Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virtool.WinNT/FURootkit.gen entfernen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.01.2008, 08:23   #1
Jean-Luc_Picard
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Guten Morgen @all,

ich habe misst gebaut. Ich habe eine Datei ausgeführt wo wahrscheinlich ein Trojaner drin war.
Der Trojaner hat die EXE von meinen Virenprogramm gelöscht ( NOD32 ) und auch die EXE von SpyBot.

Ist das möglich? Wenn ich das Virenprogramm neu installieren möchte kann er dies nicht. Es erscheint die Meldung Archiv kann nicht entpackt werden oder so.

SpyBot lässt sich installieren aber es ist keine EXE da.
Mein WLAN Netzwerk finde ich auch nicht weil irgendein Dienst (WZD oder so) nicht funktioniert.

Ich glaube es ist der Trojaner: Virtool.WinNT/FURootkit.gen
Weil diese Beschreibung passt ja auf mein Problem:

Zitat:
High risks are typically installed without user interaction through security exploits, and can severely compromise system security. Such risks may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware. These risks may also collect and transmit personally identifiable information (PII) without your consent and severely degrade the performance and stability of your computer.
Kann mir jemand helfen diesen zu entfernen?
Bittteeeee!!!!

Danke

Picard

Alt 11.01.2008, 09:37   #2
blow-in
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Dann wirst du deine Kiste Neu aufsetzen müssen oder kannst du noch ein HJT-Log erstellen? Wenn ja poste es und auch einen eScan.
Du bist doch bestimmt über einen anderen Rechner hier im Forum?
__________________


Alt 11.01.2008, 09:42   #3
Lucky
/// Helfer-Team
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Wenn der Name Programme ist und das wirklich ein Rootkit ist, dann setze lieber dein System neu auf, da du nicht weißt was alles verändert wurde.
Daten sichern und nach dem neu aufsetzen die Passwörter für alles ändern.

Ja, es ist möglich das Malware Dateien von Antivirenprogrammen löscht.
__________________
__________________

Alt 11.01.2008, 09:59   #4
Jean-Luc_Picard
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Hmm...ich weiß nicht ob es dieser Trojaner ist.
Habe nur die Vermutung. Gibt es keine Möglichkeit dieses zu entfernen?

Ja bin mit einen anderen Rechner drin.
Zu dem Zeitpunkt als der Trojaner auf meinen Rechner kam habe ich nirgendwo passworter eingegeben oder so....

Was muss ich da alles ändern? Online Banking habe ich zu den Zeitpunkt nicht gemacht. Nutze auch StarMoney und habe die PW für die Konten eh nicht gespeichert.

Alt 11.01.2008, 10:13   #5
raman
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Hoert sich eher nach Bagle an. Der ist derzeit recht aktiv.
Nutz einmal Combofix, der koennte das ausschliessen/bestaetigen...

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

__________________
MfG Ralf

Alt 11.01.2008, 10:21   #6
Jean-Luc_Picard
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Jo, an Bagle habe ich auch gedacht...so etwas hatte mir glaube der Windows Defender auch angezeigt.

Ich probiere es aus. Bin leider nur gerade auf Arbeit und bin erst 17 Uhr wieder zu hause. Mals sehen nur da habe ich ja in Moment leider kein Netz.

Aber der Bagle hat die gleichen eigenschaften?
Was macht der noch so ausßer die Programme löschen?

Danke schön schonmal!

Alt 11.01.2008, 11:36   #7
raman
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Beschreibungen zu Bagle findest du u.a. hier:
http://www.viruslist.com/de/find?described_only=on&kl_only=on&search_mode=virus&words=bagle&page=1

Die Varianten sind immer etwas anders, aber im "Kern" machen sie das gleiche.
__________________
MfG Ralf

Alt 11.01.2008, 11:43   #8
Jean-Luc_Picard
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Ok danke erstmal für die Infos.
Ich habe mir auch auf NOD32.de einige WurmTools geladen zu Bagle die ich nacher zu hause testen will.

