ComputerBase Menü
Aktuelles

Kann Virus/Trojaner nicht entfernen

venom

venom

Lieutenant
Registriert
Okt. 2001
Beiträge
848
Hallo,

habe folgendes Problem.

Es gibt zwei Viren/Trojaner auf der Platte die von AntiVir erkannt werden.

1. RKIT/Agent.DQ.31.A

C:\Windows\System32\drivers\ip6fw.sys

2. TR.Pushu.B

C:\Windows\System32\drivers\runtime.sys

Wenn ich diese lösche oder in die Quarantäne schicke, erscheinen diese beim nächsten Neustart wieder.

Jemand einen Tipp für mich?

Vielen Dank im vorraus ;)
 
Die Bazillen werden, durch Registryeinträge gesteuert, nach der Desinfizierung und anschließendem Neustart über deine Onlineverbindung wiederhergestellt. Entferne die Einträge und lösche die Viren. Erstelle und analysiere hierzu ein HiJackThis Log:
http://www.hijackthis.de/

Hiermit lassen sich a) Bazillen z.B. in deinem Windows Systemverzeichnis und b) deren zugehörige Registryeinträge finden. Die Dateien anschließend von Hand löschen (-> Killbox/ Unlocker bei sich in Benutzung befindlichen Dateien) und mit HiJackThis die Einträge im Log fixen. Rebooten und das Ergebnis kontrollieren.
http://www.bleepingcomputer.com/files/killbox.php
http://ccollomb.free.fr/unlocker/

Viel Glück
 
:lol: Format C: ...
naja dann muste aber wirklich seeeeehr verzweifelt sien^^!;)
also mit hijackthis hab ich bis jetzt noch alles wegbekommen (naja war zwar noch fast nix da...:D) einfach ein logfile machen und auf www.hijackthis.de auswerten lassen und dann im abgesicherten modus alle cerseuchten einträge löschen und fertig ist's!:)
ich hoffe ich konnte helfen
MfG
 
Hi

Nimm einem Portabel Virenscanner z.b. Clamwin oder sowas.
Klappt zu 99% und ist recht einfach im Gebrauch :p
Viel Erfolg
 
Neo the Dark schrieb:
:lol: Format C: ...
naja dann muste aber wirklich seeeeehr verzweifelt sien^^!;)
Zum Vergrößern anklicken....

Naja ich hatte mal keinen Virenscanner drauf(dachte passiert ja nix, hehe denkste!) und hab mir irgendwas eingefangen. Auf jedenfall konnte ich nur noch die Systemsteuerung und den Arbeitsplatz öffnen, erschwerend kam noch dazu das sämtliche .exe sozusagen gesperrt waren...

Was bleibt einem da anderes als format C:? Aber es hatte auch einen positiven Effekt: Nobody555 ins Internet ohne AV? niiiieeeee wieder!!!

Greetz
 
Nobody555 schrieb:
Was bleibt einem da anderes als format C:?
Zum Vergrößern anklicken....

Die Acronis TrueImage Boot CD einlegen und das letzte Image der Systempartition zurückspielen... Dauert ~6 Minuten ;)
 
Klar es haben ja auch alle Leute TrueImage...
 
Spielkind schrieb:
Die Bazillen werden, durch Registryeinträge gesteuert, nach der Desinfizierung und anschließendem Neustart über deine Onlineverbindung wiederhergestellt.
Zum Vergrößern anklicken....

kann nicht sein, denn der pc der mit den viren verseucht ist, ist z.Z. nicht am Internet angeschlossen

Entferne die Einträge und lösche die Viren. Erstelle und analysiere hierzu ein HiJackThis Log:
http://www.hijackthis.de/
Zum Vergrößern anklicken....

hab log datei auslesen lassen, aber da steht halt ... das alles im grünen bereich wäre.

kenne mich mit hijack jetzt nicht so ganz aus, wurde zum ersten mal von mir genutzt dank eurem tipp ;)

Please do the following:
- disable System restore: right-click on My computer -> choose Properties -> go to System restore tab and check "Turn off System restore..."
- restart the computer in safe mode
- perform a full scan (all files) and clean all infections
- restart the computer normally and enable back System restore
Zum Vergrößern anklicken....

hatte leider auch zu keinem erfolg gebracht

Spielkind schrieb:
Hiermit lassen sich a) Bazillen z.B. in deinem Windows Systemverzeichnis und b) deren zugehörige Registryeinträge finden. Die Dateien anschließend von Hand löschen (-> Killbox/ Unlocker bei sich in Benutzung befindlichen Dateien) und mit HiJackThis die Einträge im Log fixen. Rebooten und das Ergebnis kontrollieren.
http://www.bleepingcomputer.com/files/killbox.php
http://ccollomb.free.fr/unlocker/
Zum Vergrößern anklicken....

