Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Trojaner bzw. Rootkit vor dem windowsstart löschen (XP, 2000)

Frage Sicherheit Viren und Trojaner

Mitglied: Calibretto

Calibretto (Level 1) - Jetzt verbinden

02.05.2007, aktualisiert 04.05.2007, 7230 Aufrufe, 8 Kommentare

Guten Tag.

Auf einigen meiner Rechner habe ich einige DLLs gefunden, von denen ich sicher bin, daß sie zu einem Rootkit bzw. Trojaner gehören.

die Trojaner (sie treten immer im Doppelpack auf) befinden sich im /system32/ Ordner. Einer hat einen zufälligen sechsstelligen Namen, während der andere nach dem Schema tmp??.tmp.dll benannt ist.

Weder AdAware noch S&D markieren die Dateien als bösartig.
Antivir findet zwar die sechstellige DLL, kann sie auch entfernen jedoch wird sie von der anderen Datei wieder ersetzt.
Im normalen Windowsbetrieb lassen sich die Dateien nicht löschen.
Im abgesicherten Modus kann man nur die "tpm??.tmp.dll" löschen. Nach dem Neustart ist sie wieder da.
Beide Dateien sind im normalen Windowsbetrieb als DLL geladen.
Beide Dateien sind nur mit HiJackThis bzw "startdreck" aufzuspüren.

Bisher (bis vor kurzem arbeiteten wir noch mit win98) habe ich gute Erfahrungen bei Spywareentfernung gemacht, wenn die entsprechenden Dateien im Dosmodus entfernt wurden.
Ich bin auf der Suche nach Möglichkeiten dieses Verfahren weiterhin anzuwenden.

meine Frage lautet also:
Wie kann ich eine Batchdatei vor dem Start von Windows ausführen?

Ich denke da vor allem an Programme wie "PQ Partition Magic", welche ähnliche Scripte nutzen um im "dos-modus" Veränderungen am System vorzunehmen.


Automatische Tools zum Entfernen von Spyware haben sich als zu wenig flexibel herausgestellt.
Die Nutzung der InstallationsCD ist auch keine praktikable Lösung, da einige Rechner nur mit Festplatten betrieben werden.

Ich danke schonmal im Vorraus für die Antworten.
Mitglied: thekingofqueens
02.05.2007 um 22:13 Uhr
Man kann auch eine BartPE oder Knoppicillin CD nehmen, gibts auch für USB Sticks, und damit scannen.
Bitte warten ..
Mitglied: Calibretto
02.05.2007 um 23:42 Uhr
das problem liegt ja darin, daß die rechner nur übers netzwerk mit daten "befüttert" werden können. die zufuhr von datenträgern ist nicht praktikabel.
Bitte warten ..
Mitglied: gnarff
03.05.2007 um 00:54 Uhr
Da stellt sich fuer mich die Frage, ob Du die Systemwiederherstellung bei den betroffenen Rechnern zuvor ausgehaengt hattest und die alten Wiederherstellungspunkte geloescht ???

Das was Du da auf dem Rechner hast, ist kein Rootkit, sondern ein ganz banaler Trojaner.
Siehe hierzu auch die folgende Information:
http://www.castlecops.com/tk30785-tmp_tmp_dll_random_filename.html

Das Removal-Tool und weitere Infos gibts hier:
http://www.symantec.com/de/de/security_response/writeup.jsp?docid=2004- ...

saludos
gnarff
Bitte warten ..
Mitglied: Calibretto
03.05.2007 um 17:21 Uhr
die hinweise sind ja ganz praktisch. vor allem der hinweis auf die castlecops ist aufschluss- und hilfreich.

aber die eigentliche frage - und auch das problem mit der unlöschbaren DLL - ist immernoch nicht beantwortet.

vielleicht gibt es ja noch jemanden, der mir weiterhelfen kann.
danke für die antworten.
Bitte warten ..
Mitglied: thekingofqueens
03.05.2007 um 17:53 Uhr
Dateien, welche von Windows als gesperrt angezeigt werden und dadurch nicht gelöscht werden können, kann man mit Unlocker löschen.
Bitte warten ..
Mitglied: gnarff
03.05.2007 um 18:52 Uhr
Hallo cali!

aber die eigentliche frage - und auch das
problem mit der unlöschbaren DLL - ist
immernoch nicht beantwortet.

