Win 7 fährt nach einiger Zeit von selbst runter
- Ersteller Cloudwalker23
- Erstellt am
- Registriert
- Aug. 2008
- Beiträge
- 109
Hallo,
wir hatten mit unserer These Recht: Gerade als ich das Antivir Rescue System auf CD brennen und nutzen wollte, kam von ESET eine Meldung, dass er folgendes entdeckt, in Quarantäne verschoben und gelöscht habe: Variante von Win32/AgentRXQ Trojaner.
Zunächst einmal Respekt an die Hersteller von ESET, denn ich hatte die Datei heute gegen 14 Uhr erst eingereicht und gehe davon aus, dass das die Reaktion war. Gut.
Leider lässt sich das Ding nicht so leicht besiegen, denn nach jedem Löschen ersteht es nach einiger Zeit wieder neu. Das ist gar nicht gut.
Laut der Quellen im Inet ist mit AgentRQX nicht zu spassen. Das scheint einer der wirklich bösen Trojaner zu sein. Aus diesem Grund lasse ich ESET jetzt im abgesicherten Modus einen Durchlauf machen und hoffe, so ist das Programm erfolgreicher. Wenn nicht, werde ich dem Antivir Rescue System eine Chance geben und wenn das nicht klappt, weiß ich erst einmal nicht, was ich tun soll. Das Ding muss auf alle Fälle weg!
Habt Ihr noch weitere Ideen?
Eine Anmerkung/Frage noch: Es handelt sich um einen Trojaner. Entsprechend bin ich erstaunt, dass dieser für die Neustarts verantwortlich sein soll. Normalerweise verhalten sich Trojaner doch eher unauffällig, oder sehe ich das falsch? Deshalb frage ich mich, ob das der einzige ungebetene Gast ist oder ob für die Neustart-Geschichte nicht noch ein anderes Schadprogramm verantwortlich ist. Was meint Ihr?
Grüße in den Abend
wir hatten mit unserer These Recht: Gerade als ich das Antivir Rescue System auf CD brennen und nutzen wollte, kam von ESET eine Meldung, dass er folgendes entdeckt, in Quarantäne verschoben und gelöscht habe: Variante von Win32/AgentRXQ Trojaner.
Zunächst einmal Respekt an die Hersteller von ESET, denn ich hatte die Datei heute gegen 14 Uhr erst eingereicht und gehe davon aus, dass das die Reaktion war. Gut.
Leider lässt sich das Ding nicht so leicht besiegen, denn nach jedem Löschen ersteht es nach einiger Zeit wieder neu. Das ist gar nicht gut.
Laut der Quellen im Inet ist mit AgentRQX nicht zu spassen. Das scheint einer der wirklich bösen Trojaner zu sein. Aus diesem Grund lasse ich ESET jetzt im abgesicherten Modus einen Durchlauf machen und hoffe, so ist das Programm erfolgreicher. Wenn nicht, werde ich dem Antivir Rescue System eine Chance geben und wenn das nicht klappt, weiß ich erst einmal nicht, was ich tun soll. Das Ding muss auf alle Fälle weg!
Habt Ihr noch weitere Ideen?
Eine Anmerkung/Frage noch: Es handelt sich um einen Trojaner. Entsprechend bin ich erstaunt, dass dieser für die Neustarts verantwortlich sein soll. Normalerweise verhalten sich Trojaner doch eher unauffällig, oder sehe ich das falsch? Deshalb frage ich mich, ob das der einzige ungebetene Gast ist oder ob für die Neustart-Geschichte nicht noch ein anderes Schadprogramm verantwortlich ist. Was meint Ihr?
Grüße in den Abend
nicoc
Fleet Admiral
- Registriert
- Jan. 2008
- Beiträge
- 10.781
... das sich das Ding neu erstellt ist die normale Vorgehensweise bei den Trojaner. Da wird irgendwo ein Script aktiv sein welches die Datei neu erstellt. Trojaner ist ein Eindringling. Der hier scheint dich aber nur Ärgern zu wollen.
Zuletzt bearbeitet:
- Registriert
- Aug. 2008
- Beiträge
- 109
...wenn das so ist, kann ESET das Teil dann überhaupt entfernen (Sorry, für die naive Frage), denn bisher scheint es ja nicht geklappt zu haben? Ich lasse das Progi jetzt gerade noch einmal im abgesicherten Modus durchlaufen. Besteht hierbei die Hoffnung, dass das erfolgreicher ist? Wenn ja, würde ich mich über eine kurze Erklärung freuen, warum das so ist?
