TR/Rootkit.Age.af.1

Dieses Thema im Forum "Sicherheit" wurde erstellt von minosvonknossos, 3. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. minosvonknossos

    minosvonknossos Byte

    Registriert seit:
    12. Mai 2004
    Beiträge:
    11
    Hallo zusammen,
    eine Bekannte hat sich den Trojaner TR/Rootkit.Age.af.1 eingefangen, wenn Antivir sich nicht irrt. Beim Download wurde er jedenfalls nicht bemerkt und ein Systemscan findet auch nichts.
    Die Meldung kommt jedoch permanent sobald sich der Bildschirmschoner einschaltet. Leider ist im Internet nichts brauchbares zu finden. Kennt jemand diesen Virus und weiß wie man das Teil entfernt?

    Gruß
    Minos
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    da AntiVir keine gut sortierte Datenbank führt, ist der name selbst als Information nicht ausreichend. In welcher Datei wird das Rootkit gefunden? Scanne (oder lass scannen) mal das System mit F-Secure Blacklight und poste das Logfile (Textdatei die im selben Pfad nach dem Scan generiert wird).


    Grüße Jasager
     
  3. minosvonknossos

    minosvonknossos Byte

    Registriert seit:
    12. Mai 2004
    Beiträge:
    11
    Hallo Jasager,
    vielen Dank für Deine schnelle Antwort. Ich habe leider etwas länger gebraucht um den Scan erstellen zu lassen.
    Also die Meldung von Antivir lautet:

    C:\SYSTEM VOLUME INFORMATION\_RESTORE{4EEC1D9F-CC08-4C4F-A27D-3AF0CC8F6925}\RP99\A0022400.SYS

    Ist das Trojanische Pferd TR/Rootkit.Age.af.1

    und das Logfile von Blacklight sieht folgendermaßen aus:

    01/04/06 12:39:12 [Info]: BlackLight Engine 1.0.30 initialized
    01/04/06 12:39:12 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    01/04/06 12:39:12 [Note]: 7019 4
    01/04/06 12:39:12 [Note]: 7005 0
    01/04/06 12:39:15 [Note]: 7006 0
    01/04/06 12:39:15 [Note]: 7011 632
    01/04/06 12:39:15 [Note]: FSRAW library version 1.7.1014
    01/04/06 12:42:19 [Note]: 7007 0

    Außerdem habe ich noch einen Scan mit Hijackthis erstellen lassen. Das Ergebebnis findest Du unter:
    http://www.hijackthis.de/logfiles/c650f7e3f88b04539b92f5d915ce39bd.html
    Du hattest zwar nicht danach gefragt aber wenn es nichts nützt schadet es ja wohl auch nicht.

    Ich hoffe Du kannst damit etwas mehr anfangen als ich.

    Gruß
    Minos
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    deutet im Moment eher auf einen Fehlalarm hin, HijackThis und Blacklight Log sind sauber. Mach aber zur Kontrolle noch einen Onlinescan bei Kaspersky und berichte ob der auch etwas findet.


    Grüße Jasager
     
  5. minosvonknossos

    minosvonknossos Byte

    Registriert seit:
    12. Mai 2004
    Beiträge:
    11
    Hallo Jasager,
    danke für den Tip mit dem Kaspersky Onlinescan. Er hat zwar kein Rootkit gefunden dafür aber andere "Tierchen".

    Du kannst den Report hier einsehen: http://www.plantel.de/kaspersky

    Was hältst Du vom Removal-Tool "Sassgui" welches Sophos auf seiner Website zur Verfügug stellt. Hast Du vieleicht dann noch eine Idee was man gegen das 2. Teil tun kann, wenn nicht werde ich ein bischen googlen.

    Gruß
    Minos
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    lösche die beiden Dateien mit Killbox (on reboot), du kannst noch zusätzlich das Removaltool von Sophos anwenden, schaden kann es nicht.
    Danach stellst du mal die systemwiederherstellung ab, startest den computer neu, und stellst sie wieder an.

    Und weiterhin das System und alle weiteren sicherheitsrelevante Programme (Browser, JAVA ...) auf dem aktuellsten stand halten, das ist wichtiger als jeder Virenscanner.


    Grüße Jasager
     
  7. minosvonknossos

    minosvonknossos Byte

    Registriert seit:
    12. Mai 2004
    Beiträge:
    11
    Hallo Jasager,
    nochmals danke für Deine Hilfe.
    Nach der "Behandlung" mit Killbox ist der Rechner scheinbar sauber.
    Zumindest findet Kaspersky nichts mehr und Antivir mault den Bildschirmschoner aus unerklärlichen Gründen auch nicht mehr an. Deinen abschließenden Tip habe ich auch noch mal ans das Mädel weitergegeben und sie hat versprochen daran zu halten. Hoffentlich hilfts.
    Gruß
    Dieter
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen