Wenn es nicht klappt, diesen Mist mit den genannten Tools defibitiv zu entfernen, gibt es immer noch die brutale und zugleich sicherste Methode:
Daten sichern und System neu aufsetzen.
Wenn es nicht klappt, diesen Mist mit den genannten Tools defibitiv zu entfernen, gibt es immer noch die brutale und zugleich sicherste Methode:
Daten sichern und System neu aufsetzen.
wollt damit nur sagen dass es mich sehr wohl interessiert was ihr hier so von euch lasst :wink:
nee du, hab ich schon!kann machen was ich will, die datei is jedesmal wieder da wenn ich ihn neu starte...heisst dann jeweils nur anders :?
oops, roadrunner war schneller, aber darauf wird es wohl hinauslaufen
ZitatDaten sichern und System neu aufsetzen.
Gruß
Börsenfeger
ich will aber die ratte fangen!du reisst doch au nich dein haus ab wenn du ne ratte drin hast :roll:
hatte eigentlich kein bock die hütte schon wieder neu zumachen...
wenn ich wenigstens wüsste wo ich mir das eingefangen habe!
naja, n versuch war es wert.....dann werd ich wohl mal n tag opfern müssen...trotzdem danke an euch!!
Zitat von blackpietwenn ich wenigstens wüsste wo ich mir das eingefangen habe!
Da gibt es verschiedenen Möglichkeiten:
- Besuch einer dubiosen / verseuchten Webseite
- Download und Ausführen einer verseuchten Datei (insbesondere über emule & Co)
- Öffnen eines unbekannten Mailanhangs
Wenn Du die Hütte schon neu aufbaust, denke auch gleichzeitig an eine vernünftige Absicherung.
- über einen Router ins Netz gehen
- Antiviren- und sonstige Schutzprogramme immer aktuell halten und regelmässig den rechner scannen lassen
- Windows-Updates so schnell wie möglich installieren (gilt auch für andere Programme)
- regelmässig Images der Festplatte erstellen (z.B. mit Acronis True Image), dann ist die Wiederherstellung eine Sache von maximal einer Stunde (eher weniger, hängt von der Belegung der Festplatte ab)
- nicht auf alles klicken, was nicht bei Drei auf den Bäumen ist
Edit / Nachtrag:
verschiedene Leute empfehlen, zusätzlich nur mit einem Benutzerkonto mit eingeschränkten Rechten zu surfen. Das muss aber jeder für sich selbst entscheiden.
Zitat von Road-Runner
- nicht auf alles klicken, was nicht bei Drei auf den Bäumen ist
[Blockierte Grafik: http://cosgan.de/images/more/schilder/115.gif]
-GA-
Zitat von doubletrouble..Hab nur blöderweise in meiner Überraschung verpennt, einen Screenshot vom Avast-Alarm zu machen.
äähm... :shock: arbeitet avast noch mit screenshots...
rechtsklick icon > AVAST Protokolle > Warnungen
[Blockierte Grafik: http://img100.imageshack.us/img100/1394/avasticonip8.th.jpg] .. [Blockierte Grafik: http://img100.imageshack.us/img100/5695/avastfunde3lp7.th.jpg] z.B. nach HTTP-Warnung EICAR !
danke für die tipps, aber warum einen router?wofür is das gut? :-??
@ blackpiet
http://de.wikipedia.org/wiki/Router#Fi…_in_DSL-Routern
Mal lesen
:wink:
ZitatDes Weiteren „trennt“ ein Router in gewisser Weise Ihre Computer vom Internet: Alle Kommunikationsvorgänge laufen nun exklusiv über dieses Gerät. Ihr PC ist daher nicht mehr direkt mit dem Internet verbunden, was Angriffe auf den Computer erschwert. Gleichzeitig beinhalten viele Router Firewall-Funktionen, die ebenfalls zur Verbesserung der Sicherheit Ihrer heimischen Computer beitragen.