Eine Frage möchte ich noch einmal wiederholen: Meinst Du/Ihr, dass ein Trojaner für das Neustart-Problem verantwortlich sein kann? Eigentlich war ich immer der Ansicht, das oberste Ziel eines Trojaners sei es, unauffällig zu sein.
NACHTRAG:
Ich habe das Programm bltinx.exe im abgesicherten Zustand jetzt selbst gelöscht, nachdem ESES es nicht gemacht hat, und den Eintrag Setsys, der zu bltinx führt, beim Systemstart ausgeschaltet. Nach dem Neustart ist das Programm auch tatsächlich immer noch gelöscht, allerdings hat sich der Eintrag beim Systemstart wieder selbst hergestellt. Da dieser allerdings auf ein nicht vorhandenes Programm zielt, stellt sich für mich jetzt die Frage, sofern bltinx.exe weiterhin gelöscht bleibt, ob das Problem mit diesem Trojaner damit gelöst ist? (Ob das Neustart-Problem gelöst ist, wird sich dann noch zeigen)
Grüße
Eine Frage möchte ich noch einmal wiederholen: Meinst Du/Ihr, dass ein Trojaner für das Neustart-Problem verantwortlich sein kann? Eigentlich war ich immer der Ansicht, das oberste Ziel eines Trojaners sei es, unauffällig zu sein.
NACHTRAG:
Ich habe das Programm bltinx.exe im abgesicherten Zustand jetzt selbst gelöscht, nachdem ESES es nicht gemacht hat, und den Eintrag Setsys, der zu bltinx führt, beim Systemstart ausgeschaltet. Nach dem Neustart ist das Programm auch tatsächlich immer noch gelöscht, allerdings hat sich der Eintrag beim Systemstart wieder selbst hergestellt. Da dieser allerdings auf ein nicht vorhandenes Programm zielt, stellt sich für mich jetzt die Frage, sofern bltinx.exe weiterhin gelöscht bleibt, ob das Problem mit diesem Trojaner damit gelöst ist? (Ob das Neustart-Problem gelöst ist, wird sich dann noch zeigen)
Grüße
Zuletzt bearbeitet:
Wenn du absolute sicher gehen willst, dass der Trojaner weg ist, dann musst du die Festplatte formatieren und alles neu aufspielen. Da nicht bekannt ist, wie und wo du dir das Ding eingefangen hast, schau bei deinen Backups dreimal hin, ob da was verdächtiges bei ist.
Ich empfehle in solchen grundsätzlich, das System neu aufzusetzen. Es ist nämlich nicht 100 %ig gewährleistet, dass das Antivirenprogramm jede infizierte Datei im System finden kann. Heutige Viren und Trojaner (zumindest die erfolgreichen) sind in ihrem Code dynamisch. Die verändern sich selbst kontinuierlich, um vor Entdeckung geschützt zu sein. Manchmal biegen sie sogar das AV-Programm so um, dass es nicht mehr richtig funktioniert. Und dann hat man echt ein Problem.
Der Trojaner kann durchaus für die Neustarts verantwortlich sein. Die Gründe sind einfach:
Erstens gibt es hunderttausende verschiedene Systeme. Es ist für einen Programmierer unmöglich, ein Programm so zu schreiben, dass es ausnahmslos überall läuft. Er kann nur versuchen, es auf so vielen Computern wie möglich lauffähig zu machen.
Zweitens können die Neustarts auch gezielte Aktionen sein. In dem Fall wäre es zB möglich, dass der Trojaner sich kurz vor jedem Neustart an eine andere Stelle im System kopiert. Daraufhin lässt er den Rechner neu starten, um seine Kopie zu aktivieren.
Sollte der zweite Fall bei dir zutreffen, bleibt dir nichts anderes übrig, als das System neu aufzusetzen. Auch ein AV-Programm kann nicht jede infizierte Datei wiederherstellen.
Des weiteren bin ich immer noch der Meinung, dass "setsys" selber ebenfalls zum Trojaner gehört. Mein Windows 7 hat diese Datei nirgends im System!
Ich empfehle in solchen grundsätzlich, das System neu aufzusetzen. Es ist nämlich nicht 100 %ig gewährleistet, dass das Antivirenprogramm jede infizierte Datei im System finden kann. Heutige Viren und Trojaner (zumindest die erfolgreichen) sind in ihrem Code dynamisch. Die verändern sich selbst kontinuierlich, um vor Entdeckung geschützt zu sein. Manchmal biegen sie sogar das AV-Programm so um, dass es nicht mehr richtig funktioniert. Und dann hat man echt ein Problem.
