|
trojaner spambot und rootkit agent hallo! ich glaube, ich habe einige ziemliche probleme. 1.seit einiger zeit meldet mir mein antivir beim test und beim anschluss ans internet, dass sich der trojaner SpamBot.G im pfad C:/WINDOWS/system32/drivers/tcpsr.sys befindet.der virus wird auch geheilt (zumindest bestätigt dies die meldung von antivir) und landet in der virenquarantäne, taucht aber bei jedem neustart wieder auf. 2.bei einer meiner letzten anmeldungen habe ich ein upgrade für meinen internet explorer heruntergeladen.nach der installation wurde der computer neu gestartet und ich klickte auf die verknüpfung, aber es konnte keine verbindung zum internet hergestellt werden.es kam auch nicht die übliche meldung, dass die seite nicht angezeigt werden kann, wie es normalerweise der fall ist, wenn keine verbindung hergestellt ist.über den task-manager wurde auch nichts angezeigt.also ich konnte den vorgang nicht abbrechen.ich habe den internet explorer gelöscht und von cd neu installiert, allerdings ohne add-ons, da man diese ja nur herunterladen kann.nun kam ich auch ins internet und habe mir dann die add-ons heruntergeladen von der windowsseite.nach dem neustart tauchte jetzt wieder das gleiche problem auf und ich bekam von antivir die nachricht, dass nun das trojanische pferd rootkit.agent entdeckt worden ist.ich kann aber diesen virus nun weder heilen noch löschen und nur ignorieren.ich bin leider nicht sehr mit der technik von computern vertraut, wie man vielleicht schon erkennt ;) das zusätzliche problem ist halt, dass ich nun so über meinen laptop nicht ins internet komme.hängen diese probleme mit dem ersten trojaner zusammen? es wäre super, wenn ihr mir helfen könntet.bin nämich ziemlich ratlos. danke schonmal im vorraus. |
Hi, sag uns bitte welches Betriebssystem du hsat und poste ein Hijackthis log. lg myrtille |
hallo nochmal :) mein betribssystem ist windows XP und hier der hijackthislog: Code: Logfile of Trend Micro HijackThis v2.0.2danke schonmal für die schnelle rückmeldung. lg! |
Hi, abreite bitte das ab: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. lg myrtille |
hi. habe mir combofix heruntergeladen und in dem link zum leitfaden dafür steht, dass ich mir die xp wiederherstellungskonsole herunterladen soll.das habe ich getan, aber wenn ich die datei auf das combofix-piktogramm ziehe und den mausknopf loslasse, will das programm sofort starten und installiert mir nicht die konsole.ist es denn notwendig, diese zu installieren?will halt nichts falsch machen ;) lg! |
Hi, Erscheint ein grauer Balken bevor der Disclaimer kommt? Poste bitte den Inhalt von C:\combofix.txt Hast du die Datei umbenannt bevor du sie auf Combofix gezogen hast? lg myrtille |
nein, ein grauer balken erscheint nicht.habe sie auch nicht umbenannt.dann werde ich das mal tun.also kann ich trotzdem ruhig combofix durchlaufen lassen ohne die konsole vorher zu installieren?eine frage noch zu ccleaner: habe die analyse durchgeführt und wollte fragen, ob der auch meine ganzen songs und videos löscht, da er sie angezeigt hat.würde die nämlich ungerne verlieren ;) kann ich combofix auch erstmal ohne ccleaner vorher benutzt zu haben starten? ich weiß, ich hab echt nicht viel ahnung.danke schonmal für deine geduld. lg! |
Hi, CCleaner zeigt dir doch am Schluss an, was er löschen möchte. Da kannst du überprüfen, ob deine Musikdateien betroffen sind. Ich habe es schon einmal erlebt, dass ein Programm ungefragt Musikkollektionen gelöscht hat und habe nie herausgefunden wodurch das verursacht wurde, von daher will ich mal nicht kategorisch "nein" sagen. Möglich ist alles. ;) Hättest du zur Not ein Windows-CD zur Hand? lg myrtille |
