|
  |
 Rootkit gefunden - was tun? |
philipp28
neu im Forum
Dabei seit: 23.04.2006
Beiträge: 18
 |
|
| Rootkit gefunden - was tun? |
     |
Hallo zusammen,
gestern bin ich auf eine internetseite gekommen bei der es lange dauerte bis sie sich öffnete. plötzlich beendete sich mozilla automatisch ich öffnete ihn wieder und dann machte mein rechner automatisch einen neustart.
dann meldete mein virenscanner (avast), dass ein rootkit gefunden worden sei.
bei weiteren scanns wurde nichts mehr entdeckt.
heute habe ich mir die sophos antirootkit software runtergeladen. diese findet auch nichts aber während sie läuft erscheinen sehr merkwürdige prozesse im Task Manager
z.b. rrlnp.exe- diese finde ich in keiner liste. ich frage mich nun ob diese prozesse von sophos selbst verursacht werden oder ob sie schädlich sind.
System:
windows Xp
service pack 2
intel celeronD 340 2933 MHz
Würde mich sehr über hilfe freuen und hoffe dass ich die notwendigen angaben gemacht habe.
Gruß Philipp
|
|
26.07.2008 18:24 |
|
|
Tux 
Premium Member
Dabei seit: 04.09.2003
Beiträge: 2.940
Herkunft: Göttingen
|
|
hallo
warum hast du das Servicepack 3 für XP nicht installiert?
lade dir mal hier
die Testversion vom Kaspersky Virenscanner herunter, deinstalliere Avast, installiere Kaspersky und mach einen kompletten Systemcheck
__________________
MfG
Tux
Linux is like a wigwam. No windows, no gates and an apache inside!
|
|
|
26.07.2008 19:29 |
|
|
philipp28
neu im Forum
Dabei seit: 23.04.2006
Beiträge: 18
Themenstarter 
|
|
erstmal danke für die antwort.
ist ne gute frage hab eigentlich automatische updates eingestellt... k.a. warum ich das nicht habe. werds mal installieren.
denkst du denn, wenn kaspersky nichts findet, dass ich mir dann sicher sein kann, dass mein system sauber ist??
|
|
|
26.07.2008 20:24 |
|
|
Tux
Premium Member
Dabei seit: 04.09.2003
Beiträge: 2.940
Herkunft: Göttingen
|
|
sicher sein kannst du nur, wenn du deine Festplatte formatierst
wenn du ein ungutes Gefühl hast, solltest du das auch tun
__________________
MfG
Tux
Linux is like a wigwam. No windows, no gates and an apache inside!
|
|
|
26.07.2008 21:37 |
|
|
Ghost75
Foren-As
Dabei seit: 10.12.2003
Beiträge: 333
|
|
|
|
26.07.2008 23:40 |
|
|
philipp28
neu im Forum
Dabei seit: 23.04.2006
Beiträge: 18
Themenstarter
|
|
ja danke für die Ratschläge.
Also Blacklight findet nichts.
Bei mc affe kann ich die zip dateien nicht extrahieren.. "Datei übersprungen ungültige komprimierungsmethode" kommt da als fehler meldung.
mit gmer hab ich mal gescannt, obwohl ich das prog. nicht so richtig raffe in der Ansicht Rootkit steht da folgendes:
Type Name Value
Attached Device \FileSystem\Ntfs\Ntfs aswMon2.SYS(avast!File System FilterDriver for WindowsXP
Attached Device \Driver\Tcpip\Device\lp aswTdi.SYS(avast!Tdi Filter Driver Alwil Software
Attached Device \Driver\Tcpip\Device\Tcp aswTdi.SYS(avast!Tdi Filter Driver Alwil Software
Attached Device \Driver\Tcpip\Device\Udp aswTdi.SYS(avast!Tdi Filter Driver Alwil Software
Attached Device \Driver\Tcpip\Device\Rawlp aswTdi.SYS(avast!Tdi Filter Driver Alwil Software
Was haltet ihr denn davon dass während dem scan mit sophos so komische Prozeese im Task Manager auftauchen, die anscheinend alle paar sekunden den namen ändern??
|
|
|
27.07.2008 02:42 |
|
|
Paltman
Windows-Spezi
Dabei seit: 08.03.2006
Beiträge: 1.919
Herkunft: Bremen
|
|
| Zitat: |
| Was haltet ihr denn davon dass während dem scan mit sophos so komische Prozeese im Task Manager auftauchen, die anscheinend alle paar sekunden den namen ändern?? |
|
keine Ahnung
dazu müßte man diese ominösen Prozesse schon sehen können
die Frage ist doch, ob du überhaupt einen Rootkit hast, oder ob Avast nicht einfach nur einen Fehlalarm geliefert hat
zu GMER gibts weder eine brauchbare Anleitung, noch eine Auswertungsdatenbank, kann man also vergessen
hast du denn nun mal den Tipp von Tux beherzigt und mit Kaspersky das System gescannt?
__________________
bis denne
Paltman
|
|
|
27.07.2008 15:38 |
|
|
philipp28
neu im Forum
Dabei seit: 23.04.2006
Beiträge: 18
Themenstarter
|
|
Hi,
ja Kaspersky findet auch nichts.
was meinst du denn mit prozesse sehen? ich sehe halt nur die namen im Taskmanager.
Aber dass sich der rechner von selbst neu startet und dann der virenscanner einen alarm liefert ist schon irgendwie komisch.
naja auf jeden fall mal vielen dank für eure hilfe.
|
|
|
27.07.2008 20:03 |
|
|
Paltman
Windows-Spezi
Dabei seit: 08.03.2006
Beiträge: 1.919
Herkunft: Bremen
|
|
| Zitat: |
| was meinst du denn mit prozesse sehen? |
|
damit meine ich, das niemand etwas davon sieht, was auf deinem System angezeigt wird
mach mal ein Logfile mit Hijackthis nach dieser Anleitung
und kopier den Inhalt vom Logfile in deine Antwort
__________________
bis denne
Paltman
|
|
|
27.07.2008 20:29 |
|
|
Paltman
Windows-Spezi
Dabei seit: 08.03.2006
Beiträge: 1.919
Herkunft: Bremen
|
|
das sind keine komischen Einträge, sondern ein temporäres Profil von Sophos
ich kann von hier keine Hinweise auf einen Rootkit sehen
studiere diesen Artikel
, surfe niemals mit Adminrechten
trenn dich von Avast und setzt stattdessen Kaspersky ein
__________________
bis denne
Paltman
|
|
|
29.07.2008 00:10 |
|
|
philipp28
neu im Forum
Dabei seit: 23.04.2006
Beiträge: 18
Themenstarter
|
|
Alles klar,
also nochmals vielen Dank für eure Hilfe.
Bis dann
Philipp
|
|
|
29.07.2008 06:29 |
|
|
Athena
Administratorin
Dabei seit: 23.07.2002
Beiträge: 16.323
Herkunft: Lübeck
|
|
fein
wir danken allen Helfern und archivieren das Thema
-closed-
Athena
__________________
bitte keine technischen Anfragen per PN ! und verwendet als erste Anlaufstelle bitte unsere Suchfunktion !
|
|
|
29.07.2008 19:02 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2024 PC-Experience.de |
|