Kann aber leider erst 17 Uhr zu hause sein.

Danke nochmal ich melde mich!


MFG

Picard

Alt 11.01.2008, 14:31   #9
blow-in
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Wenn du nochmal vor dem Nachhause gehen hier reinschaust, dann lade dir das HJT noch runter, Entpacke es und benenne es in abc.com um. wenn die Malware EXE-Dateien angreift, ist es besser wenn man eine COM-Datei nutzt.

Alt 12.01.2008, 07:30   #10
Jean-Luc_Picard
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Hi,

das ist die Log Datei von HiJackTHis!


Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:29:29, on 12.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Picard\Desktop\Viren_Tools\Tool\HiJackThis\abc.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: TW_BrowserHook - {1E1B2879-88FF-11D2-8D96-FFFFAC95951F} - C:\Program Files\Macro ToolsWorks AS\mtwbho.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\cfp.exe" -s
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MalwareBot] C:\Programme\MalwareBot\MalwareBot.exe -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171892199546
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3ECE5C4B-6229-4B8D-A4B8-8D76E7FAFDB9}: NameServer = 192.168.31.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2959400-330D-426B-90B9-B7E3D0B2BEB5}: NameServer = 192.168.31.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 6388 bytes

Alt 12.01.2008, 08:18   #11
raman
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Ein HijackThis log ist hier nutzlos. Combofix ist das, was interessanter ist.
__________________
MfG Ralf

Alt 12.01.2008, 08:37   #12
Jean-Luc_Picard
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Konnte ich mir denken.
Aber leider brauche ich den PC, deshalb habe ich gestern Datensicherung gemacht und bin gerade dabei ihn platt zu machen.

Das kotzt mich ein bissel an weil ich gedacht habe ich bin sicher aber naja.

Was nutzt du für eine Virentool? Ich habe bis jetzt NOD32 genutzt.
War seit 3 Jahren sehr zufrieden damit.

Alt 12.01.2008, 09:01   #13
raman
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Es gibt kein Programm, welches dir wirklich Schutz bietet.Rein theoretisch kannst du auf Av-Programme verzischten. Schuetzen kannst du dich nur selber durch Wissen! Was man machen koennte,bzw was ich ganz interessant finde sind Programme wie Processguard(ist aber schon zu alt), die bei jedem Programm, was man starten moechte, bzw gestartet wird, eine Meldung ausgibt, ob es gestartet werden soll oder nicht. Dise Art von HIPS/IDS finde ich in diesen Zeiten effektiver als reine AV-Programme, da diese immer hinterher haengen. Neue Malware ist so optimiert, das sie von 95% der auf dem neusten Stand gehaltenen AV Software nicht gefunden wird.

Die Nutzung von HIPS/IDS hat aber den Nachteil, das man wissen muss, was einem die Softare meldet. Man muss selber einschaetzen, ob das gewollt oder nicht gewollt ist.

Es gibt im KAV Forum, sehr oft fragen zu dessen Pro activ Schutz, da dies haeufig etwas meldet, was die Useer so verunsichert und sie dazu verleitet irgendwas als aktion zu waehlen, was unter Umstaenden dazu fuehrt, das der Rechner nicht mehr nutzbar ist.

Also hilft dir hier auch wieder nur Wissen und wenn du das Wissen hast, brauchst du auch kein HIPS/IDS/pro activ defense!
__________________
MfG Ralf

Alt 12.01.2008, 09:05   #14
Jean-Luc_Picard
 
Virtool.WinNT/FURootkit.gen  entfernen? - Standard

Virtool.WinNT/FURootkit.gen entfernen?



Jap du hast recht.
Ich hatte nebenbei im Hintergrund die Comodo Firewall laufen und lasse mir auch alles anzeigen wenn was gestartet werden soll.