ok, ich werde mir einfach meine musikdateien u.ä. auf ne externe festplatte ziehen, damit wirklich nichts passiert.das wäre das schlimmste :) studiere nämlich musik (wie man an meiner ahnung von computern erkennen könnte :) ) leider habe ich eine windows cd hier nicht zu hand.wegen der wiederherstellungskonsole, oder?bin bald aber wieder in meiner studienstadt, da müsste ich sie haben.wäre dann nächste woche montag wieder da.wäre es schlimm, so lange noch zu warten???beeinträchtigungen selbst habe ich so am laptop nämlich nicht.wäre nur nicht schön, wenn dritte zugriff hätten.könnte ich denn combofix trotz allem durchlaufen lassen?dann könnte ich dir den log wenigstens schonmal schicken.vielen dank für deine geduld ;) lg gagsman!!! |
Hi, die Sache ist wie folgt: Gelegenltich, ganz gelegentlich geht etwas schief, etwa weil auf dem Rechner ungewöhnliche Einstellungen vorgenommen wurden, oder weil Malware es schafft die Programme zu manipulieren. Wenn das passiert und das Betriebssystem danach von sich aus nicht mehr starten kann, dann braucht man die Recoverykonsole um die letzten Handlungen von CF rückgängig machen zu können. Solltest du jetzt also CF ausführen und etwas schiefgehen, dann müsstest du bis Montag warten, damit wir das ganze wieder geradebiegen können. Alternativ kannst du auch am Montag neuaufsetzen. Ist wahrscheinlich schneller und wenn du deine Daten eh auf externen Medien gesichert hast, auf jedenfall die "sauberste" Lösung. Der Rechner sollte definitiv vom Internet getrennt bleiben und du solltest auch unbedingt all deine Passwörter von einem sauberen Rechner aus ändern. Wenn ich ehrlich bin, halte ich Neuaufsetzen für die einzige wirkliche Alternative. Ich Wollte mich vorher aber noch vergewissern, dass der befürchtete Befall wirklich auf deinem Rechner ist. lg myrtille |
ok.danke für deine schnelle antwort.also ne externe festplatte habe ich zwar leider selbst nicht, könnte sie mir aber für den vorgang leihen.also könnte combofix selbst nicht die trojaner entfernen?avg meldet mir auch bei jedem neustart den fund vom rootkit.agent.av und spambot, wobei ich den rootkit nur ignorieren kann.der spambot lässt sich zwar heilen,ist beim nächsten mal halt wieder da.wollte eigentlich neuaufsetzen vermeiden, aber da bleibt mir wohl keine andere wahl :) was könnte denn theoretisch passieren, wenn sie drauf blieben?nur aus interesse, werde definitiv neuaufsetzen! vielen dank für deine ehrenamtliche hilfe! lg gagsman |
Hi, nen Spambot ist in der Regel ein Bot, der über deinen Rechner Spammail verschickt, je nachdem wie aktiv dein Internetprovider gegen solche Sachen vorgeht, wird die früher oder später der Internetzugang gesperrt, bis du die Sache geregelt hast. Sowas ist ärgerlich, aber man bekommt selbst wenig davon mit. Höchstens eine Verlangsamung der Internetverbindung. Problematischer ist der Kollege, der dich mit diesem Eintrag gesegnet hat: Zitat:
Der Rootkit.Agent gehört vermutich auch zum Zbot, da dieser Rootkittechnolige nutzt um sich vor Windows und wenn möglich auch Antivirenscannern zu verstecken. Außerdem ist davon auszugehen, dass die bisher installierten Trojaner/Bots/Malware weitere Malware nachlädt und auf deinem Rechner installiert. Wenn Combofix läuft, würde es auf jedenfall einen guten Teil der Infektion entfernen. Ob es alle Befälle entfernt, lässt sich unter solchen Zuständen aber eigentlich nicht sagen, weswegen ich das Neuaufsetzen empfehle. lg myrtille |
ok, vielen dank dafür.dann werde ich lieber neuaufsetzen.denn das hört sich wirklich nicht allzu gut an.werde mir dabei auch lieber helfen lassen :) aber danke für deine tipps und antworten.fands selbst schon komisch, dass ich erst nur den spambot hatte und nach einiger zeit noch der rootkit dazu kam.dankeschön! lg gagsman! |