Der Trojaner kann durchaus für die Neustarts verantwortlich sein. Die Gründe sind einfach:
Erstens gibt es hunderttausende verschiedene Systeme. Es ist für einen Programmierer unmöglich, ein Programm so zu schreiben, dass es ausnahmslos überall läuft. Er kann nur versuchen, es auf so vielen Computern wie möglich lauffähig zu machen.
Zweitens können die Neustarts auch gezielte Aktionen sein. In dem Fall wäre es zB möglich, dass der Trojaner sich kurz vor jedem Neustart an eine andere Stelle im System kopiert. Daraufhin lässt er den Rechner neu starten, um seine Kopie zu aktivieren.
Sollte der zweite Fall bei dir zutreffen, bleibt dir nichts anderes übrig, als das System neu aufzusetzen. Auch ein AV-Programm kann nicht jede infizierte Datei wiederherstellen.
Des weiteren bin ich immer noch der Meinung, dass "setsys" selber ebenfalls zum Trojaner gehört. Mein Windows 7 hat diese Datei nirgends im System!
- Registriert
- Aug. 2008
- Beiträge
- 109
Hi e-Laurin und vielen Dank für die ausführliche Antwort.
Das Problem mit dem Formatieren der FP besteht darin, dass ich eine 320GB und eine 1TB Platte habe, die beide ziemlich voll mit Daten sind, d.h. es wäre doch recht kompliziert den Inhalt beider Platten zu sichern und wenn ich das machen würde, denn meine Dateien möchte ich natürlich behalten, würde doch auch die Gefahr bestehen, den Trojaner, sollte er noch auf dem System sein, mitzukopieren. Deshalb: Würde ein Neuaufsetzen von WIndows 7 nicht möglicherweise ausreichen? Wenn ja, werde ich das am WE mal in Angriff nehmen.
Zu Setsys: Ich habe meinen Compi gerade Setsys suchen lassen, allerdings hat er nichts gefunden. In der Systemkonfiguration wird Setsys als Systemstartelement angezeigt und als Befehl der Pfad angegeben, der zu bltinx geführt hat (und jetzt nicht mehr führt). Ist letzteres nicht der entscheidende Punkt?
Ob ich die Hersteller von ESET auf die Setsys-Sache aufmerksam machen sollte?
Was mir übrigens positiv auffällt ist, dass jetzt wieder das Icon meines Virenscanners in der Taskleiste auftaucht. Das war seit der Infizierung immer verschwunden, obwohl laut Systemmonitor die Gui lief.
Das Problem mit dem Formatieren der FP besteht darin, dass ich eine 320GB und eine 1TB Platte habe, die beide ziemlich voll mit Daten sind, d.h. es wäre doch recht kompliziert den Inhalt beider Platten zu sichern und wenn ich das machen würde, denn meine Dateien möchte ich natürlich behalten, würde doch auch die Gefahr bestehen, den Trojaner, sollte er noch auf dem System sein, mitzukopieren. Deshalb: Würde ein Neuaufsetzen von WIndows 7 nicht möglicherweise ausreichen? Wenn ja, werde ich das am WE mal in Angriff nehmen.
Zu Setsys: Ich habe meinen Compi gerade Setsys suchen lassen, allerdings hat er nichts gefunden. In der Systemkonfiguration wird Setsys als Systemstartelement angezeigt und als Befehl der Pfad angegeben, der zu bltinx geführt hat (und jetzt nicht mehr führt). Ist letzteres nicht der entscheidende Punkt?
Ob ich die Hersteller von ESET auf die Setsys-Sache aufmerksam machen sollte?
Was mir übrigens positiv auffällt ist, dass jetzt wieder das Icon meines Virenscanners in der Taskleiste auftaucht. Das war seit der Infizierung immer verschwunden, obwohl laut Systemmonitor die Gui lief.
Zuletzt bearbeitet:
nicoc
Fleet Admiral
- Registriert
- Jan. 2008
- Beiträge
- 10.781
... Trojaner bringen meist verschachtelte Systeme mit sich, entweder mehrere Script oder/und EXE Dateien die sich gegenseitig absichern. Ein Virenscanner kann allerdings eine Scriptdatei nicht unbedingt identifizieren. Ich könnte mir vorstellen, dass die btlinx.exe die Datei Setsys jedesmal neu erstellt sobald diese gelöscht wurde. Sobald du aber die btlinx Datei löschst mag eine 3. Komponente diese wieder neu erstellen. Du brauchst viel Sachkenntnis um die Sache gerade zu biegen. Am besten formatierst du nur deine Systemplatte und schaust nach der Neuinstallation ober der Trojaner oder was auch immer wieder installiert wird. Eventuell ersparst du dir dadurch den Kudelmudel mit der großen Platte.
