Ich werde den Trojaner Rootkit.Win32.Agent nicht los!!! |
||
---|---|---|
#0
| ||
26.06.2007, 10:35
Member
Themenstarter Beiträge: 14 |
#16
Im abgesicherten Modus bietet er mir keinen Reiter "Systemwiederherstellung" an. Nur unter "Erweitert, Starten und Wiederherstellen" findet man etwas zum Thema Systemwiederherstellung, jedoch nicht den von dir angesprochenen Haken. Was soll ich machen? Neustart im normalen Modus ausführen, dann Häkchen setzen und wieder neu starten? Das bringt wahrscheinlich nichts, oder?
|
|
|
||
26.06.2007, 10:37
Ehrenmitglied
Beiträge: 6028 |
||
|
||
26.06.2007, 11:15
Member
Themenstarter Beiträge: 14 |
#18
So, hier nun der Report von SDFix:
SDFix: Version 1.88 Run by Benning on 26.06.2007 at 10:46 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\system32\5.tmp - Deleted Removing Temp Files... ADS Check: Checking C:\WINDOWS C:\WINDOWS No streams found. Checking C:\WINDOWS\system32 C:\WINDOWS\system32 No streams found. Checking C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe No streams found. Checking C:\WINDOWS\system32\ntoskrnl.exe C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "F:\\Programme\\ICQLite\\ICQLite.exe"="F:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "F:\\Programme\\Phone\\Skype.exe"="F:\\Programme\\Phone\\Skype.exe:*:Enabled:Skype" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Listing Files with Hidden Attributes: C:\Dokumente und Einstellungen\All Users\Dokumente\~WRL0003.tmp C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp C:\Dokumente und Einstellungen\Benning\Eigene Dateien\ICQ Lite\244326187\Rosi_278624908\~WRL0001.tmp C:\Dokumente und Einstellungen\Benning\Eigene Dateien\ICQ Lite\244326187\Rosi_278624908\~WRL0003.tmp C:\Program Files\InterActual\InterActual Player\iti32.tmp Listing User Accounts: Administrator ASPNET Benning Gast Hilfeassistent SUPPORT_388945a0 Der Befehl wurde erfolgreich ausgefhrt. Finished |
|
|
||
26.06.2007, 11:36
Ehrenmitglied
Beiträge: 6028 |
||
|
||
26.06.2007, 11:42
Ehrenmitglied
Beiträge: 6028 |
#20
Installiere auch ein Anti Spyware scanner AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm Und ein Cleaner wie ATF http://board.protecus.de/t20181.htm __________ MfG Argus |
|
|
||
26.06.2007, 11:45
Member
Themenstarter Beiträge: 14 |
#21
Alles gut??? Also soll ich nochmals mit Kaspersky scannen und checken?
|
|
|
||
26.06.2007, 11:49
Ehrenmitglied
Beiträge: 6028 |
||
|
||
26.06.2007, 15:32
Member
Themenstarter Beiträge: 14 |
#23
WOW!!! Es scheint alles weg zu sein! Kein Fund bei Kaspersky! Ihr seid wirklich die Besten! Vielen Dank!
Bluebird |
|
|
||
26.06.2007, 15:34
Ehrenmitglied
Beiträge: 6028 |
||
|
||
28.06.2007, 06:46
Member
Themenstarter Beiträge: 14 |
#25
Guten Morgen!
Hab mich leider zu füh gefreut. Hab gerade den Rechner angeschmissen und 48 "Probleme" mit Kaspersky gefunden: Im Anhang findet ihr den Bericht von Kaspersky. Was ist zu tun? Bluebird Anhang: Kaspersky_070628.txt
|
|
|
||
28.06.2007, 14:12
Member
Beiträge: 694 |
#26
Achtung, das hier ist ein Blindflug!
Da waren noch Rest drauf (Trooper) oder Du bist bereits im Visier der Hacker, die Dir über Windowsschwachstellen jedesmal wenn Du am Netz bist, was unterschieben! Da kein HJ-Log da ist, wird Windows u. U. über fehlende Programme, Treiber etc. mosern oder eventuell gar nicht mehr booten wollen... -> Auf eigene Gefahr! Ich habe weiterhin nur die wichtigsten "bösen" Files aufgenommen (Fleißarbeit, wenn Du willst erweitere das oder lass es die Scanner erledigen). Abgesicherter Modus, keine Verbindung zum Internet (Stecker raus!)!! Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Scanne und beseitigte mit Kaspersky solange bis nichts mehr gefunden wird! Danach mit Cureit Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Jetzt die komplette Systemwiederherstellung löschen (falls Rechner einwandfrei läuft, da haben sich die Teile auch schon festgesetzt. Systemwiederherstellung löschen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da). Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Wenn noch nicht geschehen, installiere eine Firewall (am besten per USB-Stick aufspielen, damit Du gleich die Verbindungen ins Internet kontrollieren kannst (falls ein Trooper noch da ist, wird er sonst gleich wieder versuchen anderen Schadcode nachzuladen!) Poste alles Logs und ein neues HJ-Log... Viel Erfolg, Chris |
|
|
||
28.06.2007, 15:41
Member
Themenstarter Beiträge: 14 |
#27
Ohhh mann, was für eine SCH****!
Jetzt bin ich echt am überlegen, ob ein "Neuaufsetzen" des Systems besser ist. Da muss ich erstmal ne Nacht drüber schlafen. Danke erstmal für die Hilfe. Bluebird |
|
|
||