Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.02.2009, 02:28   #1
Wal
 
Rootkit - Standard

Rootkit



Gute Nacht alle miteinander.
Die Uhrzeit lässt erraten, dass ich verzweifle.
Hier mein Problem:

Ich habe am Samstag einen neuen Rechner bekommen, zusammengebaut und Windows installiert. Doch schon bald traten erste Probleme auf, was durchaus mehrere Ursachen haben kann.

Die dümmste ist natürlich unentschuldbar. Ich habe mir einen Torrent gezocken mit einer fragwürdigen Datei. Auf Knopfdruck passierte nichts. Da hab ich schon Panik bekommen. Zu der Zeit war noch kein Virenscanner installiert, also zog ich mir Antivir. Kaum heruntergeladen wollte ich es mir installieren, was aber nicht ging. CRC Checksummenfehler. Programm kann nicht gestartet werden, da modifiziert. Nochmal von anderer Quelle geladen, aber selbes Problem.

Also habe ich mir AVG Antivir besorgt, was aber nur sehr schleppend lief. Da der PC ja relativ frisch war, habe ich ihn aufgrund der Probleme gleich wieder formatiert. XP installiert und Service Pack 3 installiert. Doch nicht lange und schon traten ähnliche Probleme auf. Nämlich wieder bei der Installation von Avira Antivir. Ich zog noch ein dritte Quelle hinzu, aber auch hier trat der Fehler auf. Etwas will also die Installation vehindern.

Hinzukommen nun folgenden Dinge:
Nach der Anmeldung startet die Explorer.exe nicht. Ich sehe nur meinen Desktophintergrund. Manchmal jedoch komme ich durch. Dann poppt jedoch sofort die Windows Datenausführungsverhinderung auf und warnt mich vor diversen Diensten. Manchmal ist es der Explorer, manchmal der Dienst für automatische Updates. Alles mögliche.

Während des Betriebs taucht dann auch gerne mal eine Windowsbenachrichtigung auf, die mir sagt, dass Systemdateien verändert wurden. Ich solle bitte die Windows CD einlegen, um die alte Datei wiederherzustellen.

Diverse Virenscanns im laufenden Betrieb zeigen gerne mal diverse Trojaner an, deren Namen ich mir leider nicht notiert habe (Namen die notiert sind, folgen unten), jedoch reagieren viele Virenscanner machmal nicht vernünftig.

Nun zu dem, was ich finden konnte:
Auf meinem System befindet sich eine Datei namens "winlognn.exe". Der Name verrät schon, dass sie eine Abwandlung der "winlogon.exe" ist, die ja im grunde nicht schädlich ist. Weiter fand ich in meinen Tempordnern Dateien names "csrssc.exe", "0.exe" und .dll Dateien mit langen wirren Zeichenkombinationen.

Von einem Freund habe ich mir die Knoppicillin Boot CD aus der c't gesorgt und sie scannen lassen. Sie fand das rootkit "Rootkit.Win32.Agent.jj", allerdings nur als Warnung und scheint somit nichts dagegen unternommen zu haben.

Ich hab mich anschließend zu Rootkits informiert. Unter anderem habe ich hier im Forum einen Beitrag gelesen, der das Programm GMER empfohl. Das habe ich mir von 2 Quellen besorgt, kann es jedoch nicht starten. Es kommt nur ein Windowsfehler.

Einen Hijack.this log habe ich grade nicht zur Hand, da der Rechner nicht startet. Ich habe den Rechner heute sicherlich schon 5 oder 6 Mal formatiert. Die Probleme treten immer wieder auf. Ich werde nun noch mit Knoppicillin prüfen, ob meine externe Festplatte infiziert ist. Tests im laufenden Betrieb ergaben hier keine Treffer.

Hat jemand eine Idee, wie sich das Problem lösen lässt?
Für Hinweise bin ich dankbar.

Alt 02.02.2009, 07:37   #2
Aldi123
 
Rootkit - Icon27

Rootkit



1. Torrent nutzer helfe ich eig ned gerne!
2. Wenn du schon Torrent nutzt dann ist wohl ein Virenscanner und eine Firewall das mindeste!
3. Schonmal anderen Virenscanner getested?
4. Du kannst wenn der explorer ned startet mit strg+alt+entf den taskmanager öffnen und dann einen neuen Taskstarten (Datei... Neuer Task) und dann explorer.exe
5. Abgesicherter Modus versucht?
6. Zieh dir mit nem anderen pc (bei kumpel?!) ne live cd, du formatierst sie dann damit... es gibt so linux dinger die man extra zum sicher formatiern hernehmen kann... tut mir leid ich weiß leider nicht mehr wie das heißt...
vllt konnte ich dir helfen...
mfg Aldi
__________________


Geändert von Aldi123 (02.02.2009 um 07:57 Uhr)

Alt 02.02.2009, 10:03   #3
Chris4You
 
Rootkit - Standard

Rootkit



Hi,

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

oder wenn der auch nicht startet:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherhei...s/news/149200/

