8
Trojaner bzw. Rootkit vor dem windowsstart löschen (XP, 2000)
Guten Tag.
Auf einigen meiner Rechner habe ich einige DLLs gefunden, von denen ich sicher bin, daß sie zu einem Rootkit bzw. Trojaner gehören.
die Trojaner (sie treten immer im Doppelpack auf) befinden sich im /system32/ Ordner. Einer hat einen zufälligen sechsstelligen Namen, während der andere nach dem Schema tmp??.tmp.dll benannt ist.
Weder AdAware noch S&D markieren die Dateien als bösartig.
Antivir findet zwar die sechstellige DLL, kann sie auch entfernen jedoch wird sie von der anderen Datei wieder ersetzt.
Im normalen Windowsbetrieb lassen sich die Dateien nicht löschen.
Im abgesicherten Modus kann man nur die "tpm??.tmp.dll" löschen. Nach dem Neustart ist sie wieder da.
Beide Dateien sind im normalen Windowsbetrieb als DLL geladen.
Beide Dateien sind nur mit HiJackThis bzw "startdreck" aufzuspüren.
Bisher (bis vor kurzem arbeiteten wir noch mit win98) habe ich gute Erfahrungen bei Spywareentfernung gemacht, wenn die entsprechenden Dateien im Dosmodus entfernt wurden.
Ich bin auf der Suche nach Möglichkeiten dieses Verfahren weiterhin anzuwenden.
meine Frage lautet also:
Wie kann ich eine Batchdatei vor dem Start von Windows ausführen?
Ich denke da vor allem an Programme wie "PQ Partition Magic", welche ähnliche Scripte nutzen um im "dos-modus" Veränderungen am System vorzunehmen.
Automatische Tools zum Entfernen von Spyware haben sich als zu wenig flexibel herausgestellt.
Die Nutzung der InstallationsCD ist auch keine praktikable Lösung, da einige Rechner nur mit Festplatten betrieben werden.
Ich danke schonmal im Vorraus für die Antworten.
Auf einigen meiner Rechner habe ich einige DLLs gefunden, von denen ich sicher bin, daß sie zu einem Rootkit bzw. Trojaner gehören.
die Trojaner (sie treten immer im Doppelpack auf) befinden sich im /system32/ Ordner. Einer hat einen zufälligen sechsstelligen Namen, während der andere nach dem Schema tmp??.tmp.dll benannt ist.
Weder AdAware noch S&D markieren die Dateien als bösartig.
Antivir findet zwar die sechstellige DLL, kann sie auch entfernen jedoch wird sie von der anderen Datei wieder ersetzt.
Im normalen Windowsbetrieb lassen sich die Dateien nicht löschen.
Im abgesicherten Modus kann man nur die "tpm??.tmp.dll" löschen. Nach dem Neustart ist sie wieder da.
Beide Dateien sind im normalen Windowsbetrieb als DLL geladen.
Beide Dateien sind nur mit HiJackThis bzw "startdreck" aufzuspüren.
Bisher (bis vor kurzem arbeiteten wir noch mit win98) habe ich gute Erfahrungen bei Spywareentfernung gemacht, wenn die entsprechenden Dateien im Dosmodus entfernt wurden.
Ich bin auf der Suche nach Möglichkeiten dieses Verfahren weiterhin anzuwenden.
meine Frage lautet also:
Wie kann ich eine Batchdatei vor dem Start von Windows ausführen?
Ich denke da vor allem an Programme wie "PQ Partition Magic", welche ähnliche Scripte nutzen um im "dos-modus" Veränderungen am System vorzunehmen.
Automatische Tools zum Entfernen von Spyware haben sich als zu wenig flexibel herausgestellt.
Die Nutzung der InstallationsCD ist auch keine praktikable Lösung, da einige Rechner nur mit Festplatten betrieben werden.