Zitat von thebrainäähm... :shock: arbeitet avast noch mit screenshots...
nee, aber ich arbeite ab und an mit screenshot's
Trotzdem Danke für den gut gemeinten Hinweis - aber Avast protokolliert (zumindest bei mir) nicht jede Warnung, wenn beispielsweise ein Virus "nur" gestoppt wurde, was hoffentlich auch der Fall ist, wenn diese Info in der Warnung enthalten ist. Wenn für eine solche Protokollierung irgendwo eine Einstellung vorhanden sein sollte, wäre ich allerdings dankbar für einen Hinweis - dann würde sich ein screenshot natürlich erübrigen, um dem Gedächtnis anschließend auf die Sprünge zu helfen.
Bei der Warnung - natürlich auch noch mit Sound-Alarm - war ich lediglich deshalb etwas irritiert, da diese ausgerechnet unmittelbar nach dem Editieren eines Foren-Beitrags auftrat und im Zusammenhang mit Firefox stand - zudem noch beim Schreiben zu diesem Thread; da bei mir Cache und andere Tempdateien regelmäßig gelöscht werden, ist auch auf diesem Weg keine Info mehr zu reproduzieren. Mein System scheint allerdings sauber zu sein, und ich gehe davon aus, dass es vermutlich ein Fehlalarm war - Avast hat in den letzten zwei Tagen auffallend oft die Signaturen upgedatet.
Grüße - doubletrouble
Für den Fall, dass die Betroffenen der vermutlichen Rootkits hier nochmal reinschauen; ich habe mich am Rechner meines Kumpels an die Arbeit gemacht - offensichtlich mit Erfolg. Kann nicht sagen, warum's bei Euch nicht funktioniert hat, deshalb zusammengefasst, was ich gemacht habe:
1. die Systemwiederherstellung deaktiviert.
2. sämtliche mir bekannten Temp's und Cache's gelöscht, sowohl in Windows wie auch in den Benutzerkonten - zudem unter Windows den gesamten Inhalt des Ordners prefetch gelöscht.
3. Windows im abgesicherten Modus hochgefahren und mit Benutzer-Adminrechten gestartet. Im abg. Modus Scans mit Avast, Spybot S&D und AdAware ausgeführt, wobei lediglich Spybot zwei Sachen gefunden hat: einen Registry-Schlüssel und eine Datei in System32 - beide gelöscht.
4. AVG-Anti-Rootkit erforderte einen Neustart - lief also nicht im abg. Modus - Rechner neugestartet - vorsichtshalber nochmal prefetch-Ordner und Temps gelöscht - und ausgeführt. AVG-Anti-Rootkit fand, wie bei einem der Betroffenen, ebenfalls vier ominöse Dateien mit einer scheinbar zufälligen Zahlenkombination als Dateinamen - zwei der Dateien waren .exe-Dateien. Sie befanden sich unter Dok. und Einst. > User > Lokale Einstellungen > Anwendungsdaten. Trotz des Löschens durch AVG-Anti-Rootkit waren die Dateien noch vorhanden. :shock: (Also immer sicherheitshalber nochmal nachschauen) Dateien von Hand gelöscht.
... nicht gleich neustarten, sonst stellt sich der gerade gelöschte Scheiß u.U. wieder her, sondern:
5. HijackThis ausgeführt - im Logfile war seltsamerweise trotz der vorherigen Löschaktion noch ein weiterer Eintrag mit gleichem Namen und bezüglich selber o.a. Ordner-Adresse (Pfad) enthalten - diesen gleich mit HijackThis gefixt. (das war wohl der Knackpunkt!? ... und war in diesem Fall leicht zu erkennen - ansonsten ist beim Fixen durch HijackThis Vorsicht angesagt.)
Da ich kein Spezialist in solchen Sachen bin, hab ich vor dem nächsten Neustart vorsichtshalber nochmal den prefetch-Ordner geleert (bei jedem Start schreiben sich gestartete Anwendungen da wieder neu rein) und Temp's etc. gelöscht, und da TuneUp vorhanden war, damit nochmal die Registry gereinigt.
Kann sein, dass ich mir manches hätte ersparen können, aber das Problem scheint nun - zumindest bei meinem Kumpel - erledigt zu sein.
P.S. Als indirekt Betroffener noch ein Danke für den einen oder anderen Tipp, an den ich sonst nicht gedacht hätte!
Grüße - doubletrouble
hi,
hab den gleichen mist auf´m rechner gehabt und nach den beschriebenen dateien suchen lassen, ist aber mit windows bordmitteln nicht möglich, da mein danach benutzes progi den möglichen verursacher als "hidden" (rootkit) angezeigt hat.
"the brain" hat auf seite 1 die dateien beschrieben, bei mir waren die endungen dieselben, nur der name war anders: jgjgififif.exe usw.
die freeware "gmer" vers. 1013 hat den mistbock als rootkit aufgespürt und rot angezeigt, die dazugehörigen files gleich mitgeliefert, zwar nicht rot, aber vom namen her leicht zu identif. jgjgif..... (siehe "the brain" endungen)
danach hab ich den prozess jgjg.....exe erstmal gekilled und dann die dazugehörigen files gelöscht (alles rechte maustaste in gmer), die registry nach jgjgififif.xxx durchsucht, alle diesbez. einträge gelöscht.
neu hochgefahren, mit gmer nochmal gescannt, nix mehr.
beim surfen, nix mehr...
mag sein, dass bei jedem der mistbock einen anderen namen hat,
deshalb nicht auf the brain´s und meinen dateinamen versteifen.
vielleicht hilfts bei euch auch ?!...
gruß
bin mal auf die antworten gespannt...
Hallo dix - Willkommen im Forum! ... sehr nett, dass Du für einen alternativen Lösungsvorschlag das Forum bereicherst!
Ich hoffe zwar, auf dem Rechner meines Kumpels den Mist beseitigt zu haben, aber es kann ja nicht schaden, zusätzlich "gmer" zum Einsatz zu bringen - wurde ja bereits im Thread vorgeschlagen - trotzdem nützlich, zu erfahren, wie man damit umgeht.
Übrigens gibt's beim Entwickler die Version GMER 1.0.14.14116 zum Download - allerdings scheint der Server etwas schlapp zu sein - kann sein, dass es ein Momentchen dauert.
Für jene, die's interessiert, gibt's im HijackThis-Forum eine kurze Anleitung für den Gebrauch von GMER und für ein eventuelles Posten des Logfiles im Forum.
Grüße - doubletrouble
Zitat von dix
mag sein, dass bei jedem der mistbock einen anderen namen hat...
sagte ich ja...aus diesem Grund:
Zitat...Die Dateinamen werden bei jeder Installation zufällig bestimmt, über die wirst Du also nichts finden...
bliblablubb..ständig ploppt Werbung auf
Zitat von doubletrouble...Trotz des Löschens durch AVG-Anti-Rootkit waren die Dateien noch vorhanden...
nunja, abgesehen von meiner relativen Unkenntnis ob der Arbeitsweise der AVG-Wunderwaffe...
lässt sich ein AKTIVES Rootkit sicher nicht so ohne weiteres löschen !
daher mein Verweis auf den F-Secure-Umbenenner, als ein ur-Vater der Rootkit-Scanner... :wink:
daher MUSS die Vorgehensweise spezieller Tools bzw. auch des Anwenders sein:
1. Identifikation
2. Löschen/deaktivieren der verantwortlichen Startaufrufe (Reinigung der Registratur)
3. Neustart...bzw. in diesem Ablauf dann unschädlich machen durch Verschieben/Umbenennen, Beenden von Prozessen/Diensten etc.
3a. keinesfalls durch blindes löschen etwa !
die so "gesicherten" Funde sind z.B. bei: http://www.virustotal.com/de
auf die Erkennung zu testen bzw. zur selbigen für die Schutz-Progi´s weiterzuleiten...
z.B. für den in Avira schon integrierten Rootkit-Scanner (bzw. etwas hochscrollen)
weiterer Helfer könnte z.B. Combofix sein, dieses jedoch mit einem ausgeprägten Hang zu MS-default-Einstellungen im System...
von bekannten Desktop- und Startseiten-Änderungen, bis hin zu den weniger bekannten etc.
da ja aber auf solche Weise "gereinigte" Systeme eh´ nie wieder einen vollwertigen Status erreichen werden...
kann mann dann ja in nicht-sicherheitstechnischen Foren um weiteren Rat fragen !
