Rootkit oder Trojaner - Befall?

diwapfrance · 05.11.2008

Wer kann hier helfen!
Nach Rechnerstart Windows XP Prof. 50 bis 95% CPU-Auslastung. Dauer bis zu 20 Minuten. Vermute Rootkit oder Trojaner.
SpyBot findet nichts. Lade PREVX CSI und lasse scannen aber bei 51% bleibt der Scanner hängen. Keine Mausfunktion mehr möglich. Letzte angezeigte Datei bei PREVX CSI:
C:\Windows\systeme32\msvcrt.dll
Da der Rechner nicht mehr zu steuern ist, Netz unterbrechen und Neustart erzwingen.
Es ist der Rechner meiner Frau und somit bin ich noch mit meinem XP Home funktionsfähig im Netz.
Danke für jede Hilfe
diwapfrance

PCDpan_fee · 05.11.2008

diwapfrance schrieb:
C:\Windows\systeme32\msvcrt.dll

gehört zu Microsoft Visual C++ Redistributable Package
http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware3098

Microsoft Visual C++ Redistributable Package:
Microsoft Visual C++ Redistributable Package

pan_fee

schrauber · 05.11.2008

http://www.wintotal-forum.de/index.php/topic,147847.0.html

von dieser seite hijackthis abarbeiten, log hier posten.

diwapfrance · 06.11.2008

Hi schrauber,
wir hatten vor einer Woche schon einmal Kontakt. Es ist wieder der gleiche Rechner.
Einen Befall konnte ich da entfernen. Oder haben sich Ableger von ihm versteckt gehalten.
Die Datei update.exe läuft und läuft.
SpyBbot und AD-Aware finden nichts. PREVX CSI hängt sich auf. Jetzt scannt zur Zeit noch AntVir.
Wenn ich an dem befallenen Rechner noch arbeiten kann, versuch ich dort high..this und poste wenn möglich.
Danke zunächst
diwapfrance

[br][br]Erstellt am: 05.11.08 um 20:29:38

[br]Hi schrauber,

hier meine Ergänzung zum gestrigen Text.
SpyBot, AD-Aware, Prevx CSI zeigen heute keinen Befund mehr. Aber AntVir stoppt bei 84,4% auch nach einer Wiederholung beim Scannen. Nach dem Hochfahren benötigt das System aber noch viele Minuten bis der Leerlauf auf 97% und die Prozessorauslausung sich von bis zu 90% auf 2% einpegelt. AntiVir stoppt bei der Abarbeitung der folgenden Datei: C:\Systeme Volumen Information\...\A0089711.exe->Settings\_init_.py. So wird es jedenfalls angezeigt. Das mit dem hijackthis habe ich leider wohl nicht kapiert. Jedenfalls hat es nicht geklappt.
Wie kann ich sinnvoll weiter machen?

Gruß diwapfrance

PCDpan_fee · 06.11.2008

diwapfrance schrieb:
C:\Systeme Volumen Information\...\A0089711.exe->Settings\_init_.py.

Die Datei liegt im Systemwiederherstellungs-Ordner. Einfach mal die Systemwiederherstellung abschalten und wieder aktivieren. Durch das Abschalten wird der Inhalt des Ordner gelöscht, der Ordner selbst bleibt erhalten.
http://www.wintotal.de/Tipps/?id=170

Nach dem Hochfahren benötigt das System aber noch viele Minuten ...

Systemstart (msconfig) mal ausmisten.

pan_fee

schrauber · 06.11.2008

hijackthis laden und installieren, i accept the agreement anklicken, do a system scan and save a logfile klicken.

den inhalt des sich öffnenden notepad-fensters hier posten. is doch nicht so schwer

diwapfrance · 07.11.2008

mml Mein Dankeschön an schrauber und PCDpan_fee
Ich habe Eure Hinweise erfolgreich nutzen können. Rücksetzen der Systemwiederherstellung, sehr gründliches Ausmisten. Mit hijackthis hatte ich die Lizensvereinbarung kopiert, war natürlich nicht zum Posten gedacht.
Alle installierten Scanprogramme zeigen keine Probleme mehr. Der Rechner bleibt nach dem Hochfahren schnell betriebsbereit und die Prozessorauslastung bleibt unten bei etwa 2%, der Leerlauf etwa 98%.
War nett von Euch!
Gruß aus Frankreich
diwapfrance

PCDpan_fee · 06.12.2008

Kam per Mail

betr: MyWay.My.WebSearch
von diwapfrance user Forum Win-Total

Gestern beobachtete ich, dass meine Maus oftmals stehen blieb und dann doch wieder funktionierte.
Als oftmals Malware-Geschädigter tippte ich gleich auf einen neuen Befall und aktualisierte SpyBot.
Die letzten Scans von SpyBot, AD-Aware, AntiVir und PREVX-CSI liefen vor drei Tagen und waren ohne Befund.
Jetzt ein neuerlicher Scan mit SpyBot ergab heute den obigen Befund. Es befanden sich 35 Dateien darin.
Sie wurden in Quarantäne verschoben und dann auf Beheben geklickt.
SpyBot konnte aber nur 33 entfernen und forderte einen erneuten Scan nach dem Neustart an.
Nach dem neuerlichen Scannen wurde unter der gleichen Benennung MyWay.My.WebSearch noch die beiden folgenden Dateien in C:/Programme gefunden;
AsKSBar/ und KsKSBar/bar/

Nach erneutem Beheben konnte nur eine der beiden letzten Datei entfernt werden.
Erneute Aufforderung von SpyBot Scannen nach dem Neustart war dann endlich auch die Letzte Datei entfernt.

Mit dem Programm CCleaner fand ich aber dann doch noch in der Registrierung eine Uninstall-Datei dazu welche ich dann noch entfernte.
Da ich außerordentlich Vorsichtig und sceptisch im IT agiere, würde ich doch gerne wissen wo ich mir wieder einmal so einen Befall
eingehandelt habe. Im Forum Win-Total konnte ich über diesen Befall keine Information finden.
Können Sie diesen Bericht von mir im Forum verwenden?

Mit freundlichen Grüßen

diwapfrance

PCDpan_fee · 06.12.2008

ASK Bar versteckt sich meist in der Setup-Installation von Programmen, wie z.B. Weather Watcher, Nero 6, etc. - kann aber bei dem benutzerdefinierten Setup abgewählt werden.

Screenshot:
http://www.wintotal.de/images/tipps/WeatherWatcher_ASK_Toolbar.gif

pan_fee

Rootkit oder Trojaner - Befall?

diwapfrance

PCDpan_fee

schrauber

diwapfrance

PCDpan_fee

schrauber

diwapfrance

PCDpan_fee

PCDpan_fee

Rootkit oder Trojaner - Befall?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums