Aphex Rootkit 2005 Befall

Unglücklicherweise habe ich mich mit diesem Rootkit infiziert.
Durch dieses Rootkti wurde ein Ordner Test versteckt im Windows Verzeichnis.
Zum Zirtpunkt des Ausführens reagierte kein einziges Programm mehr ständig "read" Fehler.
Ich entschied mich im abgesicherten Modus mein Kaspersky einzusetzen was auch funktionierte der Ordner war nicht mehr versteckt und das Rootkit anscheinend entfernt, aber einige Programme streicken dennoch.
Der automatischen Windows Updater gibt ständig Fehler aus genauso wie Installer.
So sehen dei Fehler aus:

Jemand eine Idee?

 

Kennst du den Servicenamen?
Den könntest du im abgesicherten Modus in der Registry löschen.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

 

Habe ich probiert.
Habe mich entschieden "Letzte als funktionierend bekannte Konfiguration verwenden"
Mittlerweile bekomm ich keine "read" Fehler mehr.
Nun ist es wuauctl hat einen Fehler festgestellst und bei allen steht unter Details, dass der Fehler in der kernel32.dll liegt.
Hat jemand eine Idee wie man die wieder zur Originalversion herstellt?

 

Hallo,

bei einem Backdoor oder Rootkit sollte das System immer formatiert werden, dies wird auch von Microsoft empfohlen.

Da dein On-Access-Scanner die Infektion nicht verhindern konnte, wenn der On-Demand-Scanner fündig wird, ist es zu spät, und offensichtlich kein sauberes Image (Backup) der System-Partition existiert bleibt dir nichts anderes übrig als neu zu installieren.

Ein Rootkit öffnet eine Hintertür zu deinem System, kein Mensch kann dir sagen welche Veränderungen bereits per Fernzugriff vorgenommen wurden.

Dein System ist grundsätzlich kompromittiert und nicht mehr vertrauenswürdig. Eine Ferndiagnose ist für die Leser hier nur möglich wenn du ein HiJackThis-Log postest.

[1]Strider GhostBuster Rootkit Detection
http://research.microsoft.com/rootkit/

[2]
http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

Wolfgang77

 

Ein Rootkit is kein Backdoor
Rootskits verstecken lediglich Backdoors
Die Infizierung fand ruch mich selbst statt nicht durh einen Inet Download.
Das Rootkit ist mittlerweile entfernt .
Anscheinend das Problem auch von selbst gelöst.
Die kernel32 DLL ist wieder funktionsfähig
Damit hat sich dies erledigt.
Danke für jede Hilfe

 

Hat auch niemand behauptet.

Ach...du fabrizierst die?

Wie hast du das gemacht ohne Windos neu aufzusetzen?
Damit wirst du reich !!!

 

Ich fabrizier die lol...
Jedenfalls ist dieses Rootkit glücklichwerweise Source offen
So konnte ich die Wirkunsweise studieren und Stück für Stück entfernen