Trojaner-Board - Das Trojanische Pferd TR/Rootkit.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Das Trojanische Pferd TR/Rootkit.Gen (https://www.trojaner-board.de/51636-trojanische-pferd-tr-rootkit-gen.html)

Das Trojanische Pferd TR/Rootkit.Gen

So also:

Ich "hatte" bis vor ein paar Tagen das Trojanische Pferd TR/Rootkit.Gen (ein Bagle) auf meinen PC. Die Auswirkungen waren, dass sich alle Schutzprogramme (ZoneAlarm etc.) ausgeschaltet haben, ich nicht mehr im abgesicherten Modus starten konnte und er mein Internet gekappt hat. Ich habe daraufhin mit Antivir Rescue System den Trojaner renamed und dann gelöscht. Natürlich habe ich mein System mehrmals mit verschiedenen Tools geprüft und nichts mhr gefunden. Meine Frage ist jetzt wie ich Auswirkungen von diesem Trojaner feststellen kann??? Da diese Art von Trojaner auch das System umschreiben und TCP/IP Ports öffnen können!!!

Betriebssystem:
Windows XP Sp2

Symptome:
-> Antiviren- und Firewallprogramme wurden abgestellt (keine gültige Win32 Anwendung)
-> Internetverbindung wurde getrennt
-> abgesicherter Modus konnte nicht mehr ausgeführt werden
-> Es liefen die Dateien srosa.sys, hldrrr.exe und meldon.exe oda so im drivers Ordner unter system32

Danke schon mal im Voraus!

P.S.: Auf Anfrage kann ich noch nen HijackThis Logfile posten!

Zitat:

-> Es liefen die Dateien srosa.sys, hldrrr.exe und meldon.exe oda so im drivers Ordner unter system32

Das sieht nicht gut aus. Die erwähnten Dateien bestätigen den Rootkit-Befall, das einzig sinnvolle ist ein Formatieren und Neuaufsetzen. :kloppen:

Hmmmmm, gäbe es da keine andere Lösung das System zu überprüfen und wenn eine Backdoor besteht diese wieder zu schließen???

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt
* Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Module, -Processes, -Threads, -Libraries
http://img167.imageshack.us/img167/495/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Du mußt das so verstehen, daß durch die aktive Hintertür Dritte Vollzugriff auf Deinem PC hatten und alles mögliche hätten anstellen können. Was in einzelnen genau ist unheimlich aufwändig per Ferne herauszufinden und dann kann man noch nicht mal sicher sein, alle Manupulationen entdeckt zu haben. Du mußt ja auch bedenken, daß Deine jetzige Konfig absolut nicht mehr vertrauenswürdig ist.
Man könnte jetzt dann zwar die offensichtlichen Backdoordateien entfernen, aber durch den ermöglichten Vollzugriff konnten der oder die Cracker erheblich besser versteckte Viecher in Dein System platzieren.

In Deinem Fall würde ich auch gar keine Bereinigung mehr versuchen - verschenkte Zeit, ist reine Lotterie. Gleich Formatieren und Neuaufsetzen erspart ne Menge Zeit und Ärger, das wichtigste ist aber daß man danach die Garantie für ein sauberes System hat. :kloppen:

Du solltest Dir für derartige zukünftige Fälle auch mal ein Systemimage anlegen, so muss man nicht immer per Hand neu aufsetzen. Es sollte aber immer das Ziel sein, Schädlinge gar nicht erst auszuführen - Systemimages sind aber immer praktisch, kann ja auch mal sein, daß die Platte stirbt - man kann dann mit dem Image schnell und einfach binnen Minuten wieder ein wohldefiniertes System wiederherstellen. Das Systemimage solltest Du natürlich irgendwo extern Speichern auf DVD oder ext. Platte oder so.

Geht mit Programmen wie z.B. Acronis True Image (sehr zu empfehlen!) - die Windows-Systemwiederherstellung ist ein absoluter Witz dagegen. :)