Rootkit auf dem PC entfernen? Saphos Anti Rootkit

[XHitcher1]

Hallo ich repariere gerade mal wieder einen Laptop eines Kumpels, ich denke dass er ein Speicher defekt hat, aber dazu später mehr!

Jedenfalls habe ich ihn erstmal von diversen Cookies, trojan droppern und downloadern befreit mit *super Anti Spyware*, *Malwarebytes anti malware* *avira de cleaner* und *norton de cleaner* sowie *dr.web curelt* und dem tool *Adw cleaner*

Nun habe ich noch mit dem Programm *Saphos Anti Rootkit* nach Rootkits gesucht und dass hat 4 auf dem Laptop gefunden die in Sys W0W und WOW 64 stecken HKEY.

Allerdings steht dazu geschrieben *nicht zu entfernen* wie bekomme ich die Rootkits dennoch weg, und handelt es sich dabei überhaupt um rootkits? Hier mal ein Screenshot dazu.

Der Laptop wurde ohne Virenwächter betrieben nur mit Windows Firewall und nun hat Ihn mir der Kumpel zur Reperatur gegeben und mir eine Zeitlang geliehen da er einen neuen sich gekauft hat, er läuft nun schon um einiges Schneller (abgesehen von den bluescreens warscheinlich speicher problem).

Neuinstallation ist nicht drin!

Danke für eure Tipps (;

Hier nun der Screen zu den Funden von *Saphos Anti Rootkit* von Chip.de

http://img5.fotos-hochladen.net/uploads/saphosroip0lf52z76.jpg

 

[Masamune2]

Wenn du sowas öfter machst schaff dir die Desinfec't CD der c't an.

Neuinstallation ist nicht drin!

Warum?

Was sagt google zu den Keys?

 

[blackshuck]

neuinstallation MUSS drin sein! warum sollte sie es auh nicht? oder hat dein kumpel keine datensicherung?

dann einfach mittels live-linux die daten retten und dann das ding neuaufsetzen.

 

[Ravenier]

Neuinstallation ist nicht drin!

so verseucht wie das teil ist ?

zurückgeben mit kommentar , neuinstallation oder wegschmeißen.
danach kommt dann mal nen anständiger scanner drauf,
adminrechte gehören entzogen und dein kumpel soll sich mal gedanken darüber machen was er tut.

 

[Darlis]

Neuinstallation ist nicht drin!

Das ist aber die einzige Möglichkeit, das Ding 100% virenfrei zu bekommen. Alles andere ist Kosmetik und verschwendete Zeit. Du weißt nicht, was die Seuche alles am System verstellt hat.

 

[davidbaumann]

Das sieht für mich aus, wie die Überreste bereits entfernter Malware.
Den Rechner nicht zu zu installieren, ist schon beinahe fahrlässig, das Ding würde ich nichtmehr im eigenen Netz betreiben oder sonst irgendwie vertrauen

 

[azereus]

zalman zm ve-serie + http://livecdlist.com/ + sonstiger kleinkram
ist m.M. nach unschlagbar

um das system "sauber" zu bekommen wirst du nich drum herum kommen
1) live-cd
2) ext. platte
3) daten sichern
4) windows neu installieren

/edit:
5) datensicherung anlegen (filezilla, acronis, ...)

 

[purzelbär]

XHitcher1, was gibt es da noch zu überlegen? Der Laptop deines Kumpels gehört platt gemacht nach einer Datensicherung(diese dann mit einem Virenscanner überprüfen)und neu aufgesetzt. Alles andere ist nur Flickerei bei der die berechtigte Gefahr besteht das noch Komprimierungen übrig bleben. Was auch ganz wichtig ist: trete deinem fahrlässigen Kumpel mal verbal ordentlich in den Allerwertesten und gib ihm einen "Kurs" wie er sich umsichtig und vorsichtig zu verhalten hat. Ausserdem gehört ein Virenschutz Programm mit Echtzeitschutz aufs neue System und wie okni schon geschrieben hat, sollte dein Kjmpel vom neuen sauberen System Systembackups/image erstellen. Geht dein Kumpel darauf nicht ein, drück ihm sein verseuchtes und vermurkstes Laptop in die Hand.

Der Laptop wurde ohne Virenwächter betrieben nur mit Windows Firewall und nun hat Ihn mir der Kumpel zur Reperatur gegeben und mir eine Zeitlang geliehen da er einen neuen sich gekauft hat, er läuft nun schon um einiges Schneller (abgesehen von den bluescreens warscheinlich speicher problem).

Neuinstallation ist nicht drin!