- Registriert
- Aug. 2008
- Beiträge
- 109
Danke für die ausführliche Antwort nicoc. Ich habe das Problem dem Hersteller meines Virenscanners geschrieben und sofern ich von dort keine gänzlich andere Antwort bekomme, werde ich wohl zunächst einmal die Systemplatte platt machen und Win7 neu aufsetzen. Da ich noch nicht weiß, wann ich das genau schaffe, werde ich bis dahin nur noch mit meinem Laptop ins Netz gehen, um zu verhindern, dass Daten nach draußen gehen. Schöner Mist 
Grüße
Grüße
- Registriert
- Aug. 2008
- Beiträge
- 109
UPDATE:
Ich habe von einem Mitarbeiter von ESET den Rat bekommen, folgendes Tool laufen zu lassen:
http://www.gmer.net/#start
Er glaubt auch, dass auf meinem System noch etwas läuft. Den Report könne ich ihm gerne schicken, was ich machen werde. Mal schauen, was dabei rumkommt. Vor dem WE komme ich eh nicht dazu, große Sprünge auf meinem System zu machen und vielleicht bekomme ich die Sache ja doch noch in den Griff.
Grüße
Ich habe von einem Mitarbeiter von ESET den Rat bekommen, folgendes Tool laufen zu lassen:
http://www.gmer.net/#start
Er glaubt auch, dass auf meinem System noch etwas läuft. Den Report könne ich ihm gerne schicken, was ich machen werde. Mal schauen, was dabei rumkommt. Vor dem WE komme ich eh nicht dazu, große Sprünge auf meinem System zu machen und vielleicht bekomme ich die Sache ja doch noch in den Griff.
Grüße
- Registriert
- Aug. 2008
- Beiträge
- 109
nicoc schrieb:
Super! Mache ich gerne.
Ich habe bei dem Programm Rootkit/Malwarescann gewählt und folgendes Ergebnis bekommen:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-29 18:18:56
Windows 6.1.7600
---- System - GMER 1.0.15 ----
INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E29AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E29104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E293F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E11634
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E11898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E291DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E29958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E296F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E29F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E2A1A8
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82E89599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82EADF52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
? System32\Drivers\spla.sys Das System kann den angegebenen Pfad nicht finden. !
.text I:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x92430000, 0x2CB74C, 0xE8000020]
.text USBPORT.SYS!DllUnload 92B40CA0 5 Bytes JMP 86A271D8
.text peauth.sys A1E27C9D 28 Bytes [15, 01, 88, 19, 39, 70, 0E, ...]
.text peauth.sys A1E27CC1 28 Bytes [15, 01, 88, 19, 39, 70, 0E, ...]
PAGE peauth.sys A1E2DB9B 72 Bytes [8E, 58, 42, DE, 49, A6, BD, ...]
PAGE peauth.sys A1E2DBEC 103 Bytes [E7, 30, 28, 09, 13, A8, A2, ...]
PAGE peauth.sys A1E2DC54 7 Bytes [64, 3A, FE, D0, 64, B0, 92]
PAGE ...
