Mal wieder startdrv.exe
 

Hallo Leute,

ich hab den Trojaner startdrv.exe in dem Ordner C:\Windows\temp. Ich hab in einigen Foren gelesen, dass der nicht bekämpft werden kann. Ist das richtig oder gibt es da doch eine Möglichkeit? Hab keine Lust wegen diesem einen Virus mein ganzes System neu zu installieren.

Der Virus ist zur Zeit in Quarantäne von "Sophos Antivirus" welcher ihn auch nicht löschen kann. Kann der Trojaner in Quarantäne irgendetwas machen oder kann ich mit der Lösung leben ihn da verfaulen zu lassen?


mfg

Neupi

Hi und :) Herzlich Willkommen im Trojaner-Boad :)

startdrv.exe -> Troj/DropRk-A
Er stellt einen Rootkittrojaner dar und würde bei Aktivierung
dein System kompromitieren. D.h. eine vollständige Bereinigung
währe nicht gewährleistet.
Wenn du dir nicht sicher bist, ob er aktiviert wurde,
schauen wir uns deine Scans an:

* HijackThis - Scan
1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final
2. Entpacke es in einen seperaten Ordner und benenne es um
(z.b. C:\Programme\HijackThis\pruefung.com)
3. Führe die Datei aus und bestätige die Warnung mit "ok"
4. Wähle die Option "Do a System Scan and save a logfile"
5. poste den kompletten Inhalt des entstehenden LogFiles
6. Entferne persönliche Informationen sowie aktive Links

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* Sophos - Antirootkit
1. hier runterladen Sophos - Antirootkit
2. installieren und im installierten Pfad "sargui.exe" aufrufen
3. Setze bei allen 3 Optionen das Häkchen und klicke auf "Start Scan"
4. Notiere dir die "hidden items" und poste sie

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)

mfg Cleriker

Ja Hallo Cleriker,

ich bin mir eigentlich ziemlich sicher, dass er aktiviert wurde, weil ich nur deshalb auf ihn aufmerksam geworden bin, weil ich vom Netzwerk gesperrt wurde (Uninetz) weil ich eben Spammails verschickt hab. Sophos hat ihn auch erkannt aber kann ihn nicht löschen, manuell gehts auch nicht, also bleibt er jetz erstmal in Quarantäne. Meine Frage ist jetz nur, ob er weiterhin aktiv ist wenn er in Q. ist oder ob er da bleiben kann...

mfg Neupi

Kann mir keiner sagen ob Quarantäne sicher ist?

Quarantäne ist nur dann sicher, wenn der
Schädling vorher keine Bekanntschaft mit
dem System machen durfte. Ansonsten
können Freunde und Ableger des Schädlings
auf dem Rechner rumturnen. Besonders bei
diesem kannst du dann dein Logindaten im Online-
sowie Offline-Bereich als ausspioniert ansehen.

mfg Cleriker

Danke für die antwort,

Nagut aber ich mein, meine Logindaten interessieren doch keinen oder? Und bei Online-banking hat man sowieso eine tanliste, also stört das nich oder seh ich das falsch?

mfg Neupi

Hallo,
dass eine Datei in Quarantäne verschoben wurde heißt nicht, dass nicht weitere Komponenten dieses oder eines anderen Schädlings weiterhin aktiv sind. Wenn er nicht identifiziert werden kann oder soll, bietet sich die Alternative des Neuaufsetzens an. Wenn von deinem System tatsächlich Spam-Mails verschickt wurden, ist das mMn ohnehin angebracht, denn dann musst du von einem Befall mit einer Backdoor oder einem Rootkit ausgehen.
Eine deiner TANs sollte man sich z. B. mittels eines Man-in-the-middle-Angriffs verschaffen können.

hallo,

ich habe wohl auch diesen Trojaner...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

habe das Startdrv.exe auf folgende art gelöst:

kopiere notepad.exe in das verzeichnis, in dem sich Startdrv.exe befindet.
lösche Startdrv.exe
benenne notepad.exe in Startdrv.exe um.

ist zwar keine superelegante lösung, aber immer
wenn der virus neu generiert werden soll, merkt er, dass ja schon eine datei mit diesem namen vorhanden ist.
gestartet wird dann aber lediglich das notepad.
kannst es dann einfach schließen und nichts passiert.
notepad (bzw. der umbenannte Startdrv.exe) wird übrigens beim hochfahren gestarte wie eine autostart datei.

wie gesagt, die lösung ist vielleicht nicht gerade originell, aber immer noch besser als neu aufsetzen.

gruß
hakuna matata

Das als eine Lösung zu bezeichnen, da sträuben sich mir die Haare :eek: :headbang: :koch:

Besser ist es, den Computer wegzuschmeißen (noch besser: ihn der sogenannten "Dritten Welt" zu stiften) und sich eine Schreibmaschine zu kaufen. Bevorzugt eine mechanische.

Bei Infektionen mit startdrv.exe ist auch mit veränderten Systemdateien zu rechnen, so dass die Malware die startdrv.exe nach ihrer Installation nicht mehr braucht. aber was man nicht sieht und was keine Popups erzeugt, ist manchen ja egal.

lass die haare wo sie sind!!:heilig:

ich hab ja geschrieben - nicht gerade elegant - aber möglich.

ausser neu aufsetzen hab ich ansonsten nichts gefunden,
du vielleicht??

dann lass es uns geplagte doch bitte wissen.


gruß hakuna matata :daumenhoc

:party:

Neuaufsetzen halte ich in der Tat für angemessen. Alles andere ..., da kannst Du das Problem auch einfach ignorieren, einen eventuell meckernden Virenscanner deinstallieren, und gut ist's.

Sollten irgendwelche Folgen und Nebenwirkungen eintreten wie "Polizei tritt morgens um vier die Tür ein und erschießt Hund um den Rechner zu beschlagnahmen, danach fettes Verfahren am Hintern", ist mir das komplett egal, denn es wird weder meine Türe noch mein Hund noch mein Rechner sein.

In der Zeit, die manche Leute hier daraf verschwenden, mit einem Haufen Tools eine komplett verseuchte Kiste zu untersuchen und scheinbar zu richten, kann ich sie locker zehn mal neu installieren und mir sogar sicher sein, dass dann alles ok ist.