|
sysrest.sys (Rootkit.Agent) von MBAM gefunden Ich habe vorgestern mal bei dem Rechner einer Freundin rein routinehalber MBAM laufen lassen. Viel kam dabei nicht heraus, allerdings machte mich der Eintrag sysrest.sys (Rootkit.Agent) stutzig. Habe dann mal ein wenig gegoogelt (u.a. auch bei Threatexpert reingeschaut) und gesehen, dass das wohl ein sehr übler Zeitgenosse zu sein scheint. Die Datei selbst konnte ich nicht mehr finden, allerdings jede Menge Registry Keys, die durch ihn verursacht werden sollen. Ich habe dann mal in einem Anflug von heroischem Selbsteifer und wider besserem Wissen Combofix ausgeführt, was dann fleißig zugeschlagen hat. Nun, das Log ist beigefügt. Bin nur froh, dass das Dingen überhaupt noch was auf der Festplatte gelassen hat... Besteht jetzt noch weiterer Bedarf? - Hal. P.S.: RSIT bricht bei der Ausführung von HijackThis mit einer Fehlermeldung ab. MBAM Log (Funde wurden gelöscht): Code: Malwarebytes' Anti-Malware 1.40Code: ComboFix 09-08-10.06 - wehner 13.08.2009 16:23.1.1 - NTFSx86 |
Hallo und Herzlich Willkommen! :) So wie es aussieht, das System extrem verseucht. Eine Säuberung ist sehr aufwendig. Es ist nicht sicher, ob es vollständig gelingt dies zu säubern und ob es danach auch wieder einwandfrei läuft. Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Dateien (aber vor dem zurückspielen zur Vorsicht kannst du dein System mit ein paar - Kostenlose Online Scanner - Anleitungen - prüfen) und setze dein System neu auf. Tipps: leitung: Neuaufsetzen des Systems + Absicherung gruß Coverflow |
Na, das nenn' ich doch mal prompte Bedienung. Eine ähnliche Antwort habe ich erwartet. Um ganz ehrlich zu sein, Coverflow, ich gehöre zu den gefühlten 90% die lieber den unsicheren und zeitaufwendigeren Weg der Bereinigung gehen. An mir soll es also nicht liegen. Ich habe aber vollstes Verständnis dafür, wenn DIR das zu aufwendig ist. Ist ja nicht so, dass ich in einem kostenlosen Support-Forum auch noch Ansprüche stelle. Falls du die Mühen nicht scheust, lass es mich wissen und ich plane die nächsten 2 Wochen für Scans ein. - Hal. |
Wir können es versuchen, aber ohne Garantie! Die einzige Voraussetzung ist lediglich, dass dein System auch `mitspielt`... 1. Malwarebytes' Anti-Malware: "No action taken."? - Funde nicht löschen lassen? 2. - Leere bitte alle Quarantäne Ordner (Antivirus bzw Anti-Spy-Programm etc) - CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 3. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Achtung!: Wenn Gmer nicht ausgeführt werden kann (ein Rootkit kann es verhindern): versuche gmer.exe umbenennen und dann ausführen Wähle eine beliebige Dateiname, die Endung soll *.com sein! 4. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread Achtung!: Wenn RootRepeal nicht ausgeführt werden kann (ein Rootkit kann es verhindern): versuche rootrepeal.exe umbenennen und dann ausführen Wähle eine beliebige Dateiname, die Endung soll *.com sein! 5. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw |
Sorry für die späte Rückmeldung, ich habe am Wochenende mit der Family einen Kurzurlaub gemacht. Was MBAM betrifft, die Funde habe ich löschen lassen. Ich habe erst das Log erstellen lassen, danach die Funde gelöscht (sehr schlau, ich weiß ;)). Wenn du möchtest, kann ich es aber nochmal durchlaufen lassen. Alles Weitere dann morgen. - Hal. |
MBAM-Log: Code: Malwarebytes' Anti-Malware 1.40Code: GMER 1.0.15.15020 [lwvoje17.exe] - http://www.gmer.netCode: ROOTREPEAL CRASH REPORTKaspersky zickt rum. Ich starte den Scanner, akzeptiere die Lizenzbedingungen, danach sagt mir der IE, dass die Seite das Add-On "Kaspersky Online Scanner" installieren möchte. Ich klicke in die entsprechende Zeile, dann auf "Dieses Add-On für alle Benutzer des Computers installieren", und lande dann wieder auf der Seite mit den Lizenzbedingungen, dieses Mal aber ohne "Akzeptieren"-Button, sprich: Endstation. Soll ich einen anderen Online-Scanner ausprobieren? - Hal. |
hi 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein Log schreibst Du:[code] hier kommt dein Logfile rein → dahinter:[/code] |
1) HijackThis-Log Code: Logfile of Trend Micro HijackThis v2.0.23) Filelist: Code: ----- Root ----------------------------- Code: Adobe Flash Player 10 ActiveX |
hi 1. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Zitat:
bei installation gleich sollte man das Tool Rootrepeal umbenennen, aber gut sollte meiner Meinung nach ohne auch gehen also entferne und lade es Dir erneut herunter. Ganz normal ohne umzubenennen starte erneut (laut Anleitung) -> Log posten |
Zitat:
Wenn ich RootRepeal einfach runterladen und ausführen soll, nun, genau das habe ich versucht. RootRepeal.rar runtergeladen, entpackt, Verzeichnis auf den Desktop kopiert und rootrepeal.exe gestartet... mit besagtem Fehler (s. Crash-Log). Danach in -Zufallsname-.exe oder .com umbenannt mit dem Problem, dass ein Treiber nicht geladen werden konnte. Soll ich das jetzt einfach nochmal genauso wiederholen? Ich bin nur ein wenig überrascht, da sich doch nichts Wesentliches geändert hat. Ich bin morgen gegen Spätnachmittag/Abend nochmal an dem Rechner, dann kann es versuchen. - Hal. |
Zitat:
|
So, ein wenig früher als erwartet. Der Eintrag Code: O24 - Desktop Component 0: (no name) - (no file)An der Situation mit RootRepeal hat sich nichts geändert. Beim Startversuch kommt derselbe Fehler. - Hal. |
hi 1. den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw das Malwarebytes deinstallieren Kaspersky Online Scanner - deinstallieren Gmer und Rootrepeal entfernen 2. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
3. reinige dein System mit Ccleaner:
4.
5. Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus: im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans 6. Gehe in den abgesicherten Modus [F8] (drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen) und versuche die Eintrag erneut mit HJT fixen: Code: O24 - Desktop Component 0: (no name) - (no file) |
1), 2) und 3) sind erledigt. 4) SASW-Log ist clean: Code: SUPERAntiSpyware Scann-ProtokollCode: -------------------------------------------------------------------------------- Hal. |
hi 1. Starte dein Mailprogramm, lösche den Inhalt aus der Inbox und leere dann den Papierkorb deines Mail-Programms: 1. Mail aus Inbox löschen 2. Mülleimer leeren 3. Inbox komprimieren - (im Menü Datei, Alle Ordner des Kontos komprimieren) Thunderbird - Ordner komprimieren 2. - Hast Du externe Festplatte und/oder USB Stick? Bitte immer anschließen, damit gescannt werden kann. - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert. - Downloade Dr. Web CureIt! Anleitung findest du unter folgendem Link: → *klick* |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board