---- User code sections - GMER 1.0.15 ----
.text I:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1948] kernel32.dll!SetUnhandledExceptionFilter 774D3162 4 Bytes [C2, 04, 00, 00]
.text I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] kernel32.dll!SetUnhandledExceptionFilter 774D3162 5 Bytes JMP 5BBF5164 I:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] ole32.dll!OleLoadFromStream 77095B88 5 Bytes JMP 5C6A9D32 I:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8BC9E042] \SystemRoot\System32\Drivers\spla.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8BC9E6D6] \SystemRoot\System32\Drivers\spla.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8BC9E800] \SystemRoot\System32\Drivers\spla.sys
IAT \SystemRoot\system32\DRIVERS\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8BC9E13E] \SystemRoot\System32\Drivers\spla.sys
---- User IAT/EAT - GMER 1.0.15 ----
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [746A2494] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74685624] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [746856E2] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [746A250F] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74698573] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74694D27] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [746950CE] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [746951A3] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [746966D0] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [746982CA] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74698819] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7469907A] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7469E21D] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Windows\Explorer.EXE[1864] @ I:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74694C59] I:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] @ I:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75935E25] I:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] @ I:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75935E25] I:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] @ I:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75935E25] I:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] @ I:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75935E25] I:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] @ I:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [75935E25] I:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] @ I:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [75935E25] I:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT I:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE[3816] @ I:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [75935E25] I:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 857631F8
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
Device \FileSystem\fastfat \FatCdrom 87743500
Device \Driver\volmgr \Device\HarddiskVolume12 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume12 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\volmgr \Device\VolMgrControl 8575F1F8
Device \Driver\usbuhci \Device\USBPDO-0 86A251F8
Device \Driver\usbuhci \Device\USBPDO-1 86A251F8
Device \Driver\usbuhci \Device\USBPDO-2 86A251F8
Device \Driver\usbuhci \Device\USBPDO-3 86A251F8
Device \Driver\usbehci \Device\USBPDO-4 869FA500
AttachedDevice \Driver\tdx \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\volmgr \Device\HarddiskVolume1 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\NetBT \Device\NetBT_Tcpip_{E9C42625-7FFF-4BED-83E0-28F189A1559D} 868FF1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{908A80F9-1130-419F-95FA-549B47B50DFF} 868FF1F8
Device \Driver\volmgr \Device\HarddiskVolume2 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\cdrom \Device\CdRom0 8678C1F8
Device \Driver\volmgr \Device\HarddiskVolume3 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-2 857611F8
Device \Driver\atapi \Device\Ide\IdePort0 857611F8
Device \Driver\atapi \Device\Ide\IdePort1 857611F8
Device \Driver\atapi \Device\Ide\IdePort2 857611F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-3 857611F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-4 857611F8
Device \Driver\volmgr \Device\HarddiskVolume4 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\volmgr \Device\HarddiskVolume5 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\volmgr \Device\HarddiskVolume6 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume6 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\volmgr \Device\HarddiskVolume7 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume7 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\NetBT \Device\NetBt_Wins_Export 868FF1F8
Device \Driver\volmgr \Device\HarddiskVolume8 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume8 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\USBSTOR \Device\00000084 85A9F1F8
Device \Driver\volmgr \Device\HarddiskVolume9 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume9 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\USBSTOR \Device\00000085 85A9F1F8
Device \Driver\ACPI_HAL \Device\0000004d halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device \Driver\usbuhci \Device\USBFDO-0 86A251F8
Device \Driver\usbuhci \Device\USBFDO-1 86A251F8
Device \Driver\usbuhci \Device\USBFDO-2 86A251F8
Device \Driver\usbuhci \Device\USBFDO-3 86A251F8
Device \Driver\usbehci \Device\USBFDO-4 869FA500
Device \Driver\volmgr \Device\HarddiskVolume10 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume10 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\volmgr \Device\HarddiskVolume11 8575F1F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume11 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \FileSystem\fastfat \Fat 87743500
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat eamon.sys (Amon monitor/ESET)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Epoch2@Epoch 3392
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792
---- EOF - GMER 1.0.15 ----
Neben dem Rootkit-Scann gibt das Programm noch Infos zu folgenden Punkten an:
Services, Modules, Autostart.
Soll ich davon noch ein Ergebnis posten?
Neben diesem Programm habe ich auch noch Radix Anti-Rootkit laufen lassen: http://www.antirootkit.com/software/Radix-Antirootkit.htm Das Ergebnis könnte ich auch noch posten, möchte aber nicht zu viel auf einmal bringen. Heißt: Wenn das Ergebnis von GMER nichtssagend sein sollte, lieferre ich das Ergebnis von Radix nach.
Darüber hinaus habe ich in meiner Registry mal nach Setsys gesucht und es unter folgenden Einträgen gefunden:
HKEY_CURENT_USER/Software/Microsoft/Windows/Run Dort ist Setsys als REG_SZ eingetragen mit den Daten I:Users/Benutzername/AppData/Roaming/Adobe/Update/bltinx.exe. Hier finden wir also den Verweis auf den Trojaner schon einmal.
