|
Offensichtlich H8SRT Rootkit infiziert - system alert fake meldungen Frohe Weihnachten erst mal (nachträglich^^) Meine Eltern haben sich auf dem PC offensichtlich einen Trojaner/Rootkit eingefangen. Arbeite jetzt gerade im Abgesicherten Modus. Hab zunächst mbam drüber laufen lassen (musste ich mit .com endung versehen, dass überhaupt startet) und es wurde auch einiges gefunden und gefixt. Nach Neustart wurde immer noch was gefunden, irgendwie u.a. H8SRT**** Dateien im systen32 Ordner, die waren beim ersten Scan auch schon da, wurden also anscheinend nicht gelöscht. Hab dann DrWeb drüberlaufen lassen der diese Dateien auch gefunden hat. Damit wurden sie anscheinend erfolgreich gelöscht, mbam hat zumindest nichts mehr gefunden (hab dummerweise die Logfiles nicht gespeichert). Anschließend hab ich noch GMER drüber rennen lassen, weil ich den Verdacht auf ein Rootkit hatte, dabei wurde auch wieder einige Einträge ausgespuckt. Jetzt weiß ich nicht was ich weiter tun soll das "Problem" zu beheben, zumal ich gelesen hab, dass dieser H8SRT recht kompliziert zu bekämpfen ist... Ich hoffe ihr könnt mir weiterhelfen. Ich poste mal die GMER und RSIT-Logs (da ist ja das "richtige" hijackthis mit dabei, oder?). Danke schonmal für eure Hilfe! Falls ihr noch irgendwelche Logs braucht sagt bitte bescheid. GMER: Code: GMER 1.0.15.15281 - http://www.gmer.netCode: info.txt logfile of random's system information tool 1.06 2009-12-27 19:12:56Code: Logfile of random's system information tool 1.06 (written by random/random) |
Du hast den Mistkerl doch schon gefunden. Starte die Kiste im abgesicherten Modus. Starte regedit. Schiess das hier komplett ab: Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTujerbyfwbl.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTujerbyfwbl.sys Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRThbqqoirrpu.dll Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTwmtakoobxe.dat Reg HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf Keinen Neustart !! Such anschl. auch im abgesicherten Modus nach den in den Registry-Keys genannten Dateien und lösch die. Die dürften alle im Verzeichnis c:\windows\system32 stecken. Lösche die Dateien. Alternativ bzw. zusätzlich: 1. malwarebytes Antimalware zieh das runter. Abgesichert anfahren, Kiste vom Netz, prog starten - Full scan. 2. Nimm die Avira-Rescue-CD - runterladen auf ner sauberen Kiste. prog starten, brennt ne Boot-CD. Dann rechts bei den Einstellungen "bereinigen - wenn nicht möglich umbenennen". Avira hängt dann an die infizierte Datei ".XXX" dran. Viel Erfolg - ich denke mal, dass das Antimalware locker schafft bzw. die Maßnahme "von Hand" (duck und wech :daumenhoc ) |
Danke für die schnelle Antwort! Hab in der registry mal nach dem Schlüssel gesucht und auch gefunden. Nur in dem "Ordner" H8SRTd.sys ist nur ein Sclüssel Typ REG_SZ mit Namen Standard. Versuch ich den zu löschen kommt die Meldung "Nicht alle angegebenen Werte können gelöscht werden." Will ich den "Ordner" löschen kommt "H8SRTd.sys kann nicht gelöscht werden: Fehler beim Löschen des Schlüssels." Danach ist der Standard-Schlüssel weg klick ich aber auf einen anderen Ordner und dann wieder auf den "H8..."-ordner ist der Schlüssel wieder da. Ist der Registry-Eintrag dann trotzdem gelöscht auch wenn da der Fehler kommt, oder muss ich das wegkriegen bevor ich neustarten kann bzw. nochmal nach den Dateien suchen, die ich trotz Anzeigen von versteckten Dateien und Systemdateien bei vorherigen Suchläufen nie im system32 Ordner gesehen habe, sondern immer nur von Malwarebytes Antimalware oder DrWeb gefunden wurden. Die Dateien seh ich jetzt auch (noch) nicht... Die mit Windows Suche zu suchen geht nicht, da kommt immer "Windows Search", das meckert, dass es nicht ausgeführt wird (kann anscheinend nicht im Abgesicherten Modus gestartet werden...) |
Hallo, bin nochmal mit avenger drüber und hab mit dem skript die in dem GMER-Log angegebenen Dateien und den Treiber dens anscheinend auch gibt löschen lassen. Die waren nachem Avenger-Log aber schon gelöscht. DrWeb hat wohl gut gearbeitet... MBAM und Avira von der Recue-CD ham dann auch nix mehr gefunden, ich hoff dann is jetzt auch alles weg Danke für die Hilfe! |
Schön, wenn's funktioniert hat. Trotzdem: Neuinstall in's Auge fassen :D |
@Bullabeiser Ich werde mich hier mal einklinken. Was soll das eigentlich ohne ein Log gesehen zu haben, den PC als "clean" zu geben? :) Man muss sich mit mehreren Scans und Logfiles versichern, dass der PC auch wirklich clean ist ;) @Lobster Starte einen Scan mit Gmer. Poste das NEUE Logfile hier. |
Hatte ich nicht geschrieben: "Neuinstall in's Auge fassen" ? Steht da irgendwo, dass die Kiste "clean" ist? Diese "Entscheidung" liegt immer beim "Betreiber" eines PC's. |
Hallo bin zum ersten Mal hier und jetzt erst angemeldet. Thema: Rootkit H8SRT Hatte an Weihnachten ebenfalls das Problem. Kein Sicherheitsprogramm irgendeiner Art konnte gestartet werden (installiert schon). Keine der angegebenen Tips hat geholfen ( GMER usw.) Dann der große Hit ! TDSKILLER.EXE vom Kaspersky Tech. Support. Gibst hier [URL="http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150"] Eingesetzt, gekillt und alles geht wieder wie gewünscht. Frohes neues Jahr wünsche ich allen geplagten. Kochsan :party::kloppen::daumenhoc |
Ich habe jetzt auch diesen H8SRT mittels Rootkit Scanner entdeckt, nur was mache ich jetzt? Das Kaspersky Programm entdeckt und entfernt es auf unserem Rechner leider nicht. LG Anett |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board