Hallo!

Ich bräuchte etwas Professionelle Hilfe beim entfernen eines Rootkits, den ich mir Testweise auf VMWare installiert habe...um Antivir 10 Free zu testen.

System:

Windows XP Pro, Antivir 10 Free

Und zwar hab ich mir diesen RK über eine Infizierte Website einfangen. Könnte sein, das der sich sogar über Java installiert hat. Antivir 10 konnte den Schädling nicht aufhalten und der hat sich dann schön ins System eingeschleust!

Habe mit Malwarebytes versucht...kein Erfolg...der RT wird nicht erkannt!
Habs auch mit Combofix versucht, der den Rootkit zwar erkennen konnt und einen Reboot wollte, aber der RK ist auch nach den paar entfernungen von Files immer noch aktiv!

Das erkenn ich daran, das die Internetverbindung der VM permanent an ist und auch Lustig in der Weltgeschichte rumfunkt, was ich über Netstat sehen konnte. Und das sind nicht nur 2-3 Verbindungen...

Hab auch versucht mit SuperAntiMalware was zu erreichen, aber da passiert genau soviel wie bei den anderen, nämlich kein erfolg!

AVZ4 konnte auch eine Rootkit Aktivität finden und zwar in der Datei svchost.exe und in einer NDIS.sys im Driver Verzeichniss...beide Dateien scheinen aber von MS zu sein, weil sie noch die Sig aufweisen.

Im Abgesicherten Modus hab ich auch keinen Erfolg den Täter zu entarnen und zu elimieren, mit keinem der Programme!

Um nicht blöd sterben zu müssen hoffe ich jetzt, das jemand von den Pro´s mit etwas mit hilfe zur seite stehen kann, damit ich mal weiss, wie ich den Rootkit enttarnen und auch entfernen kann! Sollte ja möglich sein!

Gruss BIOTEC

Entfernt....

War ein Rootkit.Protectus.BC in der Datei NDIS.SYS

Avira Rescue CD hat die zuerst mal lahm gelegt und den rest hab ich mit Combofix gescriptet und weg ist er!

Musste die Original NDIS.SYS wiederherstellen, da sonst keine Internetverbindung möglich war!