nach jeden neustart 5 unbekannte Kernel Hooks - 30 Registry Einträge die sich nicht löschen lassen wollen - kryptische aus ???? bestehende Einträge unter Boot Execute, die anscheinend auf keine referenz verweisen jedes mal neue nach dem neustart - Outpost Firewall meldet andauernde Portscans der besagten Port von unterschiedlichen IP´s Jetzt sagt mir nicht ich solld en Pc neu installieren ich brauch das Ding zum arbeiten ;( Abgesichterter Modus funktionier übrigens auch nicht mehr, weswegen ich extra meine C Platte entschlüsselt habe um mit dem Antivir Recue Boot Tool den Pc zu scannen, leider ohne Befund. Ne Menge Text, hoffe mir kann jemand weiterhelfen .. Ich bin kein Profi und eigentlich kotzt es mich ziemlich an 48 std vor dem Ding zu sitzen, aber Neuinstallation geht im moment echt nich, zumal die nich 48 std sondern 2 Wochen dauern würde .... Vielleicht ist da auch gar nix mehr aktiv auf dem Pc und ich bin inzwischen einfach nur paranoid geworden *lach* HILFEEEE !!! Geändert von DeVIce (29.02.2008 um 03:18 Uhr) |
29.02.2008, 03:24 | #2 |
/// Helfer-Team | Rechner mit Bagle Rootkit Variante infiziert, brauche Hilfe! Hi,
__________________gerade weil Du betonst, dass Du mit dem Rechner arbeiten musst, solltest Du ihn jetzt neu installieren. Das ist recht schnell erledigt und danach kannst Du dich auf den Rechner wieder verlassen. In diversen Fällen die ich die letzte Zeit verfolgt habe, wo Leute das umgehen wollten, haben sie lange am System herumgebastelt um dann festzustellen, dass es fertig ist. Ein Problem mit viel Mühe mehr schlecht als recht zurechtgeflickt, dann zeichnen sich schon die nächsten zwei ab. Am Ende haben sie dann doch formatiert, welch eine Zeitverschwendung. Zwei Wochen neu installieren, ich weiß ja nicht wie Du dabei vorgehst, aber das hört sich an, als ob Du die Bytes von Hand eintippst. Damit Du etwas planvoll vorgehst: http://www.trojaner-board.de/12154-a...sicherung.html Sollte organisiert an einem Tag erledigt sein, ich machs in wenigen Stunden, bin aber vielleicht auch etwas geübter. Ich hab jedenfalls keinen Zweifel, wenn Du gleich angefangen wärst, könntest Du dich jetzt schon wieder auf die Arbeit konzentrieren. Außerdem mal nachdenken, wo er her sein könnte. Überall dort, wo ich Ursachenforschung treiben durfte, bin ich auf P2P gestoßen, irgendwas mit "crack" oder "keygen" im Namen. Mag auch mal eine Ausnahme geben, die sind aber sehr selten. Falls meine Vermutung zutrifft: So was gehört überhaupt nicht auf Computer und noch viel weniger auf Computer, die man für die Arbeit braucht. Gruß, Karl |
Themen zu Rechner mit Bagle Rootkit Variante infiziert, brauche Hilfe! |
abgesicherten modus, bagle, brauche hilfe, c platte, einstellungen, firewall, frage, hook, infektion, infiziert, letzt, löschen, malware, mcafee, modul, neue, neustart, profi, programme, prozesse, registry, registry cleaner, rootkit, scan, software, system, treiber, trojaner, verweise, virusscan |