Hallo Amagosa.

Zitat:

den erwähnten Schädling kenne ich zwar nicht

schonmal schlecht.

Zitat:

aber es sieht aus als würde eine Art ROOTKIT Funktion laufen

worauf begründest du diese Annahme?
Wahrscheinlich hast du den Namen gesehen den Avst ausgespuckt hat, dabei das .gen übersehen und überhaupt den Thread nicht richtig gelesen.

Halte dich also bitte mit unqualifizierten Aussagen zurück um den TO nicht zu verunsichern.

Zitat:

Zitat von undoreal

Hallo Amagosa.

schonmal schlecht.

worauf begründest du diese Annahme?
Wahrscheinlich hast du den Namen gesehen den Avst ausgespuckt hat, dabei das .gen übersehen und überhaupt den Thread nicht richtig gelesen.

Halte dich also bitte mit unqualifizierten Aussagen zurück um den TO nicht zu verunsichern.

deswegen:
im taskmanager ist ein prozess der heißt spoolsv.exe.
Er ist nicht auffällig und schlingt nur 4mb. Aber als ich HijackThis geöffnet habe kam wieder ne malware meldung und der prozess war auf 45mb.
Dann hab ich ihn beendet und nochmal HijackThis gestartet und der prozess hat sich wieder geöffnet unter dem diesmal aber ohne v nur spools.exe. Die virusmeldung kam wieder.

solltest Du evtl. mal lesen Rootkit-Detection | Server | TecChannel.de
Rootkit-Detection
Hacker hinterlassen, einmal im System eingebrochen, häufig ein Hintertürchen, damit sie später umso leichter wieder reinkommen. Wie Sie solche „Rootkits“ auf Ihren Systemen entdecken, zeigt dieser Artikel.

Wenn der Prozess im Taskmanager läuft so nenne ich das nicht grade Rootkit. Aber gut, das ist Definitionsgelaber.
Bereinigen kann man den Agent jedenfalls und Backdoor Funktionalität scheint er nicht zu haben.

ok was genau verrät Dir denn das er keine Backdor hat??? hast Du aus der exe nen code gemacht (FreeIDA Pro) ??? was man im Taskmanager sieht muss noch lange nicht stimmen und da kommt mir es schon mehr als kommisch vor wenn sich mal eben name und grösse ändern deswegen auch die Aufforderung mit netstat um eben zu sehen ob da wer von aussen evtl. zugriff hat.....

ich hab in diverse virus listen geschaut hab aber nicht wirklich was brauchbares gefunden da z.B. Kaspersky ihn als Trojaner listet und Bitdefender keine Aussage macht....

aber viele Trojaner und auch anderere Malware haben eben Rootkit funktionalitäten, daher eben die Vermutung

Zitat:

ok was genau verrät Dir denn das er keine Backdor hat???

Wenn du google nicht bedienen kann ich dir auch nicht helfen.
Troj/Agent-GXN - Google-Suche
Erster Treffer.

Hier wird jetzt erstmal der Agent beseitigt und danach folget eine Systemanalyse nach allen Regeln der Kunst, so wie sich das in diesem Forum gebührt.
Sollte dabei eine Backdoor Funktion auftauche so wird selbstverständlich empfohlen den Rechner neuaufzusetzten. Auch das ist in diesem Forum Standard. Evtl. solltest du erstmal zusehen wie hier gearbeitet wird bevor du überall hereinplatzt..

So hab das jetzt im abgesicherten gemacht.

Nachdem Neustart im Normalen Modus waren aber alle registry einträge wieder da. Hab aber hundert prozentig sie gelöscht.

Mir ist da aber noch ein Registry Eintrag aufgefallen.
Hab ihn aber nicht gelöscht weil ich nciht wusste ob ich dass soll
Den sollte ich nämlich nicht löschen. Hat undoreal zumindestens nicht auffgefordert. Er heißt HKCU\Software\Mircrosoft\Windows\CurrentVersion\Run
CTFMON.EXE
C:\WINDOWS\system32\ctfmon.exe

Die Warnmeldung von Avst kommen immer noch.

Soll ich den Registry Eintrag auch löschen und alle anderen nochmal bevor ich Avenger ausführe.

PS:Bitte um hilfe

Zitat:

Soll ich den Registry Eintrag auch löschen und alle anderen nochmal bevor ich Avenger ausführe.

Ja bitte.

Wir schieben da aber noch einen Schritt ein.


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.


Wechsel in den abgesicherten Modus.


2)Blacklight bitte laufen lassen und das log posten.. Sollte er was finden lasse die Dateien umbennen.

3) Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit "->#ENTER# drücken!

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ntuser
C:\WINDOWS\system32\drivers\spools.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
autoload
C:\Dokumente und Einstellungen\Master\cftmon.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ntuser
C:\WINDOWS\system32\drivers\spools.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
autoload
C:\Dokumente und Einstellungen\Master\cftmon.exe

HKLM\SYSTEM\CurrentControlSet\Services\Schedule

Falls folgender Eintrag vorhanden sein sollte ändere den Wert bitte von 1 auf 0:

Zitat:

HKCR\exefile\shell\open\command
(default)
C:\Dokumente und Einstellungen\Master\cftmon.exe "%1" %*

4) Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !


5) Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ntuser <Achtung ev. Blanks entfernen!
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|autoload
 
Files to delete:
C:\Dokumente und Einstellungen\Master\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\Dokumente und Einstellungen\Master\ftp34.dll
C:\WINDOWS\system32\ftp34.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


PS: Hast du eine Windows CD zur Hand?