Die Festplatte möchte ich nicht nur wegen der vielen Arbeit jetzt noch nicht formatieren, sondern auch weil es im allgemeinen Interesse ist diesen neuartigen besonders bösartigen Trojaner zu identifizieren, um evtl. Andere zu warnen oder einen Entfernungsweg zu dokumentieren !


Das System war korrekt abgesichert:

LAN mit Netgear DSL-Router/Modem, enthält bereits eine Firewall

Zusätzlich Lokale Firewall Zonelabs
AntiVir-Virenscanner

Zusätzlich wurde der Rechner häufig mit LukeFileWalker und Cyberdefender EarlySpy gescannt und mit McAffee-Stinger, manuell gestartet, damit keine 2 Virenscanner gleichzeitig laufen.

alles regelmäßig upgedated

Auch mit CCleaner wurde häufig gesäubert und die Festplatte defragmentiert. Reine Datenfiles wurden auf einer 2. HDD mit 50GByte gesichert.

Eine Kopie der C:\ mit DriveImage geht z.Zt. leider nicht mehr, da der Trojaner den USB-Anschluss gegen den Betrieb einer externen USB-HDD sperrt. Ich könnte versuchen eine andere Festplatte einzubauen und DriveImage von der BartPE laufen zu lassen.

So wie ich meinen Trojaner kenne, läuft der AntiVir sehr wahrscheinlich einwandfrei. Normalerweise verhält sich das Programm normal und kann upgedated werden, auch die Virusdefinitionsfiles. Ist der Trojaner böse, so stoppt er den AntiVir. Das merkt man daran, dass der Updater läuft aber nichts mehr updated und geht man mit der Maus auf das Symbol, so geht es weg.

Lässt man nach dem Ausschalten den Rechner über 1 Stunde in Ruhe, so läuft alles wieder !

Christian124

hast du mal einen Online-scanner versucht?

weitere Möglichkeiten:

• gmer
• Rootkit Unhooker
• Avira Rootkit Detection

Habe TrendMicro HouseCall 65 laufen lassen. Hat nach kurzer Zeit einige gering gefährliche Cookies gefunden. Beim Versuch diese zu löschen (bei TrendMicro HouseCall geht das während des Scans) wurde der PC abgeschossen.

Ich meine, bei Wörtern wie Avira oder Rootkit wird der Rechner nach der Eingabe in Google abgeschossen, kann das aber noch einmal versuchen.

hier sind die links:

http://forum.sysinternals.com/upload...ku37300509.rar


http://dl.antivir.de/down/windows/antivir_rootkit.zip

ich hoffe der schlaue Trojaner bekommt nicht raus wer dir auf deine Anfragen antwortet... sorry konnt's mir net verkneifen

Nein,

Das kann er z.Zt. nicht, er ist z.Zt. aus, weil er nach den letzten Attacken mit Sicherheit wieder böse ist, werde gleich die SW aus den Links ausprobieren, ist schon auf dem USB-Memory-Stick.

Werde den kranken Rechner im Abgesicherten Modus starten und die SW in entsprechende Directories kopieren und von dort ausprobieren.

Übrigens, kann ein Rootkit bewirken, dass Spybot Search & Destroy und McAffee-Stinger auch von BartPE CD abstürzen ?

Christian124

Hallo !

Hier die Ergebnisse:

Der GMER läuft durch und liefert folgendes Ergebnis:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-08 22:46:31
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.14 ----


Die anderen beiden Programme RKU und Avira Rootkit Detection laufen nicht (habe nur im abgesicherten Moduus probiert, kein Systemabsturz).

Avira Rootkit Detection lässt sich installieren, läuft aber nicht.

Gruß,

Christian124

dann versuchs im normalen modus.

bei GMER hast du aber nur den automatischen schnellscan ausgeführt oder?

den Button scan hast du nicht betätigt!?

Doch, beim GMER habe ich den Button Scan benutzt, alle Häckchen rechts oben waren gesetzt, er hat die ganze C:\ gescannt.

RKU läuft auch im normalen Mode nicht.

Der Avira Rootkit Detection lässt sich zwar installieren, das Programm läuft auch an, aber nach drücken des Scan Button sagt er sofort "no rootkit detected" oder so etwas ähnliches, ohne gescannt zu haben.