Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.10.2009, 22:24   #1
HAZwiebel
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Icon17

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Hallo miteinander!
Ich bin noch neu (hier) und brauche mal Eure Hilfe/Info:
Weil Avira AntiVir immer nach dem Starten des Rechners deaktiviert war, hab ich es mal runtergeschmissen, und AVG Small Business Solution aufgespielt.
Beim Komplett-Check findet AVG jetzt den Trojaner Rootkit-Pakes.U und zwar in der C:\WINDOWS\system32\drivers\atapi.sys
Laut AVG steht diese auf der Whitelist und darf nicht entfernt werden, da es eine Systemdatei ist.

Wie kriege ich denn dann den Trojaner weg?

Hängt das mit diesem Trojaner zusammen, dass das AntiVir beim Hochfahren trotz anderslautender Konfiguration immer deaktiviert ist, oder kann das mit noch etwas anderem zusammenhängen (hab ich wieder irgendwo ein Häkchen vergessen?!?)?

Vorab schon mal HERZLICHEN DANK!!!!!

HAZwiebel

Alt 29.10.2009, 14:43   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Hallo und

Ich vermute einen Fehlalarm, aber das sollten wir prüfen. Werte die Datei

C:\WINDOWS\system32\drivers\atapi.sys

bei Virustotal.com aus und poste bitte den Ergebnislink.

Danach mal diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 03.11.2009, 00:31   #3
HAZwiebel
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Hallo Arne,
sorry, dass ich mich erst jetzt melde, mir wächst grade die Arbeit über den Kopf, aber immer noch besser, als rumsitzen und Däumchen drehen.

Hier schon mal der Ergebnislink von virustotal.com:
h**p://www.virustotal.com/de/analisis/6edd829f15d83c906520c98cfc57de8d38c51fe348750ec2d0e6d4daada0aa82-1257207180
__________________

Alt 03.11.2009, 01:40   #4
HAZwiebel
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Und hier noch der Report von Malwarebytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3090
Windows 5.1.2600 Service Pack 3

03.11.2009 02:31:34
mbam-log-2009-11-03 (02-31-34).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 177122
Laufzeit: 40 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\LAN-DATEN\Cruzer-Stand 2009-10-20\Downloads\zu_OpenOffice etc\hcf1718.exe (Rogue.Installer) -> Quarantined and deleted successfully.
G:\Downloads\zu_OpenOffice etc\hcf1718.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.


Die Logfilesvon RSIT, bzw. die Links dahin reiche ich schnellstens nach!!

Schon jetzt aber HERZLICHEN DANK!

LG HAZwiebel

Alt 03.11.2009, 20:02   #5
HAZwiebel
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Hallo!
Und hier nun endlich noch der Link zu den rsit-Logfiles:

h**p://www.file-upload.net/download-1987608/rsit.zip.html

Ich hoffe, ich habe das alles richtig "abgearbeitet", sonst schreit mich an!

LG HAZwiebel


Alt 03.11.2009, 20:08   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Sag mal, ist das rein zufällig ein Bürorechner? Wenn ja, solltest Du das lieber mit den Kollegen aus der EDV klären. IdR bereinigen wir hier nur Privatrechner.
__________________
--> AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys

Alt 03.11.2009, 20:25   #7
HAZwiebel
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Hallo!
nein ist kein Bürorechner (mehr)!
War einer, wurde aber durch notebook ersetzt und ist daher jetzt mein "Heimrechner" zuhause und wird mittlerweile "nur noch" von Frau und Kinder zum Surfen benutzt. Deswegen weiß ich ja auch leider nicht wirklich, was damit alles "gemacht" worden ist!?
Gruß HAZwiebel

Alt 03.11.2009, 20:38   #8
HAZwiebel
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Noch was fällt mir grad dazu ein:

1. "ursprünglich" ist der Rechner gebraucht gekauft worden, was da ganz früher drauf gelaufen ist, weiß ich nicht.

2. beim Durchlauf von Malwaerbytes hatte ich meine USB-Stick eingesteckt, weil das in dem Text als Hinweis so stand. (den nutze ich gelegentlich, um mir zuhause das Programm für den nächsten Tag auszudrucken (Kontaktdaten, Routen etc.)

Kann das da mit zusammenhängen?

Das "Problem" habe ich selbst bei so einer Gelegenheit (allerdings bevor ich meine USB-Stick eingehängt hatte) bemerkt, ich kann aber wie beschrieben leider nicht genau sagen, wann es wirklich das erstemal aufgetreten ist!

LG HAZwiebel

Alt 03.11.2009, 20:44   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Ausrufezeichen

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Zitat:
Zitat von HAZwiebel Beitrag anzeigen
Hallo!
nein ist kein Bürorechner (mehr)!
War einer, wurde aber durch notebook ersetzt und ist daher jetzt mein "Heimrechner" zuhause und wird mittlerweile "nur noch" von Frau und Kinder zum Surfen benutzt. Deswegen weiß ich ja auch leider nicht wirklich, was damit alles "gemacht" worden ist!?
Gruß HAZwiebel
Kurzum: Diese Windows-Installation ist wohl schon älter, müffelt schon
Und wahrscheinlich noch die gleiche, mit der im Büro gearbeitet worden ist. Den Admin hätte ich erschossen, der einen Büro-PC so weitergeben/verkaufen würde, ohne die Platte zu wipen!! Auf den meisten Büro-PCs sind sensible Firmendaten drauf, die nicht in fremde Hände gelangen sollten.