Ich danke schonmal im Vorraus für die Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 58063
Url: https://administrator.de/contentid/58063
Printed on: April 23, 2024 at 18:04 o'clock
8 Comments
Latest comment
Man kann auch eine BartPE oder Knoppicillin CD nehmen, gibts auch für USB Sticks, und damit scannen.
das problem liegt ja darin, daß die rechner nur übers netzwerk mit daten "befüttert" werden können. die zufuhr von datenträgern ist nicht praktikabel.
Da stellt sich fuer mich die Frage, ob Du die Systemwiederherstellung bei den betroffenen Rechnern zuvor ausgehaengt hattest und die alten Wiederherstellungspunkte geloescht ???
Das was Du da auf dem Rechner hast, ist kein Rootkit, sondern ein ganz banaler Trojaner.
Siehe hierzu auch die folgende Information:
http://www.castlecops.com/tk30785-tmp_tmp_dll_random_filename.html
Das Removal-Tool und weitere Infos gibts hier:
http://www.symantec.com/de/de/security_response/writeup.jsp?docid=2004- ...
saludos
gnarff
Das was Du da auf dem Rechner hast, ist kein Rootkit, sondern ein ganz banaler Trojaner.
Siehe hierzu auch die folgende Information:
http://www.castlecops.com/tk30785-tmp_tmp_dll_random_filename.html
Das Removal-Tool und weitere Infos gibts hier:
http://www.symantec.com/de/de/security_response/writeup.jsp?docid=2004- ...
saludos
gnarff
die hinweise sind ja ganz praktisch. vor allem der hinweis auf die castlecops ist aufschluss- und hilfreich.
aber die eigentliche frage - und auch das problem mit der unlöschbaren DLL - ist immernoch nicht beantwortet.
vielleicht gibt es ja noch jemanden, der mir weiterhelfen kann.
danke für die antworten.
aber die eigentliche frage - und auch das problem mit der unlöschbaren DLL - ist immernoch nicht beantwortet.
vielleicht gibt es ja noch jemanden, der mir weiterhelfen kann.
danke für die antworten.
Dateien, welche von Windows als gesperrt angezeigt werden und dadurch nicht gelöscht werden können, kann man mit Unlocker löschen.
Hallo cali!
aber die eigentliche frage - und auch das
problem mit der unlöschbaren DLL - ist
immernoch nicht beantwortet.
Natuerlich ist die Frage damit beantwortet, zumindest Die nach der unloeschbaren DLL.
-Systemwiederherstellung aushaengen
-Removal-Tool ausfuehren
-Systemwiederherstellung einhaengen und alte Wiederherstellungspunkte loeschen
Was die Batch-Frage anbetrifft, musst Du eine DOS-Prebootumgebung erschaffen und die Batchdatei dort einbinden.
@thekingetc.
Die DLL ist nicht "nicht loeschbar" weil sie von Windows gesperrt ist, sondern weil eine Zweite existiert, die die Erste nach dem Loeschen wiederherstellt.
Der Trick ist, dass BEIDE zur gleichen Zeit, also simultan, geloescht werden muessen...
saludos
gnarff
aber die eigentliche frage - und auch das
problem mit der unlöschbaren DLL - ist
immernoch nicht beantwortet.
-Systemwiederherstellung aushaengen
-Removal-Tool ausfuehren
-Systemwiederherstellung einhaengen und alte Wiederherstellungspunkte loeschen
Was die Batch-Frage anbetrifft, musst Du eine DOS-Prebootumgebung erschaffen und die Batchdatei dort einbinden.
@thekingetc.
Die DLL ist nicht "nicht loeschbar" weil sie von Windows gesperrt ist, sondern weil eine Zweite existiert, die die Erste nach dem Loeschen wiederherstellt.
Der Trick ist, dass BEIDE zur gleichen Zeit, also simultan, geloescht werden muessen...
saludos
gnarff
Natuerlich ist die Frage damit beantwortet,
zumindest Die nach der unloeschbaren DLL.
-Systemwiederherstellung aushaengen
-Removal-Tool ausfuehren
-Systemwiederherstellung einhaengen und alte
Wiederherstellungspunkte loeschen
Was die Batch-Frage anbetrifft, musst Du
eine DOS-Prebootumgebung erschaffen und die
Batchdatei dort einbinden.
zumindest Die nach der unloeschbaren DLL.
-Systemwiederherstellung aushaengen
-Removal-Tool ausfuehren
-Systemwiederherstellung einhaengen und alte
Wiederherstellungspunkte loeschen
Was die Batch-Frage anbetrifft, musst Du
eine DOS-Prebootumgebung erschaffen und die
Batchdatei dort einbinden.
nein. leider ist die frage damit noch nicht beantwortet.
der link zu dem castlecops und dem removertool von symantec war zwar hilfreich und hat den trojaner auch entfernt.
auch der unlocker hat halbwegs funktioniert, erweist sich aber als unpraktisch, da er installiert werden muss.
aber die eigentliche frage bezog sich auf das was als "dos-prebootumgebung" bezeichnet wird.
wie erzeuge ich eine solche prebootumgebung? (googlen ist da leider wenig aufschlussreich bzw. bezieht sich fast überwiegend auf netzwerkbooten.)
danke für die antworten.
Du koenntest das mit dem allround-Bootmanager "boot-us" loesen, der erkennt die gaengigsten Betriebssyteme und auch DOS.
Der Vorteil dabei ist, dass Du den Bootmanager auf dem Rechner installieren kannst.
Der Nachteil ist, Du muesstest DOS u.u extra zur Verfuegung stellen, da die DOS-Funktionalitaet unter XP ja von der cmd.exe bereitgestellt wird und das Windows ist ja noch nicht gestartet.
Anderer Loesungsansatz waere eine Boot-Disk zu erstellen oder eine vorhandene Boot-Disk Loesung seinen Beduerfnissen anzupassen. Die 911 Boot Disk ist z.B. eine solche Loesung, da muesstest Du dann das DOS noch mit einbinden;
Download und weiter Infos hier:
http://www.911cd.net/
Die jeweilige Batchdatei koennte dann auf Diskette gespeichert sein und von Laufwerk A:\ aus ausgefuehrt werden.
Wie man sich eine Boot-Disk selbst zusammenstellt oder ein DOS in eine bestehende Boot-Disk Loesung , wie z.B. 911, "einbaut" ist unter folgendem Link auf 16 Seiten lang und breit beschrieben, besonders Seite 16 ist interessant:
http://www.tecchannel.de/client/sicherheit/401534/
Ist deine Frage damit beantwortet...?
saludos
gnarff
Der Vorteil dabei ist, dass Du den Bootmanager auf dem Rechner installieren kannst.
Der Nachteil ist, Du muesstest DOS u.u extra zur Verfuegung stellen, da die DOS-Funktionalitaet unter XP ja von der cmd.exe bereitgestellt wird und das Windows ist ja noch nicht gestartet.
Anderer Loesungsansatz waere eine Boot-Disk zu erstellen oder eine vorhandene Boot-Disk Loesung seinen Beduerfnissen anzupassen. Die 911 Boot Disk ist z.B. eine solche Loesung, da muesstest Du dann das DOS noch mit einbinden;
Download und weiter Infos hier:
http://www.911cd.net/
Die jeweilige Batchdatei koennte dann auf Diskette gespeichert sein und von Laufwerk A:\ aus ausgefuehrt werden.
Wie man sich eine Boot-Disk selbst zusammenstellt oder ein DOS in eine bestehende Boot-Disk Loesung , wie z.B. 911, "einbaut" ist unter folgendem Link auf 16 Seiten lang und breit beschrieben, besonders Seite 16 ist interessant:
http://www.tecchannel.de/client/sicherheit/401534/
Ist deine Frage damit beantwortet...?
saludos
gnarff
