Antirootkit-tool schafft es nicht Rootkit.Gen zu beseitigen

Date of registration:
Nov 17th 2007

Sunday, January 29th 2012, 8:06pm

Ich habe von dem PC meiner Tochter mehrere Schadprogrmme entfernt (u. a. Win32). Es ist jetzt nur noch der Trojaner Rootkit.Gen drauf. Ich habe das AntiRootkit-Tool verwendet. Mehrere Datein wurden in Qarantäne verschoben. Die gefundenen Registry-einträge aber belassen. Danach habe ich Antivir gestartet und den Inhalt der Quarantäne gelöscht. Nun sstarte ich das Rescue-System und Rootkit.Gen wird zwei mal gefunden und automatisch gelöscht (habe ich so eingestellt).
Nun beginne ich das Spiel von vorn und es hat sich nichts geändert. Rootkit.Gen wird gefunden, gelöscht und ist wieder da.
Was mache ich falsch?

Go to the top of the page

Stefan K.

Community member

Date of registration:
Oct 9th 2007

Version:
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security

Operating System:
Windows XP Home Edition (32-Bit) - Service Pack 3

2

Sunday, January 29th 2012, 8:14pm

Bitte mal die ganzen Fundberichte posten.

Ich fürchte aber, wenn hier ein Rootkitbefall vorliegt, dass du das System neuinstallieren musst.

Update - Scanner für XP Update - Checker Spybot S&D McAfee Siteadvisor (Problem, dass einige Webseiten nicht richtig funktionierten, ist behoben)

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

3

Sunday, January 29th 2012, 8:19pm

Ich habe hier leider keinen sauberen PC zur verfügung (schreibe von einem iPad aus). Den infizierten PC habe ich vom internet getrennt und möchte damit auch keine Verbindung herstellen. Kann also nichts hohladen.
Aber noch eine Frage: wie kann man die vom Rootkit-Tool gefundenen Registry-Eimträge entfernen?

Go to the top of the page

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security

Operating System:
Windows 8 Pro 64 Bit Media Center Edition & Kubuntu 12.04 LTS

4

Sunday, January 29th 2012, 8:30pm

Vollständig nur mit format C:
Das Löschen der verschlüsselten(!) Dateien in der Quarantäne hat uns leider eine weitere Überprüfung unmöglich gemacht.. :huh:

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

5

Sunday, January 29th 2012, 8:36pm

Klingt nicht gut. Wenn ich jetzt das System neu aufsetze und dann eine usb-Festplatte anschließe,auf der vom infizierten Rechner aus Datendateien gesichert wurden, habe ich das Rootkit dann wieder drauf?

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

6

Sunday, January 29th 2012, 8:40pm

Quoted from "AlfaMS"

Vollständig nur mit format C:
Das Löschen der verschlüsselten(!) Dateien in der Quarantäne hat uns leider eine weitere Überprüfung unmöglich gemacht..

Das verstehe ich nicht. Ich lasse jetzt das Rootkit-Tool noch einmal laufen. Dann sind sie bestimmt wieder da. Dann werde ich versuchen,sie hochzuladen. Bis dahin vergehen aber bestimmt mehrere Stunden, denn auf dem Rechner sind sehr viele Dateien.

Go to the top of the page

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security

Operating System:
Windows 8 Pro 64 Bit Media Center Edition & Kubuntu 12.04 LTS

7

Sunday, January 29th 2012, 9:14pm

Vor Anstecken der USB-Platte die <Shift>-Taste drücken und halten bis die Platte erkannt wurde, dann loslassen. Jetzt mit Avira prüfen.
Dateien in der Quarantäne sind unschädlich. Wenn Schädlinge aber immer wieder neu auftauchen dann ist IMHO das System für die Tonne.

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

8

Sunday, January 29th 2012, 9:26pm

Danke! Es existiert auf einer anderen USB-Platte eine 3 Jahre alte Komplettsicherung. Die werde ich morgen aus dem F8-Reparaturmodus heraus aufspielen und dann die Daten so wie von dir beschrieben, wiederholen. Im F8-Reparaturmodus dürfte Rootkit.Gen doch keine Chance haben, zu überleben?

Go to the top of the page

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security

Operating System:
Windows 8 Pro 64 Bit Media Center Edition & Kubuntu 12.04 LTS

9

Sunday, January 29th 2012, 9:30pm

Drei Jahre alt? Meinst Du wirklich das würde Sinn machen?
Mache einfach einen Neustart mit langsamer Formatierung, und gut ists.
Ist nur mein Vorschlag - was Du dann machst ist Deine Sache. Wenn Du viel Zeit zur Hand hast, dann experimentiere meinetwegen. Erfolgsaussichten? Bei einem Rootkit eher gegen Null.

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

10

Sunday, January 29th 2012, 9:34pm

Danke, auch wenn es wenig Mut macht.

Go to the top of the page

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security

Operating System:
Windows 8 Pro 64 Bit Media Center Edition & Kubuntu 12.04 LTS

11

Sunday, January 29th 2012, 9:41pm

Mut? Frisch ran und den Rechner neu aufsetzen. Danach hast Du Sicherheit dass alles OK ist.
Und wenn der Rechner sich auf den Auslieferungszustand zurücksetzen lässt geht es auch ziemlich schnell.
Gib mal ein paar Details zum Rechner preis: Hersteller, Modell.

Go to the top of the page

Stefan K.

Community member

Date of registration:
Oct 9th 2007

Version:
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security

Operating System:
Windows XP Home Edition (32-Bit) - Service Pack 3

12

Sunday, January 29th 2012, 9:52pm

Ich würde empfehlen alle wichtigen Daten mit einer Live CD zu sichern und dann Win neuistallieren.

Anleitung für Linux Live CD -> Klick
Wichtig: Keine ausführbaren Dateien sichern. Mehr dazu hier -> Klick

Anleitung zum Neuaufsetzen -> Klick

Update - Scanner für XP Update - Checker Spybot S&D McAfee Siteadvisor (Problem, dass einige Webseiten nicht richtig funktionierten, ist behoben)

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

13

Monday, January 30th 2012, 5:40am

Quoted from "AlfaMS"

Mut? Frisch ran und den Rechner neu aufsetzen. Danach hast Du Sicherheit dass alles OK ist.
Und wenn der Rechner sich auf den Auslieferungszustand zurücksetzen lässt geht es auch ziemlich schnell.
Gib mal ein paar Details zum Rechner preis: Hersteller, Modell.

Es ist ein VAIO VGN-SR19XN von Sony. Wenn ich die "Zurücksetzen auf Auslieferungsstand-Funktion" starte, ist er dann sauber? Das Rücksetzsystem ist doch auch nur in einer versteckten Partition auf dem Rechner gespeichert. Führt es eine richtige Formatierung von C: aus?

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

14

Monday, January 30th 2012, 8:56am

Quoted from "adminbald"

Es ist ein VAIO VGN-SR19XN von Sony. Wenn ich die "Zurücksetzen auf Auslieferungsstand-Funktion" starte, ist er dann sauber?

Ja - ist er -
alles auf C:\ wird überschrieben - so überlebt auch ein Rootkit nicht

Bitte sichere zuvor Daten Texte mail etc - weil auch die Daten auf c:\ sind dann weg

Nach dem Restore bitte zügig die Microsoft patches - und per
Secunia.com >> PSI downloaden scannen und den Rest der Software tagesaktuell halten
browser - Javaruntime - pdf reader - flash und so fort ....

Rajo

Telepolis

This post has been edited 1 times, last edit by "Rajo" (Jan 30th 2012, 9:00am)

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

15

Monday, January 30th 2012, 11:00am

Ich habe jetzt die Vaio-Wiederherstellung auf Auslieferungszustand gemacht und danach die 3 Jahre alte Systemsicherung aufgespielt. Also C: praktisch zweimal formatiert. Jetzt lasse ich gerade nochneinmal die Rescue-CD düberlaufen.
Die eigenen, wichtigen Dateien sind auf einer anderen Partition gespeichert, die bisher nicht verändert wurde. Ich hoffe, dass sich der Schädling nicht auch dort eingenistet hat.

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

16

Monday, January 30th 2012, 11:06am

Noch eine Frage: Was ist PSI von secunia?

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

17

Monday, January 30th 2012, 11:19am

Quoted from "adminbald"

och eine Frage: Was ist PSI von secunia?

Personal Software Inspector

http://secunia.com/vulnerability_scanning/personal/
Nicht nur Windows - sondern auch der Rest deiner Software sollte Tagesaktuell sein
PSI ist ein Werkzeug dass Dir dabei hilft - setze es also ein

Rajo

Telepolis

Go to the top of the page

adminbald

Date of registration:
Nov 17th 2007

18

Monday, January 30th 2012, 11:36am

Ich habe große Angst davor, kostenlose tools von Anbietern die ich nicht kenne,zu installieren. Deshalb hatte ich auch in 20 Jahren auf allen von mir administrierten Rechnern noch nie einen Virenbefall. Hier geht es um den Rechner meiner Tochter. Die jungen Leute sind da eben etwas leichtsinniger.
Bist du Mitarbeiter von Avira und empfiehlst mir PSI?

Go to the top of the page

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

19

Monday, January 30th 2012, 11:43am

Quoted from "adminbald"

Bist du Mitarbeiter von Avira und empfiehlst mir PSI?

Ich bin kein Avira Angestellter - aber einer der Moderatoren dieses Forums, und schon etwas länger dabei.
daher empfehle ich diesen Scanner, den ich selber auch benütze.

Gruss
Rajo

Telepolis