Ich werde den Trojaner Rootkit.Win32.Agent nicht los!!!

#0
26.06.2007, 10:35
Member

Themenstarter

Beiträge: 14
#16 Im abgesicherten Modus bietet er mir keinen Reiter "Systemwiederherstellung" an. Nur unter "Erweitert, Starten und Wiederherstellen" findet man etwas zum Thema Systemwiederherstellung, jedoch nicht den von dir angesprochenen Haken. Was soll ich machen? Neustart im normalen Modus ausführen, dann Häkchen setzen und wieder neu starten? Das bringt wahrscheinlich nichts, oder?
Seitenanfang Seitenende
26.06.2007, 10:37
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#17 Abgesichten Modus war nur für SDFix ;)
__________
MfG Argus
Seitenanfang Seitenende
26.06.2007, 11:15
Member

Themenstarter

Beiträge: 14
#18 So, hier nun der Report von SDFix:

SDFix: Version 1.88

Run by Benning on 26.06.2007 at 10:46

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\5.tmp - Deleted



Removing Temp Files...

ADS Check:

Checking C:\WINDOWS
C:\WINDOWS
No streams found.

Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.

Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"F:\\Programme\\ICQLite\\ICQLite.exe"="F:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"F:\\Programme\\Phone\\Skype.exe"="F:\\Programme\\Phone\\Skype.exe:*:Enabled:Skype"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------


Listing Files with Hidden Attributes:

C:\Dokumente und Einstellungen\All Users\Dokumente\~WRL0003.tmp
C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp
C:\Dokumente und Einstellungen\Benning\Eigene Dateien\ICQ Lite\244326187\Rosi_278624908\~WRL0001.tmp
C:\Dokumente und Einstellungen\Benning\Eigene Dateien\ICQ Lite\244326187\Rosi_278624908\~WRL0003.tmp
C:\Program Files\InterActual\InterActual Player\iti32.tmp

Listing User Accounts:


Administrator ASPNET Benning
Gast Hilfeassistent SUPPORT_388945a0
Der Befehl wurde erfolgreich ausgefhrt.


Finished
Seitenanfang Seitenende
26.06.2007, 11:36
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#19 Und wie sieht es jetzt aus,alles gut?
__________
MfG Argus
Seitenanfang Seitenende
26.06.2007, 11:42
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#20 Installiere auch ein Anti Spyware scanner AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm
Und ein Cleaner wie ATF
http://board.protecus.de/t20181.htm
__________
MfG Argus
Seitenanfang Seitenende
26.06.2007, 11:45
Member

Themenstarter

Beiträge: 14
#21 Alles gut??? Also soll ich nochmals mit Kaspersky scannen und checken?
Seitenanfang Seitenende
26.06.2007, 11:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#22 Es stet dir frei zu scannen mit Kas ;)
__________
MfG Argus
Seitenanfang Seitenende
26.06.2007, 15:32
Member

Themenstarter

Beiträge: 14
#23 WOW!!! Es scheint alles weg zu sein! Kein Fund bei Kaspersky! Ihr seid wirklich die Besten! Vielen Dank!

Bluebird
Seitenanfang Seitenende
26.06.2007, 15:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#24 Und ein Gruss aus Holland
Arnold
__________
MfG Argus
Seitenanfang Seitenende
28.06.2007, 06:46
Member

Themenstarter

Beiträge: 14
#25 Guten Morgen!

Hab mich leider zu füh gefreut. Hab gerade den Rechner angeschmissen und 48 "Probleme" mit Kaspersky gefunden:

Im Anhang findet ihr den Bericht von Kaspersky.

Was ist zu tun?

Bluebird

Seitenanfang Seitenende
28.06.2007, 14:12
Member
Avatar Chris4You

Beiträge: 694
#26 Achtung, das hier ist ein Blindflug!
Da waren noch Rest drauf (Trooper) oder Du bist bereits im Visier der Hacker,
die Dir über Windowsschwachstellen jedesmal wenn Du am Netz bist,
was unterschieben!

Da kein HJ-Log da ist, wird Windows u. U. über fehlende Programme,
Treiber etc. mosern oder eventuell gar nicht mehr booten wollen...
-> Auf eigene Gefahr!
Ich habe weiterhin nur die wichtigsten "bösen" Files aufgenommen (Fleißarbeit, wenn Du willst erweitere das oder lass es die Scanner erledigen).

Abgesicherter Modus, keine Verbindung zum Internet (Stecker raus!)!!

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Folders to delete:
C:\WINDOWS\Temp

Files to delete:
C:\WINDOWS\System32\lanmandrv.sys
c:\windows\system32\rpcc.dll
C:\WINDOWS\system32\qmbhdahl.exe
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\hsdegrtyt.exe
C:\WINDOWS\jytrgrgre.exe
C:\WINDOWS\system32\file1.exe
C:\WINDOWS\Temp\startdrv.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


Scanne und beseitigte mit Kaspersky solange bis nichts mehr gefunden wird!


Danach mit
Cureit
Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Jetzt die komplette Systemwiederherstellung löschen (falls Rechner einwandfrei läuft,
da haben sich die Teile auch schon festgesetzt.
Systemwiederherstellung löschen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h.
der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da).

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK ->
Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Wenn noch nicht geschehen, installiere eine Firewall (am besten per USB-Stick aufspielen,
damit Du gleich die Verbindungen ins Internet kontrollieren kannst (falls ein Trooper noch
da ist, wird er sonst gleich wieder versuchen anderen Schadcode nachzuladen!)

Poste alles Logs und ein neues HJ-Log...

Viel Erfolg,
Chris
Seitenanfang Seitenende
28.06.2007, 15:41
Member

Themenstarter

Beiträge: 14
#27 Ohhh mann, was für eine SCH****!

Jetzt bin ich echt am überlegen, ob ein "Neuaufsetzen" des Systems besser ist. Da muss ich erstmal ne Nacht drüber schlafen.

Danke erstmal für die Hilfe.

Bluebird
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: