Troj/Rustok-N?

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Jan91, 04.06.2009.

  1. Jan91

    Jan91 Benutzer

    Dabei seit:
    01.12.2008
    Beiträge:
    79
    Zustimmungen:
    0
    Habe ein Virus auf meinem Computer.
    Es nennt sich "
    "Troj/Rustok-N?".
    Ich weiß nicht wiei ch es entfernen soll, weil mein antivir ihn zwar löscht, er aber sofort wieder da ist.
    Programme wie "SuperAntiSpyware" hab ich auch drauf, werden aber sofort beim Start wieder beendet. Andere programme der Art werden auch geblockt, bei Datenbanken-downloaden von diversen AntiMalware-Programmen wird es sofort abgebrochen.
    Beim surfen über Google, wenn ich auf verschiedenen Seiten ghe springt er mir einfach so wieder auf Google zurück.

    Kennt sich wer mit diesem Virus aus?

    Es ist seltsam das ich diesen Virus auf einmal habe, da ich jetzt meinen Computer ein paar Tage weggegeben hatte, und als ich ihn wiederbekam und mich ins Internet eingeloogt habe, fing es an.
    Durch welche Aktionen fängt man sich dieses Teil ein?

    Gruß,
    Jan
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 05.06.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi,

    das können wir logischerweise nicht nachvollziehen. Du hast den PC weggeben, da kann alles mögliche passiert sein. Sieht so aus als würde dein System umgeleitet z.B. auf einen ukrainischen Server. Das können wir aber erst beurteilen, wenn wir Logfiles haben.

    Hijackthis und Combofix im abgesicherten Modus ausführen. Beide Links in meiner Signatur. Poste beide Logfiles.

    Gruss
     
  4. Jan91

    Jan91 Benutzer

    Dabei seit:
    01.12.2008
    Beiträge:
    79
    Zustimmungen:
    0
    Ich habe versucht Combofix zu installieren, hat weder im normalen, noch im abgesicherten Modus geklappt.
    HJT konnte ih zwar installieren, beim starten allerdings passiert rein gar nichts.
    Beim Taskmanager wird auch kein Prozess einer dieser Programme gezeigt.
    Antivir findet ein schädliches Objekt, "tmp8.tmp" mit dem Fund "TR/Alureon.BP.4", welches zwar repariert werden, beim nächsten Suchlauf ist es aber wieder da.


    Gruß,
    Jan
     
  5. #4 Leonixx, 05.06.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ich vermute mal stark das ein Rootkit auf dem System ist, dass weiter munter Schädlinge nachlädt. Das ist schon der zweite Trojaner. Der Rootkit tarnt sich als harmloses Programm und ist deshalb nur schwer zu erkennen.

    Du könntest es jetzt zwar noch mit Knoppicillin versuchen. Allerdings denke ich das es keinen Sinn mehr macht. Der Rootkit hat schon sämtliche Rechte übernommen und du kannst auf dem System nichts mehr machen.

    Lade dir eine Linux Live CD (z.B. Knoppix), sichere deine Daten, formatiere die Systempartition und installiere Windows neu. Ändere deine Passwörter.

    http://www.knoppix.org/
     
  6. Jan91

    Jan91 Benutzer

    Dabei seit:
    01.12.2008
    Beiträge:
    79
    Zustimmungen:
    0
    Meine externe Festplatte ist auch infiziert, wenn ich Dateinen (hauptsächlich Image-Dateien) auf eine nicht-infizierte Platte zieh, ist das Rootkit da dann auch drauf?
    Gibt es nichts was ich in der Hinsicht noch tun kann?

    Jan
     
  7. #6 Leonixx, 07.06.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
  8. Jan91

    Jan91 Benutzer

    Dabei seit:
    01.12.2008
    Beiträge:
    79
    Zustimmungen:
    0
    Hab das durchlaufen lassen, hat zwar was gefunden, kann aber nicht gelöscht werden. bei dem GMER ist das dann einfach grau hinterlegt.
    "GMER 1.0.15.14966 - http://www.gmer.net
    Rootkit scan 2009-06-09 13:10:34
    Windows 5.1.2600 Service Pack 3



    "Library \\?\globalroot\systemroot\system32\MSIVXypmqxtkbyfxxmyxilvejsnrbqevdppax.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [964] 0x10000000"

    das wird gefunden bei dem reiter Malware/Rootkit.

    Was kann ich da machen =(
    habe meinen rechner neu installiert, konnte auch SuperAntiSpyware und HJT wieder installieren, hat auch alles geklappt, aber auf einmal hat AntiVir wieder ausgeschlagen und das Virus gemeldet. Scheint dasselbe zu sein wie vor der neuinstallation, da HJT wieder nicht gestartet werden kann....


    Jan
     
  9. #8 StreicherII, 09.06.2009
    StreicherII

    StreicherII Neuer Benutzer

    Dabei seit:
    09.06.2009
    Beiträge:
    1
    Zustimmungen:
    0
    habe heute morgen dasselbe problem wie jan festgestellt bei mir - eliminierung über antivir hat ebenfalls nicht funktioniert...(nach neustart wieder da)....

    nach der ausführung dieser combofix-software von dir ist die fragliche datei gelöscht, wird von antivir nicht mehr gefunden und vorher bestehende probleme wie falsche weiterleitungen bei google, Nicht-funktionieren des automatischen updates bei antivir, sind jetzt ebenfalls behoben... danke dafür...

    sollte ich sicherheitshalber die highjack-auflistung noch posten?

    Michael
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. Jan91

    Jan91 Benutzer

    Dabei seit:
    01.12.2008
    Beiträge:
    79
    Zustimmungen:
    0
    bei mir hat die ausführung von combofix gar nicht funktioniert.
    hab meinen rechnern un zum 2. mal neu aufgesetzt, und nun gehts auch wieder (bis jetzt).

    hab im www davon gelesen das der virus von einerm ukrainischen server gedownloadet wird, auf welche man von diesem rootkit weitergeleitet wird.
    eine konkrete lösung habe ich bisher nicht gefunden, werde aber rein aus sicherheit dranbleiben.
    nach der neuinstallation sollte man passwörter ändern, da die scheinbar übertragen werden.

    das rootkit erhält man (wie ich das auf englisch verstanden habe) durch filesharing und torrents, hab da aber auch unterschiedliche dinge gelesen.


    Gruß,
    jan
     
  12. #10 Leonixx, 09.06.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    @Jan91

    C:\Windows\system32\MSIVXypmqxtkbyfxxmyxilvejsnrbqevdppax.dll
    C:\WINDOWS\system32\svchost.exe

    Diese beiden Dateien suchen, bei Virustotal hochladen und auswerten. www.virustotal.com Vorher versteckte Ordner und Dateien sichtbar machen, sowie geschützte Systemdateien einblenden.

    Rootkitscanner erkennen auch Prozesse und Dateine von Windows als Rootkit, weil diese eine ähnliches Verhalten haben. Diese sind aber harmlos.

    Viren etc. kommen nicht nur zwangsläufig über Filesharing, sondern auch über Drive by Downloads auf das System.

    @Streicher

    Ich habe dir es nicht empfohlen, oder? Hattest du einen Thread eröffnet? Wende nochmals Combofix an und poste das alte und neue Logfile. Eröffne bitte dazu einen eigenen Thread, sonst wird es unübersichtlich.
     
Thema:

Troj/Rustok-N?

Die Seite wird geladen...

Troj/Rustok-N? - Ähnliche Themen

  1. Website(n) lädt Grafiken nicht

    Website(n) lädt Grafiken nicht: Hallo zusammen, ich habe seit neuestem ein merkwürdiges Internetproblem, welches die letzten Tage immer häufiger bei Facebook auftritt (siehe...
  2. Festplatte(n) kaputt?

    Festplatte(n) kaputt?: Hallo, Ich habe folgendes Problem : Wenn ich meinen Pc hochfahre piept es manchmal einmal dannschaltet sich die Bootdevice LED bei meinem...
  3. Fernseher für Games o h n e S p i e g e l l a c k

    Fernseher für Games o h n e S p i e g e l l a c k: Fernseher für Games Hallo. Hatte ja vor ner Weile schon mal nach nem 50-55" Fernseher ohne nervigen Spiegel-Hochglanz-Lack gefragt. Hatte vor...
  4. Plötzliche Verbindungsabbrüche von Fritz Wlan Usb N V2 zur Easy Box

    Plötzliche Verbindungsabbrüche von Fritz Wlan Usb N V2 zur Easy Box: Hey, ich habe schon seit tagen Probleme mit meinem Internet, ich habe zwar durchgehende Verbindung zu meinem Router aber wenn ich zb. Skype,...
  5. W7 n Partition erstellen

    W7 n Partition erstellen: Moin! Ich möchte gerne W7auf D. erstellen, weil ich erst einmal XP auf C. behalten möchte. Wenn ich aber W7 über das Laufwerk boote, habe ich...