PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Software Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=17)
-- Windows 9x, NT, 2000, XP: (https://www.pc-experience.de/wbb2/board.php?boardid=18)
--- Rootkit gefunden - was tun? (https://www.pc-experience.de/wbb2/thread.php?threadid=27589)

Geschrieben von philipp28 am 26.07.2008 um 18:24:

  Rootkit gefunden - was tun?

Hallo zusammen,

gestern bin ich auf eine internetseite gekommen bei der es lange dauerte bis sie sich öffnete. plötzlich beendete sich mozilla automatisch ich öffnete ihn wieder und dann machte mein rechner automatisch einen neustart.

dann meldete mein virenscanner (avast), dass ein rootkit gefunden worden sei.
bei weiteren scanns wurde nichts mehr entdeckt.

heute habe ich mir die sophos antirootkit software runtergeladen. diese findet auch nichts aber während sie läuft erscheinen sehr merkwürdige prozesse im Task Manager
z.b. rrlnp.exe- diese finde ich in keiner liste. ich frage mich nun ob diese prozesse von sophos selbst verursacht werden oder ob sie schädlich sind.

System:
windows Xp
service pack 2
intel celeronD 340 2933 MHz

Würde mich sehr über hilfe freuen und hoffe dass ich die notwendigen angaben gemacht habe.


Gruß Philipp


Geschrieben von Tux am 26.07.2008 um 19:29:

 

hallo

warum hast du das Servicepack 3 für XP nicht installiert?

lade dir mal hier die Testversion vom Kaspersky Virenscanner herunter, deinstalliere Avast, installiere Kaspersky und mach einen kompletten Systemcheck


Geschrieben von philipp28 am 26.07.2008 um 20:24:

 

erstmal danke für die antwort.

ist ne gute frage hab eigentlich automatische updates eingestellt... k.a. warum ich das nicht habe. werds mal installieren.

denkst du denn, wenn kaspersky nichts findet, dass ich mir dann sicher sein kann, dass mein system sauber ist??


Geschrieben von Tux am 26.07.2008 um 21:37:

 

sicher sein kannst du nur, wenn du deine Festplatte formatierst

wenn du ein ungutes Gefühl hast, solltest du das auch tun


Geschrieben von Ghost75 am 26.07.2008 um 23:40:

 

Hi philipp28

laß mal folgende Software Durchlaufen:.:

Blacklight von F-Secure

Mc Afee Rootkit Detective

Falls eine der genannten Software nicht starten sollte mal versuchen die Datei umzubenennen.

wenn du willst kannst du mit Hijackthis und GMER nen Scan machen

MfG

Ghost75


Geschrieben von philipp28 am 27.07.2008 um 02:42:

 

ja danke für die Ratschläge.

Also Blacklight findet nichts.
Bei mc affe kann ich die zip dateien nicht extrahieren.. "Datei übersprungen ungültige komprimierungsmethode" kommt da als fehler meldung.

mit gmer hab ich mal gescannt, obwohl ich das prog. nicht so richtig raffe in der Ansicht Rootkit steht da folgendes:

Type Name Value

Attached Device \FileSystem\Ntfs\Ntfs aswMon2.SYS(avast!File System FilterDriver for WindowsXP
Attached Device \Driver\Tcpip\Device\lp aswTdi.SYS(avast!Tdi Filter Driver Alwil Software
Attached Device \Driver\Tcpip\Device\Tcp aswTdi.SYS(avast!Tdi Filter Driver Alwil Software
Attached Device \Driver\Tcpip\Device\Udp aswTdi.SYS(avast!Tdi Filter Driver Alwil Software
Attached Device \Driver\Tcpip\Device\Rawlp aswTdi.SYS(avast!Tdi Filter Driver Alwil Software


Was haltet ihr denn davon dass während dem scan mit sophos so komische Prozeese im Task Manager auftauchen, die anscheinend alle paar sekunden den namen ändern??


Geschrieben von Paltman am 27.07.2008 um 15:38:

 

Zitat:
Was haltet ihr denn davon dass während dem scan mit sophos so komische Prozeese im Task Manager auftauchen, die anscheinend alle paar sekunden den namen ändern??


keine Ahnung
dazu müßte man diese ominösen Prozesse schon sehen können

die Frage ist doch, ob du überhaupt einen Rootkit hast, oder ob Avast nicht einfach nur einen Fehlalarm geliefert hat

zu GMER gibts weder eine brauchbare Anleitung, noch eine Auswertungsdatenbank, kann man also vergessen

hast du denn nun mal den Tipp von Tux beherzigt und mit Kaspersky das System gescannt?


Geschrieben von philipp28 am 27.07.2008 um 20:03:

 

Hi,

ja Kaspersky findet auch nichts.

was meinst du denn mit prozesse sehen? ich sehe halt nur die namen im Taskmanager.
Aber dass sich der rechner von selbst neu startet und dann der virenscanner einen alarm liefert ist schon irgendwie komisch.

naja auf jeden fall mal vielen dank für eure hilfe.


Geschrieben von Paltman am 27.07.2008 um 20:29:

 

Zitat:
was meinst du denn mit prozesse sehen?


damit meine ich, das niemand etwas davon sieht, was auf deinem System angezeigt wird

mach mal ein Logfile mit Hijackthis nach dieser Anleitung und kopier den Inhalt vom Logfile in deine Antwort


Geschrieben von philipp28 am 28.07.2008 um 18:45:

 

Hi Paltman,

und vorab schon mal ganz herzlichen dank für deine Mühe..


Geschrieben von Paltman am 29.07.2008 um 00:10:

 

das sind keine komischen Einträge, sondern ein temporäres Profil von Sophos

ich kann von hier keine Hinweise auf einen Rootkit sehen

studiere diesen Artikel , surfe niemals mit Adminrechten

trenn dich von Avast und setzt stattdessen Kaspersky ein


Geschrieben von philipp28 am 29.07.2008 um 06:29:

 

Alles klar,

also nochmals vielen Dank für eure Hilfe.


Bis dann
Philipp


Geschrieben von Athena am 29.07.2008 um 19:02:

 

fein

wir danken allen Helfern und archivieren das Thema

-closed-

Athena


Forensoftware: Burning Board , entwickelt von WoltLab GmbH