Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Trojaner bzw. Rootkit vor dem windowsstart löschen (XP, 2000)

Frage Sicherheit Viren und Trojaner

Mitglied: Calibretto

Calibretto (Level 1) - Jetzt verbinden

02.05.2007, aktualisiert 04.05.2007, 7284 Aufrufe, 8 Kommentare

Guten Tag.

Auf einigen meiner Rechner habe ich einige DLLs gefunden, von denen ich sicher bin, daß sie zu einem Rootkit bzw. Trojaner gehören.

die Trojaner (sie treten immer im Doppelpack auf) befinden sich im /system32/ Ordner. Einer hat einen zufälligen sechsstelligen Namen, während der andere nach dem Schema tmp??.tmp.dll benannt ist.

Weder AdAware noch S&D markieren die Dateien als bösartig.
Antivir findet zwar die sechstellige DLL, kann sie auch entfernen jedoch wird sie von der anderen Datei wieder ersetzt.
Im normalen Windowsbetrieb lassen sich die Dateien nicht löschen.
Im abgesicherten Modus kann man nur die "tpm??.tmp.dll" löschen. Nach dem Neustart ist sie wieder da.
Beide Dateien sind im normalen Windowsbetrieb als DLL geladen.
Beide Dateien sind nur mit HiJackThis bzw "startdreck" aufzuspüren.

Bisher (bis vor kurzem arbeiteten wir noch mit win98) habe ich gute Erfahrungen bei Spywareentfernung gemacht, wenn die entsprechenden Dateien im Dosmodus entfernt wurden.
Ich bin auf der Suche nach Möglichkeiten dieses Verfahren weiterhin anzuwenden.

meine Frage lautet also:
Wie kann ich eine Batchdatei vor dem Start von Windows ausführen?

Ich denke da vor allem an Programme wie "PQ Partition Magic", welche ähnliche Scripte nutzen um im "dos-modus" Veränderungen am System vorzunehmen.


Automatische Tools zum Entfernen von Spyware haben sich als zu wenig flexibel herausgestellt.
Die Nutzung der InstallationsCD ist auch keine praktikable Lösung, da einige Rechner nur mit Festplatten betrieben werden.

Ich danke schonmal im Vorraus für die Antworten.
Mitglied: thekingofqueens
02.05.2007 um 22:13 Uhr
Man kann auch eine BartPE oder Knoppicillin CD nehmen, gibts auch für USB Sticks, und damit scannen.
Bitte warten ..
Mitglied: Calibretto
02.05.2007 um 23:42 Uhr
das problem liegt ja darin, daß die rechner nur übers netzwerk mit daten "befüttert" werden können. die zufuhr von datenträgern ist nicht praktikabel.
Bitte warten ..
Mitglied: gnarff
03.05.2007 um 00:54 Uhr
Da stellt sich fuer mich die Frage, ob Du die Systemwiederherstellung bei den betroffenen Rechnern zuvor ausgehaengt hattest und die alten Wiederherstellungspunkte geloescht ???

Das was Du da auf dem Rechner hast, ist kein Rootkit, sondern ein ganz banaler Trojaner.
Siehe hierzu auch die folgende Information:
http://www.castlecops.com/tk30785-tmp_tmp_dll_random_filename.html

Das Removal-Tool und weitere Infos gibts hier:
http://www.symantec.com/de/de/security_response/writeup.jsp?docid=2004- ...

saludos
gnarff
Bitte warten ..
Mitglied: Calibretto
03.05.2007 um 17:21 Uhr
die hinweise sind ja ganz praktisch. vor allem der hinweis auf die castlecops ist aufschluss- und hilfreich.

aber die eigentliche frage - und auch das problem mit der unlöschbaren DLL - ist immernoch nicht beantwortet.

vielleicht gibt es ja noch jemanden, der mir weiterhelfen kann.
danke für die antworten.
Bitte warten ..
Mitglied: thekingofqueens
03.05.2007 um 17:53 Uhr
Dateien, welche von Windows als gesperrt angezeigt werden und dadurch nicht gelöscht werden können, kann man mit Unlocker löschen.
Bitte warten ..
Mitglied: gnarff
03.05.2007 um 18:52 Uhr
Hallo cali!

aber die eigentliche frage - und auch das
problem mit der unlöschbaren DLL - ist
immernoch nicht beantwortet.