Advanced user sind sich jedenfalls immer einiger, dass eine "Reinigung" heutzutage vollkommen sinnfrei ist...
axo:
Zitat...AVG-Anti-Rootkit erforderte einen Neustart - lief also nicht im abg. Modus...
zum Rootkit-scanner gehören z.B. auch spezielle Treiber die geladen werden müssen...
diese arbeiten systemnah auf Kernel-Basis, bzw. sollten idealerweise bei stationär installierten AV´s...
Zitat...die mit avipbb.sys einen eigenen Treiber mitbringt. Der Treiber hilft, vom Kernel möglichst 'systemnahe' Informationen zu bekommen - das ist für eine zuverlässige Rootkit-Suche erforderlich, da im Falle eines aktiven Rootkits den vom (Win32-)API geliefeten Werten nicht mehr vertraut werden kann...
z.B. Diskussion für Interessierte: Programmfehler oder Rootkit ?
ZitatTypischerweise erfolgen Aufrufe der System-API-Funktionen durch Dienstprogramme entweder über spezielle Datenbereiche (Import/Export-Tabellen), oder mit Hilfe der API-Funktion "GetProcAddress". Da der Programm-Code in DLL-Modulen realisiert ist, kann das Rootkit die Anfragen der Anwendung abfangen und sich so in den Prozeß einschleusen. Der Übeltäter hat damit die Möglichkeit, alle Anwendungen des Benutzers zu kontrollieren.
Die Möglichkeiten der Rootkit's und der Kampf gegen sie sagt z.b. kaspersky...
daher empfehlenswert bei solchen Konsorten und womöglich noch zu tausenden eingesetzt...
ZitatWICHTIG! Achte darauf, dass bei den Rootkitscans alle Anwendungen - insbesonders Virenwächter - beendet sind und trenne nach Möglichkeit die Netzwerkverbindung (durch Ziehen des Netzwerkkabels, USB-Kabel bzw. Modemkabel vom Rechner) während der Scans! Denke auch dabei an evtl. WLAN-Verbindungen! Schließe alle Fenster, die noch geöffnet sein sollten, vor dem Start des ersten Rootkitscans! Beende alle in der Taskleiste befindlichen Anwendungen! Die Anwendungen der Taskleiste, die sich nicht beenden lassen, sollten zumindest deaktiviert werden!
Warte ca. 10 Sekunden nach Beenden aller Anwendungen, bevor Du den ersten Rootkitscanner startest!
Lass immer nur einen Rootkitscanner nach dem anderen scannen! Nicht mit mehreren Rootkitscannern gleichzeitig scannen!
Mache nichts am PC während der Rootkit-Scans!
und nun das schon immer stationär installierte AV-Progi behindern...
bis hin zur allseits bekannten (Lauf-)-Unfähigkeit ! (Treiber-Konflikten)
ZitatWährend der Startlade- und Kernelphase werden elementar wichtige System-Dateien initialisiert und geladen sowie spezielle Treiber von installierten Anwendungsprogrammen wie eben auch Firewallsystemen. Treiber, die beispielsweise auf Kernel-Ebene also Ring 0 des Systems arbeiten, besitzen einen System-Schutz vor Manipulationen und anderen Beeinträchtigungen und werden aus dem Grund auch Systemtreiber genannt.
Programme - Treiber und Oberflächen
vielleicht auch nochmal in diesem Zusammenhang:
ZitatKapitel 3: Nicht-PnP-Treiber Troubleshooting?
Es gibt auch eine ganze Reihe von Treiber und Applikationen, die sich in den Bereich Nicht-PnP-Treiber schreiben.
Dazu gehören nicht signierte Treiber, Imageprogramme, Virenscanner, Personal Firewalls und viele mehr, so daß auch hier Vorsicht oberstes Gebot ist, aber eine großes Spektrum um Fehler zu bereinigen.