verstehe jetzt nicht so ganz, was ich machen soll ... habe beide tools gesaugt.

mit killbox hab ich die datei ip6fw.sys gelöscht, runtime.sys war nicht mehr vorhanden.
nach einem neustart kam eine virenmeldung von beiden existierenden dateien :(

unlocker versteh ich gar nicht, hab jetzt ein symbol in der taskleiste, also neben der uhr, aber hat keine optionen o.ä. :(
 
Zuletzt bearbeitet:
@Nobody555
Aber eben diese Situation hat mich einmal das TI anschaffen lassen. Ich habe es nicht bereut. Zumal ich für mein TI7 0 Euro bezahlt hab. Ich finde jeder sollte eins haben. Anderes Thema, Frieden?! Sollte ja auch ein Spass sein :)

@venom
Nun wenn der Rechner nicht online ist, aber die Viren wiederhergestellt werden, dann befinden sie sich eben auf deiner Platte, in den Tempverzeichnissen oder gar in deinen Eigenen Dateien.

Tatsache ist, das du eben diesen Schadcode finden musst, um den Rechner zu desinfizieren. Wenn du mit der Auswertung nicht zurechtkommst, schaue ich mir gerne das Log einmal an. (Aber nicht heute, da ich 2 Bier in der Birne habe ;)) Außerdem gibt es hier viel schlauere Köpfe als ich einer bin.

Hmm, googeln nach den genannten Viren spuckt eigentlich nur Links aus die den Virus mit AntiVir in Verbindung bringen. Ist AntiVir dein favorisierter Virenscanner? AntiVir war in der Vergangenheit bekannt für seine Fehlalarme (auch bei einem aktuellen Test haben die Fehlalarme eine Platzierung an der Spitze verhindert)
http://www.av-comparatives.org/

Vielleicht einmal einen Systemscan mit einem Onlinevirenscanner wagen um das Scanergebnis von AntiVir zu bestätigen.
http://support.f-secure.de/ger/home/ols.shtml
http://www.kaspersky.com/de/virusscanner

Ich würde stets Kaspersky basierende Virenscanner empfehlen. Ist ne Marotte von mir.

Die Datei "Ip6Fw.sys" könnte auch eine Windows Systemdatei sein.
http://www.file.net/prozess/ip6fw.sys.html

Verifiziere die Aussage bitte anhand der Kontrolle des Speicherorts und der Dateigröße. Scanne die Datei zusätzlich auf
http://virusscan.jotti.org/de/

Die Datei "runtime.sys" wird mit dem genannten Trojaner (Troj/Pushu-A) in Verbindung gebracht. Mist.
http://www.sophos.de/security/analyses/trojpushua.html

Poste vielleicht doch ein Log...

Edit:
Mit der Killbox oder dem Unlocker können sich in Benutzung befindliche Dateien (I.d.R. werden Viren beim Booten des Rechners gestartet) beendet und anschließend (beim Reboot) gelöscht werden. Die Funktionalität ist die gleiche. Ich arbeite mit der Killbox. Die Datei "ip6fw.sys" zu löschen war, wie oben gesagt, vielleicht ein Fehler... Anleitung zur Killbox:
http://virus-protect.org/killbox.html

Der Unlocker installiert sich ins Kontextmenü, so das Dateien per Rechtsklick im Explorer beendet und gelöscht werden können. Wie gesagt, ich habe ihn nicht installiert.
 
Zuletzt bearbeitet: (Anleitung Killbox hinzu)
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:18:25, on 04.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
G:\HiJackThis_v2.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - D:\Persönliche Dateien\Schmetterling\pai bilder\bin\btwdins.exe (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)

--
End of file - 1865 bytes
 
@Spielkind Kein Problem... Ich hab mir auch gar nicht aufgeregt. Ich denke es ist halt bei den meisten Leuten einfach dumm gelaufen wenn man einen Virus erwischt... und dann hat halt vielleicht nicht jeder grad das passende tool griffberteit. Was dann je nach Virus schon format C. bedeuten kann...

