|
win32.rootkit.agent - Hilfe Hallo, vor einer Woche hat sich bei mir Ad-Aware mit dem Hinweis auf installierte Spyware gemeldet - "win32.rootkit.agent" sei entdeckt worden. Auch nach mehrmaligem scannen und beheben war es nicht möglich den Rootkit zu entfernen, auch Kaspersky führte zu keinem Erfolg. Ich habe mir daraufhin ComboFix heruntergeladen und im abgesichterten Modus ausgeführt. Start war erst nach Umbenennung möglich, scheinbar hat der Kit den Namen geparst und ein starten verhindert. [Umbenannt auf -a] Einige Dateien wurden von ComboFix entfernt und ein logfile erstellt, kann mir jemand bzgl. der Analyse helfen, auch wenn dieses Forum eigentlich "HiJackThis" und "Malwarebytes Anti-Malware" empfiehlt. Wenn ja, poste ich es hier oder macht es Sinn "HiJackThis" und "Malwarebytes Anti-Malware" nochmal über das System laufen zu lassen. Vielen Dank schon im vorraus. |
Hallo und Herzlich Willkommen! :) - Poste bitte alle Scanbericht die Du hast (ComboFix usw) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen : Achtung!:: gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
Hallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: ComboFix: Code: ComboFix 09-09-01.04 - * 01.09.2009 23:23.1.1 - NTFSx86 |
HHallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: HijackThis 2.0.2 Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: Filelist: Code: ----- Root ----------------------------- |
Hallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: CCleaner: Code: AAVUpdateManagerCode: GMER 1.0.15.15077 [umbenannt.com] - http://www.gmer.net |
hi Zitat:
1. - den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw - Entferne Gmer - CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 2. - Falls noch nicht getan hast (ansonsten updaten -> erneut laufen lassen-> Log posten): - Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5.
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board