Treiberleichen und Programmreste beseitigen -Workaround-
da ja soviel immer auch außerhalb des Sichtbereiches des Monitors passiert...
mal als Beispiel:
Sysinternals Rootkit-Revealer arbeitet (wie z.b. auch die malware) mit zufälligen Prozess-/Dienstnamen...
um so intelligenterweise z.b. einer Erkennung durch aktive Malware zu entgehen !
Dienst wird temporär "installiert": [Blockierte Grafik: http://img91.imageshack.us/img91/2091/rootkitrevealer1da4.th.jpg]
gestarteter Prozess z.b.
[Blockierte Grafik: http://img91.imageshack.us/img91/8858/rootkitrevealer2fh4.jpg]
beim nächsten Mal:
[Blockierte Grafik: http://img530.imageshack.us/img530/6818/rootkitrevealer2aac2.jpg]
Hijack-log-Eintrag:
O23 - Service: IZOVCNPTP - Sysinternals - xxx.sysinternals.com - D:\DOKUME~1\XXX\LOKALE~1\Temp\IZOVCNPTP.exe
läuft der scan OHNE Komplikationen ab, ist o.g. wieder weg...
gibt es auf diesen malwareverseuchtenZombieTuneup-Schleudern die üblichen Komplikationen...
bleibt eben sowas auch gerne mal teilweise dann bluescreenabsturzmässig erhalten...
aber wie Kaspersky eben sagte:
ZitatAbschließend möchten wir bemerken, dass der effektivste Schutz im Kampf gegen Rootkits die Prävention ist.
wer diesen Level nicht erreicht, hat eh´ verloren...
dem freien kostenlosen Internet und seinen "Nutzern" und den angeschlossenen Freunden...
zum wohle ! :lol: (kleingeschrieben !)
Zitat von brainiwer diesen Level nicht erreicht, hat eh´ verloren...
Die Prävention in allen Ehren - da die Prävention einem Fass ohne Boden gleicht, ist bestenfalls - und das nur mit intensivstem Interesse - ein temporär geeignetes "Level" erreichbar. :roll:
Nun war ich in diesem Fall nicht selbst von der Seuche betroffen und hab' nur versucht, einem Kumpel zu helfen - hab eben noch mit ihm telefoniert; das Problem tauchte bis jetzt nicht mehr auf (zumindest nicht sichtbar - wer kann sich da schon 100%ig sicher sein?)
Zumindest hat das AVG-AntiRootKit den Übeltäter ausfindig gemacht, wenngleich ich die Dateien trotzdem noch von Hand (nicht ganz blind) löschen musste; mir war klar, dass es das noch nicht gewesen sein konnte - gleich im Anschluss startete ich HijackThis und es wurde natürlich noch der laufende Dienst, bzw. Prozess gefunden, den ich dann umgehend mit HijackThis fixte - gut, das hätte ich auch rumgedreht machen können, hat aber in diesem Fall offensichtlich keinen Einfluss gehabt. (prefetch und Registry durchsuchen/reinigen ist dabei fast schon selbstredend) Sicher bin ich nicht professionell an die Sache rangegangen, aber wie's aussieht, hat's geholfen; dix hat's mit GMER hinbekommen. Das Problem taucht nicht mehr auf, die Tools finden nix mehr und die gelöschten Dateien wurden nicht wieder hergestellt, auch nicht mit einem anderen Namen.
Trotzdem ist es didaktisch wertvoll, etwas mehr Hintergrundinformationen über die Zusammenhänge in Erfahrung zu bringen - nicht alle Übeltäter sind so verhältnismäßig leicht in den Griff zu bekommen - und nicht jeder ist ein IT-Experte; letzteres sollte man dabei auch nicht vergessen. ...während sich ein Normaluser durch die Hieroglyphen-Welt der Logfiles, Workarounds etc. durchbeißt, wenn er denn halbwegs verständliche findet, sind unterdessen Familie und Freunde gealtert.
Grüße - doubletrouble
Hallo zusammen,
Ich habe eine Lösung, die bei mir wunderbar funktioniert hat.
Dazu habe ich hier ein neues Thema erstellt:
http://www.firefox-browser.de/forum/viewtopic.php?t=57261
Viel Erfolg
IceMaster