Aber ja Freidenserklärung angenommen LOL

@Topic Ich hab mal versucht rauszufinden wie dieser Virus von anderen Virenscannern genannt wird um so eventuell ein removal tool zu finden das auf den Virus zugeschnitten ist. Hatte aber keinen Erfolg:(

Bei Symantec gibts viele davon... Und die gehen vor allem auch wenn man keine Norton Produkte nutzt so wie ich:p

Greetz
 
Hier gibt es ein das Problem im Avira Forum:

RKIT/Agent.DQ.31.A nicht wegzukriegen

http://forum.antivir.de/thread.php?threadid=20343&sid=447cc23727d1cfd79680d9d215ce4f2b

Du hättest dir das Ding wahrscheinlich nie eingefangen, wenn du dir das zu Herzen genommen hättest:

[How to] Save my XP
https://www.computerbase.de/forum/t...richten-und-wichtige-verhaltensregeln.212393/

Besonders das:
Sie sollten auch nur mit eingeschränkten Benutzerrechten arbeiten und surfen. Dies kann man unter Systemsteuerung/Benutzerkonten einstellen.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Du erhälst den Preis für das kürzeste Log das ich bislang gesehen hab. Dein Log ist sauber. Du hast dir ein Rootkit eingefangen. Das findet sich im Log nicht wieder. Ganz üble Bazille. Du kannst ja mal das F-Secure Blacklight ausprobieren, ob er dir den Rootkit von der Platte holt.
https://europe.f-secure.com/exclude/blacklight/index.shtml

Große Hoffnung würde ich mir aber nicht machen, würde an deiner Stelle die Flügel strecken und die Kiste neu aufsetzen.
 
habe noch eine frage.

möchte gerne noch daten sichern, besteht evtl. die möglichkeit, dass diese auch infiziert sind. dann würde die sicherung ja nichts bringen.

denn ich werde das system formatieren
 
Das Rootkit ist afaik mittels Java Script o.ä. über eine manipulierte HP auf dein System gekommen und nicht z.B. über eine virenverseuchte Email.

Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen. Hinzu können Backdoors (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport eine Verbindunganfrage gestellt wurde. Die Grenze zwischen Rootkits und Trojanischen Pferden ist fließend.
Zum Vergrößern anklicken....

Quelle
http://de.wikipedia.org/wiki/Rootkit

Eine Sicherung deiner Eigenen Dateien, speziell der nicht ausführbaren Dateien (Filme, Bilder, Word, Excel, usw.), ist in jedem Fall sinnvoll und imo auch gefahrlos. Eine Infektion der ausführbaren Dateien halte ich auch für unwahrscheinlich. Evt. hilft eine Verifikation fraglicher Dateien auf
http://virusscan.jotti.org/de/

Auch würde ich vor dem Neuaufsetzen die Adressbücher, die Konten und die Mails des Mailprogramms sichern.
 
Hi! Wenn der PC von einem Virus befallen wurde sollte man grundsätzlich IMMER formatieren! Auch sollte man von Zeit zu Zeit ein Backup seines Systems anfertigen. Jetzt kannst du nur noch rumfrickeln und weisst nicht mal, ob noch andere dateien infiziert wurden. Für solche Notfälle ist ein Backup gedacht. Ich weiss, mein Rat hilft dir net weiter, aber ich mache immer grundsätzlich das System platt und spiele dann ein Backup auf:-) Achso, deine Passwörter kannste ebenfalls vergessen, falls du eins hattest. Grüsse
 
Zuletzt bearbeitet:
Kleiner Senfbeitrag meinerseits ..

Es handelt sich hier um ein ROOTKIT - UND - um einen TROJANER mit BACKDOOR-FUNKTIONALITÄT.

Jeder für sich ist schon mehr als nur ein guter Grund zum Formatieren, da die Funktionen dieser Dinger einfach unberechenbar sind und sich jederzeit vom "Meister" abändern lassen. So schnell, dass Antivirensoftware-Hersteller meist nicht darauf reagieren können.

Diagnose, Kompromittierung. Formatieren, neu Aufsetzen.

mfg,
Markus
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Virus, Trojaner, etc?
Antworten
8
Aufrufe
1.515
PCTastatur
P
J
Virus Trojaner eingefangen? Wie erkennen?
Antworten
16
Aufrufe
2.702
chrigu
chrigu
F
coinminer.qf Virus/Trojaner?!
Antworten
8
Aufrufe
1.393
Dr. McCoy
Dr. McCoy
A
Virus, Trojaner oder Malware auf dem PC
Antworten
18
Aufrufe
4.792
Oli_P
Oli_P
H
Virus, Trojaner. Womit entfernen?
Antworten
11
Aufrufe
3.091
Heen
Heen
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz