Dialer / Rootkits

Hallo!
heute hat mein antivir-guard einen Dialer entdeckt: DIAL/000133. Der Guard sagt, dass er sich in der Datei Windows\hun-10039.exe und Windows\hun-10024.exe befindet. Ich habe ihn vorläufig mal in Quarantäne verschoben. Kann mir jemand sagen ob dieser gefährlich ist? Und wenn ja, wie bekomme ich ihn dann weg?

Und dann hätte ich da noch ne Frage:
habe heute mal rootkit-revealer scannen lassen. Könnte sich bitte jemand mal die Ergebnisse anschauen? Ich hab davon nicht so viel Ahnung.
Ist da alles in Ordnung?

Danke schon mal im voraus!

 

Hallo,
heute hat mein AntiVir-guard noch ein Dialer "DIAL/000133" entdeckt. Habe ihn ebenfalls in Quarantäne verschoben. Habe bereits in Google nach diesem gesucht, aber leider nichts hilfreiches gefunden. Kann es sein, dass sich der ursprüngliche Dialer vervielfältigt hat? Und ist dieser gefährlich? Kann ich ihn ohne weiteres löschen, oder muss ich noch was beachten?
Wer kann helfen?

 

Hallo,
also, ich kenne mich mit Rootkitrevealer Logs nicht so gut aus, mach mal einen Scan mit F-Secure Blacklight und poste das Log (wird nach dem Scan im selben Pfad generiert als fslb***.txt)
AntiVir hat keine gute Datenbank was seine Meldungen angeht, kannst du mal die beanstandete Datei hier überprüfen und das Ergebnis posten.


Grüße Jasager

 

Der Rechner ist verseucht...

Dein AntiVir scheint wohl selbst als RootKit zu arbeiten..

"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\444c64f4.qua 30.01.2006 20:09 64.10 KB Hidden from Windows API."

Aber das versteckt sich noch mehr:
C:\System Volume Information\_restore{CAAF73B2-2AF0-4A01-BDE3-43478164A105}\RP690\A0057297.exe 30.01.2006 20:09 63.82 KB Hidden from Windows API.

C:\System Volume Information\_restore{CAAF73B2-2AF0-4A01-BDE3-43478164A105}\RP690\A0057298.exe 30.01.2006 20:10 63.68 KB Hidden from Windows API.

C:\WINDOWS\hun-10039.exe 01.12.2003 17:49 63.82 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\hun-10042.exe 15.12.2003 18:09 63.68 KB Visible in Windows API,

 

Oh, oh! Hört sich ziemlich übel an!
@ Wolfgang77: was schlägst du nun vor?

@ Jasager: F-Secure Blacklight habe ich scannen lassen, doch es findet nichts.

 

Hallo,
also ehrlich gesagt ich traue Rootkitrevealer in dem Fall nicht. Hast du die Dialer Datei mal überprüft? Wo hat AntiVir sie eigentlich gefunden (genauer Pfad)? Mache auch mal einen Onlinescan bei Kaspersky und berichte.


Grüße Jasager

 

Also:
Nr.1 : C:\WINDOWS\hun-10039.exe
Nr.2 : C:\WINDOWS\hun-10042.exe
Nr.3 : C:\System Volume Information\_restore{CAAF73B2-2AF0-4A01-BDE3-43478164A105}\RP690\A0057297.exe

 

Hallo,
dann mache mal das mit dem Onlinescan, sowohl der Dateien (nur die ersten beiden) bei Virustotal, als auch dem ganzen System bei Kaspersky.


Grüße Jasager

 

Irgendwie muss der Dialer ja auch aktiviert werden, haben wir schon ein aktuelles HiJackThis-Log von dir ??.

Die Dateien meldet ja auch der Herr Russinovich von Sysinternals..

 

Hi!
Ich habe bereits ein Hijackthis gepostet:
http://forum.pcwelt.de/forum/showthread.php?t=192120

 

@ Wolfgang77
Ach ja. Noch was zu deinem obigen post:
AntiVir arbeitet nicht als rootkit (denke und hoffe ich). Diese Datei hat der rootkit-revealer nur gefunden, weil ich die Dialer in das Quarantäne Verzeichnis verschoben habe.

"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\444c64f4.qua 30.01.2006 20:09 64.10 KB Hidden from Windows API."

Dises "INFECTED"- Verzeichnis ist das Quarantäne Verzeichnis von AntiVir. (glaub ich zumindest, aber korrigier mich, wenn ich falsch liege).

 

Hallo,
wie siehts jetzt eigentlich mit e-banking, usw. aus. Hat der Dialer oder das ganze andere zeugs was rootkit-revealer gefunden hat irgendeinen Einfluss auf das. D.h. darf ich jetzt eigentlich e-banking usw. betreiben?
Übrigens bin ich ab morgen nicht mehr da. Ich komme erst am sonntag wieder zurück. Also bitte nicht wundern, wenn morgen oder übermorgen keine Rückmeldung mehr von mir kommt.
Ich danke euch für eure Hilfe. Aber ab Sonntag bräuchte ich euch dann wieder. Bis dann!!

 

Ja das ist dann eine Rootkit-Funktion wenn du mit deinem Explorer (Dateimanager) nicht an die Datei / Verzeichnis kommst (444c64f4.qua), sie also vor Windows und seinem Application Programming Interface (API) versteckt wird.

 

Hi! Da bin ich wieder!
Also, ich hab die infizierten Dateien jetzt einfach mal gelöscht. Bis jetzt ist keine Meldung mehr wegen einem Fund gekommen. (Ich hoffe, dass das auch so bleibt). Hab dann nochmal den Rootkit-Revealer scannen lassen. (.log im Anhang).
Kann mir jemand sagen, was dieses HKLM\Software\Classes..... soll?
Und was bedeutet "Key name contains embedded nulls" ?
Naja, jedenfalls zeigts nix mehr von den Dialern an und auch nicht mehr sowas: "was Hidden by Windows API". Aber trotzdem möchte ich gerne wissen, was das andere zeugs bedeutet.
Ach ja. @ Wolfgang77: was meinst du damit, dass der Herr Russinovich auch die Dateien meldet. Soll das heißen, dass nicht nur ich dieses Problem hab?
Danke für eure Hilfe