Natuerlich ist die Frage damit beantwortet, zumindest Die nach der unloeschbaren DLL.
-Systemwiederherstellung aushaengen
-Removal-Tool ausfuehren
-Systemwiederherstellung einhaengen und alte Wiederherstellungspunkte loeschen

Was die Batch-Frage anbetrifft, musst Du eine DOS-Prebootumgebung erschaffen und die Batchdatei dort einbinden.

@thekingetc.
Die DLL ist nicht "nicht loeschbar" weil sie von Windows gesperrt ist, sondern weil eine Zweite existiert, die die Erste nach dem Loeschen wiederherstellt.
Der Trick ist, dass BEIDE zur gleichen Zeit, also simultan, geloescht werden muessen...

saludos
gnarff
Bitte warten ..
Mitglied: Calibretto
04.05.2007 um 19:44 Uhr
Natuerlich ist die Frage damit beantwortet,
zumindest Die nach der unloeschbaren DLL.
-Systemwiederherstellung aushaengen
-Removal-Tool ausfuehren
-Systemwiederherstellung einhaengen und alte
Wiederherstellungspunkte loeschen

Was die Batch-Frage anbetrifft, musst Du
eine DOS-Prebootumgebung erschaffen und die
Batchdatei dort einbinden.

nein. leider ist die frage damit noch nicht beantwortet.
der link zu dem castlecops und dem removertool von symantec war zwar hilfreich und hat den trojaner auch entfernt.
auch der unlocker hat halbwegs funktioniert, erweist sich aber als unpraktisch, da er installiert werden muss.

aber die eigentliche frage bezog sich auf das was als "dos-prebootumgebung" bezeichnet wird.

wie erzeuge ich eine solche prebootumgebung? (googlen ist da leider wenig aufschlussreich bzw. bezieht sich fast überwiegend auf netzwerkbooten.)

danke für die antworten.
Bitte warten ..
Mitglied: gnarff
04.05.2007 um 23:09 Uhr
Du koenntest das mit dem allround-Bootmanager "boot-us" loesen, der erkennt die gaengigsten Betriebssyteme und auch DOS.
Der Vorteil dabei ist, dass Du den Bootmanager auf dem Rechner installieren kannst.
Der Nachteil ist, Du muesstest DOS u.u extra zur Verfuegung stellen, da die DOS-Funktionalitaet unter XP ja von der cmd.exe bereitgestellt wird und das Windows ist ja noch nicht gestartet.

Anderer Loesungsansatz waere eine Boot-Disk zu erstellen oder eine vorhandene Boot-Disk Loesung seinen Beduerfnissen anzupassen. Die 911 Boot Disk ist z.B. eine solche Loesung, da muesstest Du dann das DOS noch mit einbinden;
Download und weiter Infos hier:
http://www.911cd.net/
Die jeweilige Batchdatei koennte dann auf Diskette gespeichert sein und von Laufwerk A:\ aus ausgefuehrt werden.

Wie man sich eine Boot-Disk selbst zusammenstellt oder ein DOS in eine bestehende Boot-Disk Loesung , wie z.B. 911, "einbaut" ist unter folgendem Link auf 16 Seiten lang und breit beschrieben, besonders Seite 16 ist interessant:
http://www.tecchannel.de/client/sicherheit/401534/

Ist deine Frage damit beantwortet...?

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Netzwerke
Netzwerkstatus beim Windowsstart wechselt 2x
gelöst Frage von DerWoWussteNetzwerke10 Kommentare

Moin Kollegen. Gleich vorneweg: kein 0815-Problem. Bei wenigen Windows8.1-Clients (3 von 50) ist folgendes Phänomen zu beobachten: Bootet der ...

Java
JAVA medet sich win Windowsstart mit fehler
gelöst Frage von BigibobJava3 Kommentare

Hallo zusammen ich habe ein Probelm mit Java. Java meldet sich bei start von windows mit folgendem Text, einen ...

Windows Installation
Win XP und Win 7 Hybridsystem. XP löschen
gelöst Frage von coltseaversWindows Installation17 Kommentare

Hallo zusammen, ich habe auf einem 0815-PC eine SATA-Platte, die 3 Partitionen enthält. Auf der ersten Partition wurde seinerzeit ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 5 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 16 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 18 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner4 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...