Hallo miteinander!
Ich bin noch neu (hier) und brauche mal Eure Hilfe/Info:
Weil Avira AntiVir immer nach dem Starten des Rechners deaktiviert war, hab ich es mal runtergeschmissen, und AVG Small Business Solution aufgespielt.
Beim Komplett-Check findet AVG jetzt den Trojaner Rootkit-Pakes.U und zwar in der C:\WINDOWS\system32\drivers\atapi.sys
Laut AVG steht diese auf der Whitelist und darf nicht entfernt werden, da es eine Systemdatei ist.

Wie kriege ich denn dann den Trojaner weg?

Hängt das mit diesem Trojaner zusammen, dass das AntiVir beim Hochfahren trotz anderslautender Konfiguration immer deaktiviert ist, oder kann das mit noch etwas anderem zusammenhängen (hab ich wieder irgendwo ein Häkchen vergessen?!?)?

Vorab schon mal HERZLICHEN DANK!!!!!

HAZwiebel

Hallo und

Ich vermute einen Fehlalarm, aber das sollten wir prüfen. Werte die Datei

C:\WINDOWS\system32\drivers\atapi.sys

bei Virustotal.com aus und poste bitte den Ergebnislink.

Danach mal diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Arne,
sorry, dass ich mich erst jetzt melde, mir wächst grade die Arbeit über den Kopf, aber immer noch besser, als rumsitzen und Däumchen drehen.

Hier schon mal der Ergebnislink von virustotal.com:
h**p://www.virustotal.com/de/analisis/6edd829f15d83c906520c98cfc57de8d38c51fe348750ec2d0e6d4daada0aa82-1257207180

Und hier noch der Report von Malwarebytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3090
Windows 5.1.2600 Service Pack 3

03.11.2009 02:31:34
mbam-log-2009-11-03 (02-31-34).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 177122
Laufzeit: 40 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\LAN-DATEN\Cruzer-Stand 2009-10-20\Downloads\zu_OpenOffice etc\hcf1718.exe (Rogue.Installer) -> Quarantined and deleted successfully.
G:\Downloads\zu_OpenOffice etc\hcf1718.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.


Die Logfilesvon RSIT, bzw. die Links dahin reiche ich schnellstens nach!!

Schon jetzt aber HERZLICHEN DANK!

LG HAZwiebel

Hallo!
Und hier nun endlich noch der Link zu den rsit-Logfiles:

h**p://www.file-upload.net/download-1987608/rsit.zip.html

Ich hoffe, ich habe das alles richtig "abgearbeitet", sonst schreit mich an!

LG HAZwiebel

Sag mal, ist das rein zufällig ein Bürorechner? Wenn ja, solltest Du das lieber mit den Kollegen aus der EDV klären. IdR bereinigen wir hier nur Privatrechner.

Hallo!
nein ist kein Bürorechner (mehr)!
War einer, wurde aber durch notebook ersetzt und ist daher jetzt mein "Heimrechner" zuhause und wird mittlerweile "nur noch" von Frau und Kinder zum Surfen benutzt. Deswegen weiß ich ja auch leider nicht wirklich, was damit alles "gemacht" worden ist!?
Gruß HAZwiebel

Noch was fällt mir grad dazu ein:

1. "ursprünglich" ist der Rechner gebraucht gekauft worden, was da ganz früher drauf gelaufen ist, weiß ich nicht.

2. beim Durchlauf von Malwaerbytes hatte ich meine USB-Stick eingesteckt, weil das in dem Text als Hinweis so stand. (den nutze ich gelegentlich, um mir zuhause das Programm für den nächsten Tag auszudrucken (Kontaktdaten, Routen etc.)

Kann das da mit zusammenhängen?

Das "Problem" habe ich selbst bei so einer Gelegenheit (allerdings bevor ich meine USB-Stick eingehängt hatte) bemerkt, ich kann aber wie beschrieben leider nicht genau sagen, wann es wirklich das erstemal aufgetreten ist!

LG HAZwiebel

Zitat:

Zitat von HAZwiebel

Hallo!
nein ist kein Bürorechner (mehr)!
War einer, wurde aber durch notebook ersetzt und ist daher jetzt mein "Heimrechner" zuhause und wird mittlerweile "nur noch" von Frau und Kinder zum Surfen benutzt. Deswegen weiß ich ja auch leider nicht wirklich, was damit alles "gemacht" worden ist!?
Gruß HAZwiebel

Kurzum: Diese Windows-Installation ist wohl schon älter, müffelt schon
Und wahrscheinlich noch die gleiche, mit der im Büro gearbeitet worden ist. Den Admin hätte ich erschossen, der einen Büro-PC so weitergeben/verkaufen würde, ohne die Platte zu wipen!! Auf den meisten Büro-PCs sind sensible Firmendaten drauf, die nicht in fremde Hände gelangen sollten.

Außerdem macht es keinen Sinn, man will keine gebrauchte Windows-Installation von möglicherweise mehreren Benutzern mit rumschleppen, da sind Probleme und so vorprogrammiert. Und bei Bürorechnern werden nicht selten irgendwelche Spezialanpassungen gemacht, damit dieses und jenes Spezialprogramm darauf läuft.

Deswegen und auch wegen des Malwarebefalls wäre eine Neuinstallation deutlich sinnvoller.

Hallo Cosinus!
Danke für den Tipp, und auch für den Link auf Eure Seite "Neuinstallation".

Die Neuinstallation dauert ja sicher eine Weile, sodass ich mich nicht sofort darum kümmern kann, daher folgende Frage, die du mir vielleicht bitte noch beantworten kannst:

Ist dieser Trojaner denn jetzt aktiv, oder nicht? Oder evtl. doch ein Fehlalarm?

Anders gefragt, ist der Rechner sicher, insbesondere auch z.B. bei Homebanking? (Ich benutze dafür Firefox, und Mails bearbeite ich mit Thunderbird)

Nochmals herzlichen Dank, dass du dich um mein Problemchen so schnell gekümmert hast! Ich finde das eine Super Sache, die Ihr hier leistet für so für so sträflich "unterinformierte" Laien wie mich!

LG HAZwiebel

Onlinebanking würde ich mit der Kiste vorerst nicht machen.
Die Neuinstallation solltest Du nicht auf die lange Bank schieben. Wie ich schon erwähnt habe, setzt man auch bei Besitzsechseln den PC grundsätzlich neu auf.