Außerdem macht es keinen Sinn, man will keine gebrauchte Windows-Installation von möglicherweise mehreren Benutzern mit rumschleppen, da sind Probleme und so vorprogrammiert. Und bei Bürorechnern werden nicht selten irgendwelche Spezialanpassungen gemacht, damit dieses und jenes Spezialprogramm darauf läuft.

Deswegen und auch wegen des Malwarebefalls wäre eine Neuinstallation deutlich sinnvoller.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.11.2009, 23:55   #10
HAZwiebel
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Hallo Cosinus!
Danke für den Tipp, und auch für den Link auf Eure Seite "Neuinstallation".

Die Neuinstallation dauert ja sicher eine Weile, sodass ich mich nicht sofort darum kümmern kann, daher folgende Frage, die du mir vielleicht bitte noch beantworten kannst:

Ist dieser Trojaner denn jetzt aktiv, oder nicht? Oder evtl. doch ein Fehlalarm?

Anders gefragt, ist der Rechner sicher, insbesondere auch z.B. bei Homebanking? (Ich benutze dafür Firefox, und Mails bearbeite ich mit Thunderbird)

Nochmals herzlichen Dank, dass du dich um mein Problemchen so schnell gekümmert hast! Ich finde das eine Super Sache, die Ihr hier leistet für so für so sträflich "unterinformierte" Laien wie mich!

LG HAZwiebel

Alt 05.11.2009, 07:43   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Standard

AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys



Onlinebanking würde ich mit der Kiste vorerst nicht machen.
Die Neuinstallation solltest Du nicht auf die lange Bank schieben. Wie ich schon erwähnt habe, setzt man auch bei Besitzsechseln den PC grundsätzlich neu auf.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys
antivir, atapi.sys, avg, avg small business, avira, avira antivir, c:\windows, deaktiviert, entfernt, gen, herzlichen, herzlichen dank, hochfahren, hängen, konfiguration, kriege, miteinander, neu, rootkit-pakes.u, solution, starten, system, system32, systemdatei, trojaner, trotz, windows, zusammen



Ähnliche Themen: AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys


  1. Avira meldet TR/Rootkit.Gen in C:windows/system32/drivers....was ist zu tun?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2014 (22)
  2. TR/Rootkit.Gen2'-'C:\WINDOWS\system32\drivers\sptd.sys'
    Plagegeister aller Art und deren Bekämpfung - 01.02.2012 (1)
  3. windows\system32\drivers\sptd.sys - Rootkit Modification
    Plagegeister aller Art und deren Bekämpfung - 05.06.2011 (18)
  4. Rootkit C:\windows\system32\drivers\volmgr.sys
    Plagegeister aller Art und deren Bekämpfung - 01.02.2011 (8)
  5. TR/Rootkit.Gen in C:\Windows\System32\drivers\ghldywj.sys
    Plagegeister aller Art und deren Bekämpfung - 25.12.2010 (9)
  6. Rootkit.Bubnix in c:\windows\system32\drivers\qmjlmyja.sys
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (23)
  7. Rootkit Agent in C:\WINDOWS\system32\drivers\lpvmtsvd.sys
    Plagegeister aller Art und deren Bekämpfung - 19.08.2010 (13)
  8. Rootkit in C:\Windows\system32\drivers\afkw4fu9.sys ?
    Log-Analyse und Auswertung - 08.08.2010 (4)
  9. Rootkit Bubnix.au in c:\windows\system32\drivers\hljrifmj.sys
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (10)
  10. TR/Rootkit.Gen in C:\WINDOWS\system32\drivers\herbh.sys
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (16)
  11. TR/Rootkit.Gen in C:\Windows\System32\drivers\ezokdc.sys
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (6)
  12. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  13. TR/Rootkit.gen, TR/BHO.agcg in C:\Windows\system32\drivers\zaohb.sys
    Plagegeister aller Art und deren Bekämpfung - 13.05.2010 (3)
  14. Was tun? Virus Rootkit C:\Windows\System32\drivers\hsntoaox.sys
    Plagegeister aller Art und deren Bekämpfung - 23.04.2010 (12)
  15. C:\WINDOWS\system32\drivers\**; befürchte Rootkit
    Plagegeister aller Art und deren Bekämpfung - 23.04.2010 (18)
  16. C:\WINDOWS\system32\drivers\atapi.sys verdächtig / Werbefenster / Vorgeschichte
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (7)
  17. Trojaner Rootkit unter c:/windows/system32/drivers/jkxpflaj.sys
    Plagegeister aller Art und deren Bekämpfung - 03.03.2010 (11)

Zum Thema AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys - Hallo miteinander! Ich bin noch neu (hier) und brauche mal Eure Hilfe/Info: Weil Avira AntiVir immer nach dem Starten des Rechners deaktiviert war, hab ich es mal runtergeschmissen, und AVG - AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys...
Archiv
Du betrachtest: AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.