Ich ahne nichts Gutes, nämlich das dein vermeintlicher Kumpel mit seinem neuen Laptop genauso fahrläsig umgehen wird wie dem jetzigen das du ihm wieder in Ordnung bringen sollst. Für so einen "Kumpel" würde ich keinen Finger krumm machen wenn er sich und seine Einstellung nicht ändert.

 

[XHitcher1]

Ich ahne nichts Gutes, nämlich das dein vermeintlicher Kumpel mit seinem neuen Laptop genauso fahrläsig umgehen wird wie dem jetzigen das du ihm wieder in Ordnung bringen sollst. Für so einen "Kumpel" würde ich keinen Finger krumm machen wenn er sich und seine Einstellung nicht ändert.

Oh mach dass meinem Bruder und seinem Kumpel mal klar, die meinen AVG als virenwächter reicht, auch bei meim bruder hab ich mit diversen online scannern und malwarebytes schon einige trojaner und downloader behoben und aktive prozesse die erst gar nicht beendbar waren wie *iehelper.exe* *chromehelper.exe* usw die extrem schwer zu entfernen waren.

ABer wenn ich dann sage *es ist wichtig auch zwischendurch mal andre scanner laufen zu lassen (Klar nicht paralell) dann heißt es du übertreibst mit deim sicherheits wahn soviel viren wie du sagst gibt es gar nicht.

Der kumpel studiert mechatronik und der andre Medien gestaltung haben also beide mit film und pc zu tun, schneiden nebenbei noch für ihre firma hochzeits videos etc.

Also ganz ehrlich ich glaube das ist ein sinnloses unterfangen denen dass klar zu machen die zeigen mir eh schon die ganze zeit den vogel dass ich so wert auf ein sauberes system lege!

ich kann ja mal wenn du mir sagst wo ich dass finde den log von malwarebytes posten was der alles gefunden hat auf dem system.

 

[Seth666]

e meinen AVG als virenwächter reicht

Das reicht auch völlig aus, wenn man sein Hirn beim Surfen anschaltet, nicht jeden Rotz von jeder Kackseite runterläd, ausführt und der meisteingegeben Suchbegriff nicht "pr0n" ist.

 

[Masamune2]

Oh mach dass meinem Bruder und seinem Kumpel mal klar, die meinen AVG als virenwächter reicht

Und du bist dir sicher, dass deine Expertise ausreicht um Viren sauber und rückstandsfrei von einem System zu entfernen...?

Rechner platt machen, neu aufsetzen und neben einem Virenscanner bitte noch Secunia PSI installieren. Die meisten Infektionen kommen durch veraltete Software, dem kann man recht einfach einen Riegel vorschieben. Der Rest kommt durch selbst ausgeführte Downloads die man besser nicht anfasst. Hier hilft nur Rübe einschalten.

 

[blackshuck]

...die zeigen mir eh schon die ganze zeit den vogel dass ich so wert auf ein sauberes system lege!

und genau das wäre der zeitpunkt, wo ich meinen support einstellen würde und den laptop kommentarlos zurückgeben würde dein bruder ist ein honk

 

[Darlis]

ich kann ja mal wenn du mir sagst wo ich dass finde den log von malwarebytes posten was der alles gefunden hat auf dem system.

Zeig die Liste deinem Bruder und Kumpel, uns hilft die nicht. Wenn die das nicht überzeugt, mach ihnen klar was es bedeutet verseuchte Produkte an ihre Kunden auszuliefern.

 

[purzelbär]

ich kann ja mal wenn du mir sagst wo ich dass finde den log von malwarebytes posten was der alles gefunden hat auf dem system.

Das wird eingeblendet wenn der Scan fertig ist. Mach aber bitte die Vollständige Überprüfung wobei ich bei dem vermurksten System es für sinnfrei halte, da noch etwas zu bereinigen. Das System gehört neu aufgesetzt.

Das reicht auch völlig aus, wenn man sein Hirn beim Surfen anschaltet, nicht jeden Rotz von jeder Kackseite runterläd, ausführt und der meisteingegeben Suchbegriff nicht "pr0n" ist.

Und genau das ignoriert wohl der Kumpel und der Bruder von XHitcher1 wahrscheinlich sind die beiden einfach zu fahrlässig und zu sorglos. In der Regel reicht 1 Virenschutz Programm mit Echtzeitschutz aus egal ob das nun AVG, Avast, BitDefender, Kaspersky oder Norton usw. ist. Keinesfalls soll man 2 Virenschutz Programme mit Echtzeitschutz gleichzeitig auf einem System verwenden.

ABer wenn ich dann sage *es ist wichtig auch zwischendurch mal andre scanner laufen zu lassen (Klar nicht paralell) dann heißt es du übertreibst mit deim sicherheits wahn soviel viren wie du sagst gibt es gar nicht.

