hallo erstmal bin "der neue" hier und ein totaler computer-laie, also habt bitte nachsicht, falls ich nicht immer sofort jeden ausdruck und "befehl" verstehe, der mir hier geraten wird

also, mein problem hat mit dem oben genannten trojaner-programm zu tun, welches sich bei mir in den system32-ordner eingeschlichen hat. es sieht leider so aus, dass mir mein kaspersky schon seit einigen tagen beim hochfahren sagt, dass die datei "kernel32.ime" sowie "svchost/kernel32.ime" infiziert sind mit diesem trojaner-programm. löschen lässt sich zwar der svchost, allerdings kann ich danach nur noch eingeschränkt mit dem rechner arbeiten, d.h. einige sachen wie z.b. mit dem internet verbinden und/oder das trennen geht nicht mehr, ich kann - wenn ich mich vorher eingewählt habe - keine links mehr öffnen, weiterleitungen funktioneren auch nicht mehr, und die "drag & drop"- sowie die "copy/paste"-funktion laufen auch nicht mehr.

ich habe nun schon ad-aware se, spybot, hijackthis und natürlich kaspersky laufen lassen, wobei nur kaspersky immer wieder den trojaner findet und die anderen nicht, was auch daran liegen könnte, dass ich bei den restlichen programmen schon seit mehreren monaten kein update mehr vorgenommen habe.
jedenfalls lässt sich wie gesagt die svchost.exe löschen, die kernel32.ime datei bleibt allerdings, und kannt laut kaspersky nicht gelöscht werden, da das objekt gesperrt wurde im abgesicherten modus lässt sich dann nur die kernel32.ime datei löschen, dafür die svchost.exe nicht...
dazu kommt, dass beide wieder da sind, sobald ich den rechner wieder im normalen modus neu starte.

nun habe ich natürlich schon etwas bei google gesucht und fand eine beschreibung eines englischsprachigen menschen ^^ der empfiel, das "Remote Procedure Call (RPC) Remote" (RpcRemote) und bloß nicht das "Remote Procedure Call (RPC) Remote" mit der endung (RpcSs) oder (RpcLocator) zu löschen. allerdings weiß ich a.) nicht, ob bei der deutschen version von windows 2000 dieses RPC-wasauchimmer genau so heißt und b.) hab ich keine ahnung, wo sich dieses aufhält ^^


für schnelle hilfe wäre ich äusserst dankbar!

@m!lan
Bei einem Backdoor ist das Neuafsetzen des Windows angesagt. Alle anderen Maßnahmen sind erfahrungsgemäß unzureichend. Anleitung-Link in meiner Signatur bitte verfolgen.

ohhh man...hört sich ja nicht gut an...

und diese RPC-geschichte wäre auch keinen versuch wert??

Zitat:

Zitat von m!lan

ohhh man...hört sich ja nicht gut an...

und diese RPC-geschichte wäre auch keinen versuch wert??

Tue, was Rene-Gad Dir geraten hat

Zitat:

Zitat von m!lan

und diese RPC-geschichte wäre auch keinen versuch wert??

Du kannst alles versuchen. Bei einer gewissen Menge Glück bekommst du im Endeffekt keine Meildung von deinem Antivirus. Aber das kann auch bedeuten, dass dein Antivirus mittels dieses Backdoors auch kompromittiert wurde. Mehr dazu : http://www.microsoft.com/technet/com...mt/sm0504.mspx
EDIT: Moin felix1

hey hey, war doch nur 'ne frage...

EDIT:
ok, danke rene-gad. bloß weiß ich immer noch nicht, wie ich an dieses RPC rankomme....

Zitat:

Zitat von m!lan

bloß weiß ich immer noch nicht, wie ich an dieses RPC rankomme....

Einen garantiert sicheren Rechner bekommst du nicht mehr durch rumfuckeln. Von daher kannst du deine RPC-Problematik erstmal vergessen.

