|
Ich spreche aus eiener Erfahrung->Rootkit Neuaufsetzten hilft nur dann etwas, wenn dein System einigermassen sicher ist. Es gibt Schädlinge die du durch das Formatieren nicht restlos weg bekommst. Wenn dein System bereinigt ist kannst es Neuaufsetzen. Gehe dabei genau nach der Anleitung vor. Antivir etc. schlagen bei vielen Fällen nur noch an, aber sind ab da an Machtlos. |
Nachdem nun habe drüberlaufen lassen hier das Ergebnis: Code: 11.01.2009 22:30:52Code: Bestimmte Objekte konnten nicht entfernt werden! Die ersten paar Einträge werden unten aufgeführt.Alle Objekte, die nicht entfernt werden konnten wurden der Liste "Löschen bei Neustart" hinzugefügt. Bitte starten Sie Ihren Rechner jetzt neu. Eine Logdatei wurde im Logdateiverzeichnis gespeichert.Während ich das hier tippe poppt im 2-Sekunden Takt der Avira-Guard auf und meldet diverse Trojaner. :headbang: Nachtrag: Ich habe nun auch F-Secure Blacklight drüber laufen lassen, aber hier wurde nichts gefunden. |
Neues von der Front: Heute morgen habe ich den Rechner im abgesicherten Modus gestartet und noch einmal mit Malewarebytes gescant: Code: Scan type: Full Scan (C:\|)Nach dem von Malewarebytes geforderten Neustart (normaler Modus) folgte direkt ein erneuter Scan: Code: 12.01.2009 11:52:04Was nun? Gibt es ein Tool? Nachtrag: Folgende Infos zu meinem Freund Rootkit.Agent gefunden: Das Ungeziefer Win32/Rootkit.Agent.DP Trojaner im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\ Windows\ System32) erzeugt folgende Dateien: * \ drivers\ runtime.sys * \ drivers\ ip6fw.sys * \ drivers\ netdtect.sys * wsys.dll * ws2_32.dll * \ drivers\ runtime.sys * \ drivers\ ip6fw.sys * \ drivers\ netdtect.sys * wsys.dll * ws2_32.dll Das Ungeziefer Win32/Rootkit.Agent.DP Trojaner Im Temporary-Verzeichnis (Temp) kann weiters folgende Dateien erzeugen: * svchost.exe * imapi.exe * svchost.exe * imapi.exe Der Schädling Win32/Rootkit.Agent.DP Trojaner erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis: * [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ ip6fw] * [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NetDetect] * [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ ip6fw] * [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NetDetect] Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern. Der Schädling Trojaner überlagert die Routine: IEXPLORER.EXE . E-Mail Nachrichten Das vorrangige Ziel der sich durch E-Mail Nachrichten verbreitenden Würmer ist, einen anderen Computer zu infizieren. Das erreichen sie durch die Erzeugung und das Abschicken von E-Mail Nachrichten. Die erzeugten E-Mail Nachrichten enthalten generell den Wurmcode, es kann aber auch vorkommen, dass selbst der Anwender des angegriffenen Computers über die in der Nachricht angegebenen Bezugsadresse ihn herunterlädt. Manche Würmer können E-Mail Nachrichten mit den verschiedensten Parameter generieren und abschicken. Der Schädling Win32/Rootkit.Agent.DP Trojaner generiert zur eigenen Verbreitung E-Mail Nachrichten und schickt seinen eigenen Code darin weiter. Um sich noch mehr verbreiten zu können, sammeln die sich über E-Mail Nachrichten verbreitenden Viren, bzw. Würmer E-Mail Adressen in dem angegriffenen Rechner. Diese E-Mail Adressen werden dann verwendet, um den Viren- bzw. Wurmcode weiterzuschicken. Fallweise werden die gefundenen Adressen auch zur Ausfüllung der Absenderfelder verwendet, um die Origin der Nachricht zu verfälschen. Der Schädling Win32/Rootkit.Agent.DP Trojaner durchsucht die Dateien mit folgender Erweiterung nach E-Mail Adressen: * adb * asp * dbx * eml * fpt * Vollständige Liste... * adb * asp * dbx * eml * fpt * htm * inb * mbx * php * pmr * sht * tbb * txt * wab * zurück... Der Aufbau der zusammengestellten E-Mail Nachrichten sieht wie folgt aus: Das Feld Absender Der Absender wird vom angegriffenen Rechner gesammelt, bzw. wurde von früher angegriffenen Rechnern gesammelt. Angriff über das Internet Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen. Das Schädlingsprogramm Trojaner versucht, sich an die Web-Adresse: 63.216.0.5 anzuschließen. Das Schädlingsprogramm Trojaner lädt Code von den folgenden Web-Adressen herunter und führt sie durch: * 208.66.194.241 * 66.246.252.213 * 67.18.114.98 * 208.66.194.241 * 66.246.252.213 * 67.18.114.98 Hintertür Die Viren, Würmer öffnen immer häufiger eine Hintertür auf dem infizierten Rechner. Dadurch können sie voll und ganz die Kontrolle über den Computer übernehmen, der Angreifer kann auf dem Computer machen, was er will: Er kann Anwendungen laufen lassen, Anwendungen stoppen, Dateien herunterladen, Passwörter, Zugriffscode entfremden Die heruntergeladnen (Download) Dateien werden unter folgenden Bezeichnungen gespeichert: * C:\ WINDOWS\ systwm32\ <random>_exception.nls * C:\ WINDOWS\ Temp\ ldrnt.bin * C:\ WINDOWS\ Temp\ <random>.exe * C:\ WINDOWS\ systwm32\ <random>_exception.nls * C:\ WINDOWS\ Temp\ ldrnt.bin * C:\ WINDOWS\ Temp\ <random>.exe Die vom Computer gesammelten Informationen werden an die Adresse: h**p://208.66.195.169:3154/post.cgi übermittelt. |
So wie es aussieht hast du dir folgendes eingefangen: http://www.sophos.de/security/analys...w32rbotde.html Klick für info. Du kannst die infizierten Daten per www.virustotal.com auswerten lassen. Programm-Leiste -> Suchen -> usw.. Allerdings nur um sicher zu gehen. Danach bitte folgendes: 1. Sofort die Verbindung zum Internet kappen. 2. Keine Daten retten! 3. Neuaufsetzen und anschliessend alle Kennwörter ändern. http://www.trojaner-board.de/51262-a...sicherung.html Gehe dabei genau nach der Anleitung vor. Halte dein System immer auf dem neusten Stand, auch den IE, zb. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board