Natuerlich ist die Frage damit beantwortet, zumindest Die nach der unloeschbaren DLL.
-Systemwiederherstellung aushaengen
-Removal-Tool ausfuehren
-Systemwiederherstellung einhaengen und alte Wiederherstellungspunkte loeschen

Was die Batch-Frage anbetrifft, musst Du eine DOS-Prebootumgebung erschaffen und die Batchdatei dort einbinden.

@thekingetc.
Die DLL ist nicht "nicht loeschbar" weil sie von Windows gesperrt ist, sondern weil eine Zweite existiert, die die Erste nach dem Loeschen wiederherstellt.
Der Trick ist, dass BEIDE zur gleichen Zeit, also simultan, geloescht werden muessen...

saludos
gnarff
Bitte warten ..
Mitglied: Calibretto
04.05.2007 um 19:44 Uhr
Natuerlich ist die Frage damit beantwortet,
zumindest Die nach der unloeschbaren DLL.
-Systemwiederherstellung aushaengen
-Removal-Tool ausfuehren
-Systemwiederherstellung einhaengen und alte
Wiederherstellungspunkte loeschen

Was die Batch-Frage anbetrifft, musst Du
eine DOS-Prebootumgebung erschaffen und die
Batchdatei dort einbinden.

nein. leider ist die frage damit noch nicht beantwortet.
der link zu dem castlecops und dem removertool von symantec war zwar hilfreich und hat den trojaner auch entfernt.
auch der unlocker hat halbwegs funktioniert, erweist sich aber als unpraktisch, da er installiert werden muss.

aber die eigentliche frage bezog sich auf das was als "dos-prebootumgebung" bezeichnet wird.

wie erzeuge ich eine solche prebootumgebung? (googlen ist da leider wenig aufschlussreich bzw. bezieht sich fast überwiegend auf netzwerkbooten.)

danke für die antworten.
Bitte warten ..
Mitglied: gnarff
04.05.2007 um 23:09 Uhr
Du koenntest das mit dem allround-Bootmanager "boot-us" loesen, der erkennt die gaengigsten Betriebssyteme und auch DOS.
Der Vorteil dabei ist, dass Du den Bootmanager auf dem Rechner installieren kannst.
Der Nachteil ist, Du muesstest DOS u.u extra zur Verfuegung stellen, da die DOS-Funktionalitaet unter XP ja von der cmd.exe bereitgestellt wird und das Windows ist ja noch nicht gestartet.

Anderer Loesungsansatz waere eine Boot-Disk zu erstellen oder eine vorhandene Boot-Disk Loesung seinen Beduerfnissen anzupassen. Die 911 Boot Disk ist z.B. eine solche Loesung, da muesstest Du dann das DOS noch mit einbinden;
Download und weiter Infos hier:
http://www.911cd.net/
Die jeweilige Batchdatei koennte dann auf Diskette gespeichert sein und von Laufwerk A:\ aus ausgefuehrt werden.

Wie man sich eine Boot-Disk selbst zusammenstellt oder ein DOS in eine bestehende Boot-Disk Loesung , wie z.B. 911, "einbaut" ist unter folgendem Link auf 16 Seiten lang und breit beschrieben, besonders Seite 16 ist interessant:
http://www.tecchannel.de/client/sicherheit/401534/

Ist deine Frage damit beantwortet...?

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Microsoft
gelöst Windows 2000 SP4 vs XP ohne Service Pack für Labor PC (11)

Frage von matze0004 zum Thema Microsoft ...

Exchange Server
gelöst SBS2011 - im Exchange mobile Geräte löschen (4)

Frage von MiSt zum Thema Exchange Server ...

Exchange Server
Inhalt von Postfächern in Exchange löschen (9)

Frage von m.reeger zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...