Also ganz ehrlich ich glaube das ist ein sinnloses unterfangen denen dass klar zu machen die zeigen mir eh schon die ganze zeit den vogel dass ich so wert auf ein sauberes system lege!

Die 2 haben einen Vogel weg und sonst keiner denen gehören die Computer und Laptops abgenommen und der Internetzugang vom Provider her gesperrt wenn die so eine Einstellung haben.

und genau das wäre der zeitpunkt, wo ich meinen support einstellen würde und den laptop kommentarlos zurückgeben würde dein bruder ist ein honk

Genau.

 

[okni]

Das reicht auch völlig aus, wenn man sein Hirn beim Surfen anschaltet, nicht jeden Rotz von jeder Kackseite runterläd, ausführt und der meisteingegeben Suchbegriff nicht "pr0n" ist.

Genauso siehts aus, wenn man einigermaßen umsichtig im Internet unterwegs ist, und nicht jeden Scheiß anklickt und herunterlädt dann reicht ein Freewarescanner wie von AVG, Avira oder Avast vollkommen aus.
Er sollte mal einen Scann mit einer Live-CD wie zb die Kaspersky Rescue-Disk oder die Avira Rescue-Disk machen, aber auch wenn die was finden und auch entfernen können, rate ich ihm trotzdem dringend das System neu aufzusetzen. Und dann danach immer regelmäßige Images/Backups zumindest der Systempartition oder besser der ganzen Festplatte zu machen, dann ist man für spätere Notfälle gut gewappnet und hat dann im nu wieder ein sauberes System.

 

[purzelbär]

Er sollte mal einen Scann mit einer Live-CD wie zb die Kaspersky Rescue-Disk oder die Avira Rescue-Disk machen, aber auch wenn die was finden und auch entfernen können

Und selbst das ist eigentlich Zeitverschwendung in dem Fall okni weil das System neu aufgesetzt gehört.

 

[okni]

Und selbst das ist eigentlich Zeitverschwendung in dem Fall okni weil das System neu aufgesetzt gehört.

purzel, hatte ich doch geschrieben "deshalb rate ich ihm trotzdem dringend das System neu aufzusetzen".

 

[XHitcher1]

Das wird eingeblendet wenn der Scan fertig ist.

Genau.

Und was wenn man das fenster geschlossen hat und die sachen (da aufforderung zum neustart) einfach beheben lassen hat? wo findet man dann das dokument der alten funde von malwarebytes wieder?

Oder von *norton de cleaner* oder *avira de cleaner* oder *super anti spyware* oder spyware terminator* Oder dr web curelt* den die haben ALLE was gefunden!!!

 

[Randy89]

Die Logdateien findest du wenn du Malwarebytes öffnest und auf "Logs" gehst.
Oder gibt %appdata% im Startmenü ein und bestätige.
Navigiere zu dem Malwarebytes Ordner und such dir dort die Logs raus.

Mach auch bitte einen Scan mit aswMBr.exe, nichts anrühren (selbst wenn etwas erscheint) und poste nur das Logfile.

Anschließend noch die beiden FRST-Logs (Vorsicht! Vertrauliche Benutzernamen überall rausstreichen, z.B. mit Strg+F überall nach dem Namen suchen und ruhig beide Suchrichtungen auswählen): https://www.computerbase.de/forum/threads/erste-h-lfe-bei-malwareverdacht-infektion-vor-dem-posten-beachten.741157/

edit: Sopohos Anti-Rootkit ist übrigens veraltet. Wenn die Chip-Beschreibung stimmen sollte, dann unterstützt das Tool nur bis Windows Vista, das heißt, neuere Betriebssysteme könnten unter Umständen nicht richtig erkannt werden, weswegen ein "Fixen" unter Umständen gefährlich sein könnte.

 

[Darlis]

Man kann natürlich mehrere Stunden investieren, um mit X Tools das System zu scannen, nur um dann ein vermutlich sauberes System zu haben, oder man investiert 2 Stunden und installiert das BS neu um dann ein garantiert sauberes System zu haben.

Bei ersterer Variante musst du natürlich noch die ganzen Sicherheitseinstellungen prüfen (funktionieren AV und Firewall überhaupt noch korrekt? (verlass dich nicht auf deren Statusanzeige!) Sind die Browsereinstellungen sicher? Wurden etwa schädliche Seiten als "Vertrauenswürdig" hinzugefügt, etc.). Solche Systeme eigenen sich nur, um mal Erfahrungen mit den ganzen Tools zu sammeln, ernsthaft arbeiten sollte man mit so einem kompromittiertem System aber nicht mehr.