Beim Formatieren immer auch den MBR neu schreiben lassen (FIXMBR),
da kann sich auch ein Rootkit verstecken, dann ist die gesamte Formatorgie umsonst! Daher muss auch unbedingt von CD gebootet werden, am besten die HDD komplett aus dem Bios ausschießen (Bootreihenfolge!).

chris

Ps.: Wenn er nicht mutiert ist, dann versteckt er sich hier:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\Services\protect
__________________
__________________

Alt 02.02.2009, 10:21   #4
raman
 
Rootkit - Standard

Rootkit



Zitat:
...Antivir. Kaum heruntergeladen wollte ich es mir installieren, was aber nicht ging. CRC Checksummenfehler. Programm kann nicht gestartet werden, da modifiziert.
Bedeutet Virenbefall. Hoechstwahrscheinlich mit iner Virut Variante. Was gleichbedeutend ist, das alle Ausfuehrbaren Dateien befallen sein koennten, auch die, die sich auf externen beschreibbaren Datentraeger befinden, wie usb Sticks oder Festplatten.

Daas bedeutet alle ausfuehrbaren Dateien loeschen und aus sicherer Quelle neu beschaffen, sonst hilft dir das neu Aufsetzen garnichts...
__________________
MfG Ralf

Alt 22.02.2009, 13:50   #5
Incendium
 
Rootkit - Standard

Rootkit



Wenn ich dich richtig verstanden habe, dann hast du Folgendes getan:
  • Rechner zum ersten Mal gebootet
  • Windows XP installiert
  • Eine Datei ausgeführt, die potentiell ein Schadprogramm enthielt
  • Einen Virenscanner heruntergeladen, der bei der Installation meldete, dass er verändert wurde
  • Rechner heruntergefahren
  • Rechner mit Installationsmedium neugestartet
  • Windows XP neu installiert (nicht repariert!!!)
  • Problem tritt immer noch auf
Ist das so korrekt? Wenn ja, dann kommen folgende Ursachen in betracht.
  1. Installationsmedium ist defekt/infiziert
    Von was für einer Installationsquelle hast du das Betriebssystem installiert? Von einer Orginal-CD oder einem selbst beschriebenen Medium (ich unterstelle hier keine Raubkopie)? Sollte es sich um ein selbstbeschriebenes Medium handeln, dann verwende eine andere Installationsquelle als dieses Medium und auch ein anderes Image als das auf diesem Medium.
  2. Virtualisierendes Rootkit
    Es gibt Rootkits, die ein Betriebssystem virtualisieren können. Da nützt dir häufig auch die Neuinstallation nichts, weil du das neue Betriebssystem in der virtuellen Umgebung installierst. Unterstützt dein Prozessor Virtualisierungstechnologien wie Intel-VT (VT-x, VT-i, auch Vanderpool) oder AMD-V (auch Pacifica)? Wenn nicht, dann verwende eine Rettungs-CD (Boot-CD) eines Virenschutz-Herstellers und lass das System prüfen. Diese CD müsste eine nicht auf Hardwareunterstützung basierende Virtualisierung entdecken können. Wenn dein Prozessor eine der genannten Technologien unterstützt, dann versuche mal Folgendes:
    Lade dir auf einem anderen Rechner die XEN Live-CD herunter und versuche eine VM mit Fullvirtualization zu starten. Poste dann hier gegebenfalls die Fehlermeldung. Wenn es funktioniert, dann können wir ein virtualisierendes Root-Kit ausschließen.
  3. BIOS Rootkit
    Wenn du dir sowas eingefangen hast, dann kann ich dir leider nicht helfen, aber es gibt hier im Forum sicherlich Leute, die sich auch mit sowas auskennen.


Antwort

Themen zu Rootkit
.dll, .dll dateien, avg, avira, betriebs, boot, boot cd, datenausführungsverhinderung, diverse, diverse trojaner, explorer.exe, externe festplatte, festplatte, forum, immer wieder, infiziert, installation, log, logon.exe, namen, neue, problem, probleme, programm, prüfen, rootkit, rootkits, scan, starten., trojaner, warnung, windows, winlogon.exe



Ähnliche Themen: Rootkit


  1. - Rootkit entdeckt ! Win7 - Anti-Rootkit o. Neuinstallation ?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2014 (13)
  2. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  3. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  4. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  5. Rootkit.0Access / Rootkit.Agent
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  6. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  7. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  8. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  9. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  10. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  11. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.04.2010 (12)
  12. Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?
    Log-Analyse und Auswertung - 06.03.2010 (41)
  13. MBR Rootkit? Was nun tun?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2009 (1)
  14. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  15. TR/Rootkit.Gen
    Antiviren-, Firewall- und andere Schutzprogramme - 31.03.2009 (1)
  16. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2006 (1)
  17. Rootkit?!
    Log-Analyse und Auswertung - 12.08.2006 (2)

Zum Thema Rootkit - Gute Nacht alle miteinander. Die Uhrzeit lässt erraten, dass ich verzweifle. Hier mein Problem: Ich habe am Samstag einen neuen Rechner bekommen, zusammengebaut und Windows installiert. Doch schon bald traten - Rootkit...
Archiv
Du betrachtest: Rootkit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.