HKEY_LOCAL_MACHINE/Software/Microsoft/Shared Tools/MSConfig/startupreg/Setsys
Dort finden sich mehrere Einträge:
Standard REG_SZ Wert nicht festgelegt
command REG_SZ I:Users\Benutzername\AppData\Roaming\Adobe\Update\bltinx.exe
Day REG_DWORD 0x0000001b (27)
hkey REG_SZ HKCU
inimapping REG_SZ 0
item REG_SZ Setsys
key REG_SZ software\Microsoft\CurrentVErsion\Run
Minute D_Word 0x00000021 (33)
Month D_Word 0x00000009 (9)
Second D_Word 0x00000013 (19)
Year D_Word 0x000007da (2010)
Der Verweis auf Tag/Minute/Monat und Jahr wirkt fast wie ein Coundtdown - ich hoffe, das ist nicht der Zeitpunkt, an dem mir mein Rechner um die Ohren fliegen soll.
HKEY_USERS/S-1-5-21-3168619769-2895346040-468795673-1000/Software/Microsoft/Windows/CurrentVersion/Run
Hier ist erneut Setsys als REG_SZ eingetragen mit den Daten I:Users/Benutzername/AppData/Roaming/Adobe/Update/bltinx.exe.
Ich habe dann auch noch gesondert nach bltinx.exe gesucht, hatte dabei aber nur die selben drei Fundstellen.
Soweit für heute.
Grüße
Zuletzt bearbeitet:
DJServs
Lt. Commander
- Registriert
- Jan. 2004
- Beiträge
- 1.147
Ist halt schon lustig, dass du schreibst du hättest keine Zeit zum neuaufsetzen, aber insgesamt hier im Thread locker schon ne Stunde investiert hast. in dieser stunde hätte ich windows 7 in meine systempartition neuinstalliert und das problem damit gelöst ;-)!
- Registriert
- Aug. 2008
- Beiträge
- 109
@DJServs Hinterher ist man immer klüger, wobei sich ja auch die Frage stellt, ob ein Neuaufsetzen von Windows 7 in diesem Fall ausreichend ist und es nicht besser wäre, zumindest die Systemplatte platt zu machen, was definitiv mehr Zeit als eine Stunde kosten würde. Abgesehen davon, würde ich auch definitiv mehr Zeit als eine Stunde brauchen, um Windows 7 so aufzusetzen, dass ich wieder an dem jetzigen Punkt bin. Mit einer Neuinstall von Win7 ist es ja nicht getan. Ich müsste auch alle die Programme neu installieren, die jetzt bei mir problemlos laufen. So investiere ich zurzeit immer ein bisschen Zeit nebenher und kann an einem Projekt weiterarbeiten, für das ich eine Terminfrist habe, ohne einen Ausfall von mehreren Stunden zu haben, den ich für ein Neuaufsetzen von Windows 7 oder gar das Plattmachen und Reaktivieren meiner Systemplatte veranschlagen würde.
DJServs
Lt. Commander
- Registriert
- Jan. 2004
- Beiträge
- 1.147
Also unter neuaufsetzen verstehe ich ein formatieren der Systempatition, auf der allerdings ausser windows eh nichts wichtiges sein sollte und die man jederzeit ohne daten zu verlieren formatieren kann. Und ja da kannst du mit annähernd 100%iger sicherheit sagen, dass das system nicht mehr verseucht ist, solltest halt dann gleich einen scan machen. falls auf den anderen partitionen noch was ist das auch gleich gefunden wird und keine .exe dateien aus unbekannten quellen anklicken.
Für dein projekt wirst du sicher nicht alle 50.000 Programme brauchen die jetzt isntalliert sind. installier am anfang doch nur das was nötig ist und dann nach und nach nebenher wie du es sagst das was du gerade brauchst.
Für dein projekt wirst du sicher nicht alle 50.000 Programme brauchen die jetzt isntalliert sind. installier am anfang doch nur das was nötig ist und dann nach und nach nebenher wie du es sagst das was du gerade brauchst.
nicoc
Fleet Admiral
- Registriert
- Jan. 2008
- Beiträge
- 10.781
@nickcave,
du könntest noch versuchen die Registry Einträge zu löschen und dann die Setsys im Autostart und die bltinx.exe. Sollte nach einem Neustart die Datei wieder vorhanden sein würde ich auch eine Neuinstallation ins Auge fassen. Übrigens läuft GMER mit meinem Win7 nicht richtig.
du könntest noch versuchen die Registry Einträge zu löschen und dann die Setsys im Autostart und die bltinx.exe. Sollte nach einem Neustart die Datei wieder vorhanden sein würde ich auch eine Neuinstallation ins Auge fassen. Übrigens läuft GMER mit meinem Win7 nicht richtig.
Zuletzt bearbeitet:
