PMS/FURootkit

• 15.04.2005

• #1

S

Stefan D.

Guest

Hi Leute!
Ich hab da n Problem mit meinem PC und zwar hab ich so genanntes PMS/FURootkit drauf!! Das wirkt sich so aus, dass ich den Taskmanager nicht aufmachen kann und außerdem funktioniert der AVGuard nicht mehr...wahrscheinlich geht noch mehr nicht aber da bin ich noch nicht drauf gekommen.
Naja auf jeden Fall kann mein AntiVirus Programm nix dagegen tun, und Ad-Aware auch nicht. Ich hab mir jetzt unhackme runter geladen, womit ich das Rootkit auch finden und löschen kann...das einzige Problem is, dass ich danach den Pc nicht mehr normal starten kann. Ich muss dann immer Windows mit der letzten, bekannten, funktionierenden Konfiguration starten, was bedeutet, dass ich mein Rootkit auch wieder hab.... Ziehmlich beschissen das Ganze!
Vielleicht weiß ja i-wer was man dagegen machen kann, außer den Computer neu aufsetzen!

*verschoben von Windows XP*

 

• 16.04.2005

• #2

M

mav1976

Guest

hi stefan,

erstx wäre zu wissen, in welcher datei diese possible malicious maleware gefunden wurde. dann wäre es auch nicht schlecht, wenn du die hilfedatei einfach x liest, was pms überhaupt bedeutet.

und dann wäre der nächstlogische schritt, die pms-erkennung zu entfernen deaktivieren. dies machst du über das konfigurationsmenü des guards unter unerwünschte programme.

 

• 19.04.2005

• #3

S

Stefan D.

Guest

Also die Datei in der sich das Ding finden lässt heist msdirectx.sys....kann ICH nix damit anfangen!

Welche Hilfedatei soll ich durchlesen??

 

• 19.04.2005

• #4

S

Stefan D.

Guest

Ach ja....die PMS-Erkennung hab ich deaktiviert. Hat sich nix an dam Ganzen geändert. :'(

 

• 19.04.2005

• #5

S

Stefan D.

Guest

Bin gerade drauf gekommen, dass mein Hijackthis auch nicht funzt...
Langsam wirds ärgerlich

 

• 19.04.2005

• #6

B

berliner-loewe

Bekanntes Mitglied

Dabei seit

20.02.2004

Beiträge

4.606

Reaktionspunkte

0

Ort

Berlin

Stefan schrieb:

Bin gerade drauf gekommen, dass mein Hijackthis auch nicht funzt...
Langsam wirds ärgerlich

Zum Vergrößern anklicken....

Hört sich fast nach einer Neuinstallation an.
Was in den meissten Fällen von Schädlingsbefall auch sicherlich die sauberste Lösung wäre.

Edit: Und sich mal Gedanken darüber machen, wie das Zeug auf dem Rechner kommt.

 

• 20.04.2005

• #7

M

mav1976

Guest

Stefan schrieb:

Welche Hilfedatei soll ich durchlesen??

Zum Vergrößern anklicken....

die ein jedes programm mit sich führt. schaue x nach, dort wirst du auch den punkt hilfe entdecken.

zur msdirectx.sys: diese kannst du hier x untersuchen lassen. http://virusscan.jotti.org/de/

 

• 20.04.2005

• #8

S

Stefan D.

Guest

So erstmal danke, dass ihr mir helft!!!!!

Hab die Datein scannen lassen. Das is dabei rausgekommen:

[i]AntiVir
PMS/FURootkit possible malicious software gefunden
Avast
Win32:Trojan-gen. {Other} gefunden
AVG Antivirus
Collected.5.L gefunden
BitDefender
Trojan.Rootkit.H gefunden
ClamAV
Trojan.HacDef-8 gefunden
Dr.Web
Trojan.FuRootkit gefunden
F-Prot Antivirus
W32/Furootkit.B@tool gefunden
Fortinet
W32/SDBot.PZ-net gefunden
Kaspersky Anti-Virus
Trojan.Win32.Rootkit.h gefunden
mks_vir
Trojan.Rootkit.H gefunden
NOD32
Win32/Rootkit.H gefunden
Norman Virus Control
W32/FU_Rootkit.B gefunden
VBA32
Trojan.Win32.Rootkit.h gefunden[/i]

Klingt nicht so gut....

 

• 20.04.2005

• #9

M

mav1976

Guest

moin,

dann nenne uns doch x den kompletten pfad, wo die datei gefunden wurde. alternativ, kannst du auch in der logdatei nachschauen. dort muß der pfad auf jeden fall drinstehen.

oder du stellst hier x ein hijackthis protokoll rein, damit man sich x einen überblickk verschaffen kann.

 

• 21.04.2005

• #10

S

Stefan D.

Guest

Der Pfad der Datei is...C:\Dokumente und Einstellungen\<mein Name>

Mein Hijackthis tut leider nix....blinkt nur ganz kurz auf, wenn ich drauf klick! Hab schon 3 verschiedene runter geladen, geht aber keins. Wird sicher von dem Rootkit blockiert.

Ach ja...n Freund von mir meinte, dass ich mir da wohl was ganz schlimmes eingefangen hab. Also ich denke nicht, dass da was ums neu aufsetzten herum führt... Außerdem hat er gesagt, dass es ganz gut wäre die Speicherstruktur der Festplatte zu zerstören...was haltet ihr davon? Hab gar nicht gewusst das sowas geht und kann mir nicht vorstellen, dass das nötig is.

 

• 21.04.2005

• #11

H

hp

Bekanntes Mitglied

Dabei seit

29.08.2003

Beiträge

8.945

Reaktionspunkte

37

versuchs mal mit dem sysclean package von trendmicro http://www.trendmicro.com/download/dcs.asp und dem aktuellen virenpatternfile http://www.trendmicro.com/download/pattern.asp, dann starte im abgesicherten modus und deaktivier die systemwiederherstellung. anschließend lass sysclean.com laufen, der sollte einige bereinigen. wenn das klappt dann lass noch spybot und ad-aware in aktueller version laufen. dann versuch nochmal hijackthis laufen zu lassen und das log kannst du hier www.hijackthis.de auswerten lassen ...

greetz

hugo

 

• 25.04.2005

• #12

S

Stefan D.

Guest

so...hab ich probiert! Hat einiges gefunden, was der AvGuard übersehn hat....mein Hauptproblem besteht aber immer noch!
Trotzdem Danke

 

• 14.05.2005

• #13

G

gnauzl

Guest

Hallo Stefan
Hatte das gleiche Problem
Habe folgendes gemacht:
1. Abgesicherter Modus
2. Regedit ausführen (geht dort wieder)
3. suche alle msxdl.exe und lösche diese (P.S. habe dort auch syshost.exe gelöscht)
4. Im Dateimanager nach diesen Dateien gesucht und gelöscht
5. Neu gestartet - alles O.K.

hatte mal Fehlermeldung das ich msxdl.exe in Regedit nicht löschen konnte,
aber beim 2. mal im abgesicherten Modus ging es dann
Ich hoffe das ich Dir helfen konnte

 

• 25.05.2005

• #14

J

Jörg Lutz

Guest

Hallo

Ich habe diesen Schädling mit Ewido ruasgekriegt. Google mal unter Ewido

Gruss

 

• 25.05.2005

• #15

J

Jörg Lutz

Guest

ewido im abgesicherten Modus installieren !