Und mein Fehler war das ich wahrscheinlich sogar ausversehen den Wurm oder Trojaner ausführen lassen habe.

Naja man kann immer nur dazu lernen.

Trotzdem vielen Dank für eure schnelle und kompetente Hilfe.
Super Forum, ich setze gerade mein Rechner neu auf.
Die Daten habe ich zum Glück auf eine Externe Platte geholt.

Vielen Dank nochmal, Super Forum!!!


Gruß

Picard

Antwort

Themen zu Virtool.WinNT/FURootkit.gen entfernen?
archiv, consent, datei, dienst, entfernen, exe, files, gelöscht, guten, ics, ide, information, meldung, network, netzwerk, neu, nicht entpackt, nod32, performance, problem, programm, security, software, stability, system, trojaner, wlan, wlan netzwerk



Ähnliche Themen: Virtool.WinNT/FURootkit.gen entfernen?


  1. 'TR/Virtool.INF.Autorun.281.42 [trojan]'
    Log-Analyse und Auswertung - 29.03.2015 (11)
  2. Virus: virtool:win32/obfuscator.xz entfernen Hilfe?
    Log-Analyse und Auswertung - 03.02.2015 (86)
  3. Windows 7, Habe ein: VirTool:Win32/Obfuscator.ALA
    Plagegeister aller Art und deren Bekämpfung - 08.10.2014 (7)
  4. VirTool:Win32/Obfuscator.ALA
    Plagegeister aller Art und deren Bekämpfung - 04.10.2014 (44)
  5. Windows Defender: Problem beim Entfernen von Trojan:Win32/Necurs.A und Trojan:WinNT/Necurs.A unter Windows 7
    Log-Analyse und Auswertung - 11.04.2014 (52)
  6. VirTool:Win32/DelfInject.AE beseitigt, Rechner sauber?
    Log-Analyse und Auswertung - 17.11.2012 (8)
  7. VirTool: MSIL/Injector.gen!W
    Log-Analyse und Auswertung - 11.10.2011 (3)
  8. VirTool:Win32/VBInject.gen!EZ
    Plagegeister aller Art und deren Bekämpfung - 04.10.2011 (6)
  9. Trojan:WinNT/Bubnix.gen!A - lässt sich nicht entfernen
    Log-Analyse und Auswertung - 15.10.2010 (1)
  10. Trojaner: TR/FURootkit.C von Antivir entdeckt
    Plagegeister aller Art und deren Bekämpfung - 26.11.2006 (2)
  11. Virtool.Destart.A ?? Hilfeee
    Plagegeister aller Art und deren Bekämpfung - 18.07.2005 (28)
  12. Trojaner PMS/FuRootkit
    Plagegeister aller Art und deren Bekämpfung - 12.04.2005 (1)
  13. Trojaner PMS/FURootkit
    Plagegeister aller Art und deren Bekämpfung - 29.11.2004 (4)
  14. noch ein HJT-log von PMS/FURootkit
    Log-Analyse und Auswertung - 18.11.2004 (7)
  15. Anzeige: C:\windows\system32\Restart.exe Virtool.Destart.A
    Log-Analyse und Auswertung - 14.11.2004 (1)
  16. pms / furootkit
    Plagegeister aller Art und deren Bekämpfung - 02.11.2004 (4)
  17. InoculatelT for WinNT
    Alles rund um Windows - 25.05.2004 (3)

Zum Thema Virtool.WinNT/FURootkit.gen entfernen? - Guten Morgen @all, ich habe misst gebaut. Ich habe eine Datei ausgeführt wo wahrscheinlich ein Trojaner drin war. Der Trojaner hat die EXE von meinen Virenprogramm gelöscht ( NOD32 ) - Virtool.WinNT/FURootkit.gen entfernen?...
Archiv
Du betrachtest: Virtool.WinNT/FURootkit.gen entfernen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.