hi nochmal. eine frage habe ich noch.wie kann ich das überprüfen? zitat: "Wenn du eine Webseite hast, auf die du vom infizierten Rechner zugegriffen hsat, solltest du überprüfen, dass deine Webseite "sauber" ist und nicht auf Malwareseiten verlinkt" ansonsten hast du noch einige tipps für mich wegen des neuaufsetzens?vor allem, weil ich einige programme und dateien nicht verlieren möchte.das wars dann jetzt aber auch :) vielen dank. lg gagsman |
Hi, zum Neuaufsetzen haben wirl ne Anleitung, die eigentlich sehr vollständig ist: klick mich Das meiste wird darin erklärt: Sichern sollte man nur Dateien die nicht ausführbar sind. Also Musik, Filme, Dokumente und so. Auf jedenfall das SP2 (am besten gleich SP3) von nem sauberen Rechner besorgen und installieren, bevor Kontakt zum Internet hergestellt wird. Deine Webseite kannst du einfach überprüfen, indem du dir deine Seiten herunterlädst und dann schaust ob dort etwas verändert worden ist. Wenn du noch ein Backup deiner Seite hast, dann kannst du auch einfach alles auf deinem Webspace löschen und dein Backup hochladen. (Das dann nachdem du das Passwort geändert hast und von dem sauberen Rechner aus) Dann sollte die Seite eigentlich sauber sein. lg myrtille |
ok!dann hab ich ja noch ein bisschen arbeit vor mir ;) werde diese seite auf jeden fall weiter empfehlen.falls noch irgendwas sein sollte, melde ich mich nochmal.ansonsten schonmal vielen dank!!!:party: :) lg gagsman |
hallo! ich melde mich jetzt doch noch einmal.da ich jetzt wieder in meiner studienstadt bin und auch meine windowscd hier habe, habe ich doch noch einmal combofix durchlaufen lassen, wie auch ccleaner zuvor.ein mitbewohner hatte mir spybot empfohlen, welches ich auch nochmal zuvor durchlaufen lassen habe.ich hoffe, dass war ok.wollte nur nochmal alles durchgehen, vlt muss ich ja doch nicht aufsetzen ;) hier ist die combofix log: Code: ComboFix 08-09-22.06 - Kagi 2008-09-23 23:29:11.1 - NTFSx86lg gagsman |
ach und hier nochmal ein frisches hjt-log: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, nein natürlich musst du nicht neuaufsetzen, niemand muss das, dabei hättest Du das nun schon mehrfach fertig haben können. Es ist nur eine Empfehlung, denn da zitiere ich mich doch gerne selber: Zitat:
|
konnte es leider vorher nicht erledigen, da ich die xp-cd nicht zur hand hatte, sondern alles in meiner studienstadt liegt, wo ich nun wieder bin ;) deshalb wollte ich vorher nochmal die empfehlungen wie combofix durchlaufen lassen und ein statement dazu bekommen.falls wirklich nichts geht, setze ich natürlich neu auf!lg gagsman |
Ein Statement ist schwierig und kann kaum mehr sein als "im Kaffeesatz lesen". Die Datei ntos.exe selber lässt isch natürlich entfernen (sogar sehr einfach) aber sie hat jemand anderem einen Remotezugriff auf dein System gegeben. Er war also Administrator. Was hat er gemacht? Nur eben schnell deine Passwörter abgegriffen? Oder sich für die Zukunft eine weitere Tür ins System geflickt? Oder gleich ein paar? Kann man nicht so genau sagen. Um garantierte Sicherheit zu schaffen gibt es da nur eins. Man kann das Restrisiko mit aufwändigen Untersuchungen vielleicht noch etwas verkleinern, aber da hast Du die Kiste schneller neu installiert und dann ein Risiko exakt bei Null. Hängt sicher auch davon ab, was Du auf dem Rechner machst. Wenn Du nur Solitär spielst, sind die Ansprüche natürlich kleiner. Bei Ebay, Onlinebanking, usw. umgekehrt besonders groß. |
ok, danke für deine antwort.dann werd ich das neuaufsetzen mal in die hand nehmen :) onlinebanking und ebay hab ich glücklicherweise nicht betrieben, nur mails, myspace etc. danke nochmal! lg gagsman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board