Gruß
Yopie

sagt mal, kann es sein, dass so eine art trojaner, wie ich ihn hatte, irgendwann "labil" wird bzw. sich irgendwann einfach löschen lässt?? also ich hab die letzten 3 tage so mit dem rechner gearbeitet und jedes mal, wenn der hinweis von kaspersky kam, dass ich einen trojaner hab, hab ich "löschen" angeklickt und es hieß immer "löschen nicht möglich, objekt gesperrt"... nun habe ich heute mal wieder den gleichen fall gehabt und heute sagt er mir plötzlich "objekt gelöscht - keine gefährlichen objekte" mehr

sowas hatte ich anfangs auch, da hab ich allerdings immer per neustart geprüft, obs wirklich geklappt hat und da war er jedes mal wieder da. diesmal nicht und die datei ist auch definitiv nicht mehr in dem ordner.

werd jetzt nochmal kaspersky komplett laufen lassen und warten, was es sagt...trau dem frieden nicht so ganz....

Pass auf, es ist ganz einfach: Du fragst um Hilfe, wir geben dir Hilfe. Du musst sie nur umsetzen. Wenn du es eh besser weisst, warum fragst du überhaupt nach? Den Link von Rene-Gad hast du auch nicht gelesen, sonst würdest du jetzt nicht nachfragen. Für dich der Kernsatz aus der Microsoft-Seite: "The only way to clean a compromised system is to flatten and rebuild."



Gruß
Yopie

mein freund, ich habe um rat gebeten, richtig. den link habe ich überflogen, weil ich bisher weder die zeit, noch das nötige know-how hatte, um so eine neuaufsetzung durchzuführen. nun hat sich mehr oder weniger durch zufall eine neue situation ergeben, die diesen ganzen prozess, mit dem ich am morgigen tag begonnen, da ich dann einen kollegen hier gehabt hätte, möglicherweise zu nichte gemacht hat.
ich frage nur, ob es möglich ist, dass ich dieses ding jetzt doch so los bin...ein einfaches "ja" oder "nein" hätte mir ausgereicht, anstatt so einer standpauke...

Hallo Milan,

Zitat:

ich frage nur, ob es möglich ist, dass ich dieses ding jetzt doch so los bin

Nein !

Zitat:

ein einfaches "ja" oder "nein" hätte mir ausgereicht,

Sicher ?
Du hättest nicht gefragt "Warum" ?
Ist wirklich ein guter brauchbarer Link...
http://www.mathematik.uni-marburg.de...ompromise.html
Irrlicht

Du hast 4 (vier!) Mal in freundlichem Ton immer den gleichen, eindeutigen Rat bekommen. Die Frage, die du dann stelltest, war vorher ebenfalls bereits beantwortet! Von daher sollte dich eine "Standpauke" in der fünften Antwort nicht wundern.

Wenn du zum Lesen der angebotenen Informationen keine Zeit oder keine Lust hast, dann besorge dir professionelle Hilfe für den Recher, die dir die Arbeit abnimmt.

Gruß
Yopie

@ irrlicht: ok, das "warum" würde mich natürlich auch interessieren. aber danke schonmal für den link!


@ yopie: da ich bisher noch nicht wirklich von einem ähnlichem fall gehört oder gelesen habe, habe ich tatsächlich angenommen, dass so eine frage berechtigt wäre...

Die Frage war berechtigt, nur hast du leider die Antworten nicht umgesetzt.

Du hast oder hattest einen Backdoor auf dem Rechner. Alles, was du jetzt auf dem Rechner feststellt (sowohl positiv als auch negativ), ist von vornherein mit einem großen Unsicherheitsfaktor behaftet!

Backdoor: Vollzugriff von Dritten auf deinen Rechner, mit der Möglichkeit, auch Systemdateien zu verändern, AV-Programme zu verändern etc. Diese Änderungen kann kein Programm im Nachhinein feststellen, erst recht kein Programm, was auf dem manipulierten Rechner läuft. Das wäre ja auch blöd, wenn es auffallen würde; mit z.B. Spamversand oder DDoS-Attacken kann man viel Geld verdienen.

Microsoft: "You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there."

Das alles hättest du wissen können, hättest du die Hinweise frühzeitig befolgt! Dann hättest du auch nicht noch drei Tage mit einem Rechner gearbeitet, der nicht mehr als "deiner" bezeichnet werden kann.

Übrigens bringt die Boardsuche nach SdBot auch eine Menge Hinweise; durch die Benennungsproblematik bei Malware ist aber sogar für mich verständlich, wenn man dort nichts findet.

Gruß
Yopie