|
Lade die Datei bei http://rapidshare.de/ hoch. Und poste dann den Downloadlink, der Dir unten auf der Seite angeziegt wird. |
So, hab die datei mal hochgeladen. Wer sich die mühe machen will............ http://rapidshare.de/files/13098421/rootkitlog.txt.html |
OK, erstmal das ganze im abgesicherten Modus versuchen: Diesen Fix runterladen, entpacken und dann in den abgesicherten Modus wechseln und die RunThis.bat ausführen Enpacke die Datei am besten nach C:\ ). http://swandog46.geekstogo.com/aproposfix.exe Danach nochmal RKR laufen lassen und berichten. Sollte das nicht gefunzt haben, werden wir über die Recovery Konsole was versuchen müssen. Kleine Anmerkung: Wenn man mit Cracks rummacht, braucht man sich nicht wundern, wenn es einem das System zerschiesst! |
Danke für die Anmerkung, bekenne mich schuldig :) |
Hallo, @MM wie kommst du auf Apropos? Für mich sieht das eher so aus als ob treibgut alle möglichen Anwendungen im Hintergrund hat laufen lassen wärend dem scan. @treibgut Kannst du den Scan mit Rootkitrevealer noch mal wiederholen und währendessen kein anderes Programm laufen lassen. Grüße wildone |
@Wildone Das mit Apropos ist nur eine wage Vermutung. Der Backdoor, der die sysbus32 mitschleppt, taucht wohl auch häufiger mit Apropos zusammen auf. Ob man das ganze überhaupt noch retten kann, damit der TO vernünftig seine Daten sichern kann, ist ne andere Frage. |
Hallo, ja jetzt sehe ich die Datei: C:\WINDOWS\system32\drivers\sysbus32.sys auch, ob das etwas mit Apropos zu tun hat weiß ich nicht, kenne mich bei der Beseitigung von Rootkits nicht besonders gut aus, da ich da aus Prinzip zur Neuinstallation rate. Grüße Wildone |
Zitat:
|
Es koennte das sein. Ich habe es heute bekommen: C:\DOKUME~1\Ralf\LOKALE~1\Temp\Rar$DI01.906\sysbus32.sys Infected SpamTool.Win32.Mailbot.al Waere interessant zu erfahren was Blacklight findet. http://www.f-secure.com/blacklight/try.shtml |
@raman Könnte....aber ein Mailbot entzieht Dir normaler weise nicht die Adminrechte und versteckt alles vor der Windows API. Ich fürchte da ist mehr dabei. ...zudem ist das ein Backdoor, zumindest laut Sophos. |
Naja, eins nach dem anderen. Erst das beseitigen, was man findet!:) Blacklight koennte da nuetzlich sein. Das Rootkit scheint was zu verstecken, was mit "S" beginnt und sich in bestimmten Ordnern befindet. Dienste (wie die sysbus 32.sys) eignen isch sehr gut als start fuer ein Rootkit.... |
Zitat:
Zitat:
Zitat:
|
so da bin ich wieder Mein Benutzer ist "S" :) Datei is hochgeladen. Nur der Explorer lief im hintergrund. rootkitlog2.txt und ich verstehe nur noch Bahnhof, also bitte der reihe nach :crazy: Aso, noch was, was bedeutet TO ? |
OK, das hat gar nichts gebracht. Textdokument erstellen. Die folgenden Zeilen einfügen und als "del.bat" (mit Anführungszeichen) abspeichern. die Datei nach C:\ kopieren und von odrt aus in der recovery console ausführen. del /F /S /Q %TEMP%\*.* >> C:\delbat.log del /F /S /Q %TMP%\*.* >> C:\delbat.log del /F /S /Q %SystemRoot%\Temp\*.* >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temporary Internet Files\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Lokale Einstellungen\Temp\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Cookies\*.*" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\Eigene Downloads\*.*" >> C:\delbat.log del /F /S /Q "C:\WINDOWS\system32\drivers\sysbus32.sys" >> C:\delbat.log del /F /S /Q "C:\Dokumente und Einstellungen\S\*.*" >> C:\delbat.log Anschliessend den Inhalt der delbat.log posten. |
Du weisst schon, das das del /F /S /Q "C:\Dokumente und Einstellungen\S\*.*" >> C:\delbat.log den kompletten User loescht?? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board