TR/Rootkit.Gen

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

  • Hallo,
    seit etwa einer Woche habe ich folgendes Problem:
    Mein Avir-Freeversion meldet den TR/Rootkit.Gen. Wenn ich lösche, stürzt alles ab: Vista 32 meldet dann mit etwa 20 Meldungen, dass verschiedenste Programme nicht mehr funktionieren. Wenn ich den Virus belasse, kann ich ganz normal am Computer auch online arbeiten. Der Virus sitzt unter C:/Windows/System32/ftpdrv.sys. Wenn ich dort versuche ihn von Hand zu löschen lässt er sobald er markiert ist, nichts mehr zu.
    Das hatte ich noch nie...es wäre supernett, wenn mir jemand helfen könnte, bin schon mittelmäßig verzweifelt.


    Danke und Grüße von


    Blocki

  • Kein Grund zu verzweifeln das schaffen wir schon.
    1. Wenn du onlinebanking oder ähnliches betreibst, teile deiner Bank dein Problem mit, du solltest dann auch dringenst überlegen deinen PC zu formatieren.
    2. egal wie du dich entscheidest, deine Passwörter müssen von einem sauberen System aus geendert werden, da diese sicher ausspioniert sind!
    Belasse den PC bis zur Reinigung oder zum Formatieren nicht unnötig am Netz, falls nicht benötigt, trenne die Verbindung zum Internet surfe nur auf von mir genannten seiten.
    Wenn du bereinigen möchtest, mache hiermit weiter:
    http://www.paules-pc-forum.de/…ren-thread-erstellen.html
    Phase I abarbeiten und logs posten.
    ps meld dich bitte auch, falls du formatierst, dann gebe ich dir noch ein paar tipps.

  • Hallo Markus,


    sorry, ich musste erstmal weg, habe dann versucht die antivirstart-cd zu nutzen, hat aber nicht geklappt (ein Freund hatte mir das gesagt).
    Jetzt habe ich der Anleitung entsprechend die erste Software versucht, allerdings hat dann eine von vielen Antivirmeldungen das Programm nach 50 Minuten zum Absturz gebracht. Ich werde also morgen nach der Arbeit nochmal versuchen durchlaufen zu lassen und mich wieder melden.


    Danke und grüße


    Blocki

  • Hallo, update Malwarebytes noch mal.
    Danach schließe die Antivirensoftware und alles was sonst so läuft und an Fenstern offen ist, ziehe dein Netzwerkkabel oder schalte dein WLAN ab, wähle full scan. Funde löschen, Log posten.

  • Hallo Markus,
    mein Problem ist, dass sobald ich die antivir - meldungen wegmache, der Computer alle Programme melden lässt: xxx funktioniert nicht mehr und dann abstürzt. Hier jetzt mal die logfile, die ich mit nicht angerührten antivirfenstern gemacht habe:Malwarebytes' Anti-Malware 1.40
    Datenbank Version: 2682
    Windows 6.0.6001 Service Pack 1


    24.08.2009 17:37:27
    mbam-log-2009-08-24 (17-36-36).txt


    Scan-Methode: Vollständiger Scan (C:\|)
    Durchsuchte Objekte: 275444
    Laufzeit: 1 hour(s), 12 minute(s), 16 second(s)


    Infizierte Speicherprozesse: 1
    Infizierte Speichermodule: 1
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 4
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 4


    Infizierte Speicherprozesse:
    C:\Windows\System32\windows32.exe (Trojan.Agent) -> No action taken.


    Infizierte Speichermodule:
    C:\Users\pc\AppData\Roaming\unobi.dll (Trojan.Agent) -> No action taken.


    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungswerte:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvd32_r (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows server (Trojan.Agent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DiskChk help (Trojan.Downloader) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer (Trojan.Agent) -> No action taken.


    Infizierte Dateiobjekte der Registrierung:
    HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.


