Jan91

Habe ein Virus auf meinem Computer.
Es nennt sich "
"Troj/Rustok-N?".
Ich weiß nicht wiei ch es entfernen soll, weil mein antivir ihn zwar löscht, er aber sofort wieder da ist.
Programme wie "SuperAntiSpyware" hab ich auch drauf, werden aber sofort beim Start wieder beendet. Andere programme der Art werden auch geblockt, bei Datenbanken-downloaden von diversen AntiMalware-Programmen wird es sofort abgebrochen.
Beim surfen über Google, wenn ich auf verschiedenen Seiten ghe springt er mir einfach so wieder auf Google zurück.

Kennt sich wer mit diesem Virus aus?

Es ist seltsam das ich diesen Virus auf einmal habe, da ich jetzt meinen Computer ein paar Tage weggegeben hatte, und als ich ihn wiederbekam und mich ins Internet eingeloogt habe, fing es an.
Durch welche Aktionen fängt man sich dieses Teil ein?

Gruß,
Jan

Leonixx

Hi,

das können wir logischerweise nicht nachvollziehen. Du hast den PC weggeben, da kann alles mögliche passiert sein. Sieht so aus als würde dein System umgeleitet z.B. auf einen ukrainischen Server. Das können wir aber erst beurteilen, wenn wir Logfiles haben.

Hijackthis und Combofix im abgesicherten Modus ausführen. Beide Links in meiner Signatur. Poste beide Logfiles.

Gruss

Jan91

Ich habe versucht Combofix zu installieren, hat weder im normalen, noch im abgesicherten Modus geklappt.
HJT konnte ih zwar installieren, beim starten allerdings passiert rein gar nichts.
Beim Taskmanager wird auch kein Prozess einer dieser Programme gezeigt.
Antivir findet ein schädliches Objekt, "tmp8.tmp" mit dem Fund "TR/Alureon.BP.4", welches zwar repariert werden, beim nächsten Suchlauf ist es aber wieder da.


Gruß,
Jan

Leonixx

Ich vermute mal stark das ein Rootkit auf dem System ist, dass weiter munter Schädlinge nachlädt. Das ist schon der zweite Trojaner. Der Rootkit tarnt sich als harmloses Programm und ist deshalb nur schwer zu erkennen.

Du könntest es jetzt zwar noch mit Knoppicillin versuchen. Allerdings denke ich das es keinen Sinn mehr macht. Der Rootkit hat schon sämtliche Rechte übernommen und du kannst auf dem System nichts mehr machen.

Lade dir eine Linux Live CD (z.B. Knoppix), sichere deine Daten, formatiere die Systempartition und installiere Windows neu. Ändere deine Passwörter.

http://www.knoppix.org/

Jan91

Meine externe Festplatte ist auch infiziert, wenn ich Dateinen (hauptsächlich Image-Dateien) auf eine nicht-infizierte Platte zieh, ist das Rootkit da dann auch drauf?
Gibt es nichts was ich in der Hinsicht noch tun kann?

Jan

Leonixx

Image Dateien sollten nicht infiziert sein. Du kannst es aber testen mit dem Tools gmer und Avira Antirootkit. Mit beiden Tools die Images scannen.

http://www.chip.de/downloads/Gmer_27583350.html
http://www.free-av.com/de/produkte/4...tkit_tool.html

Jan91

Hab das durchlaufen lassen, hat zwar was gefunden, kann aber nicht gelöscht werden. bei dem GMER ist das dann einfach grau hinterlegt.
"GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-06-09 13:10:34
Windows 5.1.2600 Service Pack 3



"Library \\?\globalroot\systemroot\system32\MSIVXypmqxtkbyf xxmyxilvejsnrbqevdppax.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [964] 0x10000000"

das wird gefunden bei dem reiter Malware/Rootkit.

Was kann ich da machen =(
habe meinen rechner neu installiert, konnte auch SuperAntiSpyware und HJT wieder installieren, hat auch alles geklappt, aber auf einmal hat AntiVir wieder ausgeschlagen und das Virus gemeldet. Scheint dasselbe zu sein wie vor der neuinstallation, da HJT wieder nicht gestartet werden kann....


Jan

StreicherII

habe heute morgen dasselbe problem wie jan festgestellt bei mir - eliminierung über antivir hat ebenfalls nicht funktioniert...(nach neustart wieder da)....

nach der ausführung dieser combofix-software von dir ist die fragliche datei gelöscht, wird von antivir nicht mehr gefunden und vorher bestehende probleme wie falsche weiterleitungen bei google, Nicht-funktionieren des automatischen updates bei antivir, sind jetzt ebenfalls behoben... danke dafür...

sollte ich sicherheitshalber die highjack-auflistung noch posten?

Michael

Jan91

bei mir hat die ausführung von combofix gar nicht funktioniert.
hab meinen rechnern un zum 2. mal neu aufgesetzt, und nun gehts auch wieder (bis jetzt).

hab im www davon gelesen das der virus von einerm ukrainischen server gedownloadet wird, auf welche man von diesem rootkit weitergeleitet wird.
eine konkrete lösung habe ich bisher nicht gefunden, werde aber rein aus sicherheit dranbleiben.
nach der neuinstallation sollte man passwörter ändern, da die scheinbar übertragen werden.

das rootkit erhält man (wie ich das auf englisch verstanden habe) durch filesharing und torrents, hab da aber auch unterschiedliche dinge gelesen.


Gruß,
jan

Leonixx

@Jan91

C:\Windows\system32\MSIVXypmqxtkbyfxxmyxilvejsnrbqevdppax.dll
C:\WINDOWS\system32\svchost.exe

Diese beiden Dateien suchen, bei Virustotal hochladen und auswerten. www.virustotal.com Vorher versteckte Ordner und Dateien sichtbar machen, sowie geschützte Systemdateien einblenden.

Rootkitscanner erkennen auch Prozesse und Dateine von Windows als Rootkit, weil diese eine ähnliches Verhalten haben. Diese sind aber harmlos.

Viren etc. kommen nicht nur zwangsläufig über Filesharing, sondern auch über Drive by Downloads auf das System.

@Streicher

Ich habe dir es nicht empfohlen, oder? Hattest du einen Thread eröffnet? Wende nochmals Combofix an und poste das alte und neue Logfile. Eröffne bitte dazu einen eigenen Thread, sonst wird es unübersichtlich.