    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateien:
    C:\Users\pc\AppData\Roaming\Microsoft\Windows\update8123.cmp (Trojan.Agent) -> No action taken.
    C:\Users\pc\AppData\Roaming\unobi.dll (Trojan.Agent) -> No action taken.
    C:\Windows\System32\Windows32.exe (Trojan.Agent) -> No action taken.
    C:\ProgramData\proto.dll (Trojan.Downloader) -> No action taken.


    auf den antivir fenstern steht: TR/Rootkit.Gen in C:Windows/System32/ftpdrv.sys
    Was schlägst du vor? Morgen bekomme ich Kaspersky von einem Kollegen, die Rundumversion Virenschutz und Internet-security...


    Danke dir


    Blocki

  • Markus,
    ich habe jetzt die gescannten Sachen entfernt und neu gestartet und siehe da!!! Alles funktioniert gerade normal, keine Meldungen, antivir läßt sich wieder updaten und es kommen keine Meldungen. Ich lasse gerade das upgedatete Antivir nochmal durchlaufen und ahbe gestern alle wichtigen Passwörter von einem anderen Computer aus erneuert. Soll ich das Malware-Programm nochmal updaten und ohne Internetverbindung durchlaufen lassen?


    Danke


    Blocki

  • Markus,


    ich bin glaube ich immer als admin angemeldet, weiß das aber gar nicht genau...
    hier die beiden files:
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by pc at 2009-08-24 18:52:21
    Microsoft® Windows Vista™ Home Premium Service Pack 1
    System drive C: has 90 GB (19%) free of 477 GB
    Total RAM: 3070 MB (57% free)


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:52:50, on 24.08.2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18000)
    Boot mode: Normal





    Also habe antivir upgedatet schon durchlaufen lassen, hat nichts gefunden... das ist schon mal super, oder freue ich mich zu früh?


    Auf jeden Fall vielen Dank schon mal


    Blocki

  • ok es ist wichtig, selbst wenn du Admin bist, führe alle tools die ich dir nennem erst aus, wenn du einen rechtsklick und als admin ausführen gewählt hast.
    Gmer - Rootkit Scanner
    lade das Programm nun schalte alle laufenden Programme ab und trenne die Internetverbindung, kabel raus oder wlan aus. Auf dem Tab Rootkits alles aktivieren und den scan starten. Während des durchlaufs nichts am PC machen, Log posten.
    Radix:
    usec.at - Radix Anti-Rootkit -
    Auf dem Tab scan alles aktivieren, wieder alles aus, Verbindung trennen und log mit zip oder rar packen und hier anhängen. wenn das nicht geht, sende mir das log per mail. es währe aber nett, wenn du dass dann mit deinem usernamen benennen könntest, also datei umbenennen in blocki.log ich nehme an du bist das.

  • Hi markus,


    habe alles gemacht wie du es gesagt hast, aber gmer stürzt gerade zum vierten Mal ab, blauer Bildschirm mit der Meldung, dass ein Fehler gefunden wurde und zum Schutz runtergefahren wurde.


    Wat nu? Ich versuch es direkt nochmal während ich auf deine Antwort warte und bin auf meinem Laptop online...


    Danke


    Blocki

  • a problem has been detected and windows has been shut down to prevent damage from your computer,
    leider bleibt dann der Bildschirm nur kurz und windows startet wieder neu...
    ich mache jetzt mal radixinstaller...


    Blocki

  • ok, hab das hier gefunden soll ich das nach Radixgui.exe dann machen oder kann ich die Einstellungen währenddessen versuchen?


    Ergänzung vom 06.02.2008 21:54:
    so, hab mal was weiter gesucht :


    "Um den automatischen Neustart abzuschalten, muss zunächst das Dialogfenster "Systemeigenschaften" eingeblendet werden. Das geht am schnellsten über die Tastenkombination [Windows-Taste]+[Pause]; bei Windows Vista muss zusätzlich auf "Erweiterte Systemeinstellungen" geklickt werden. Anschließend in das Register "Erweitert" wechseln und im Bereich "Starten und Wiederherstellen" auf "Einstellungen" klicken. Hier das Kontrollkästchen "Automatisch Neustart durchführen" ausschalten und die Dialogfenster mit OK bestätigen. Statt bei einem Absturz automatisch neu zu starten, blendet Windows einen blauen Absturzbildschirm ein. Hier ist im oberen Bereich vermerkt, in welchem Programmteil oder Treiber der Fehler auftrat."