TR/Rootkit.Age.af.1

Hallo zusammen,
eine Bekannte hat sich den Trojaner TR/Rootkit.Age.af.1 eingefangen, wenn Antivir sich nicht irrt. Beim Download wurde er jedenfalls nicht bemerkt und ein Systemscan findet auch nichts.
Die Meldung kommt jedoch permanent sobald sich der Bildschirmschoner einschaltet. Leider ist im Internet nichts brauchbares zu finden. Kennt jemand diesen Virus und weiß wie man das Teil entfernt?

Gruß
Minos

 

Hallo,
da AntiVir keine gut sortierte Datenbank führt, ist der name selbst als Information nicht ausreichend. In welcher Datei wird das Rootkit gefunden? Scanne (oder lass scannen) mal das System mit F-Secure Blacklight und poste das Logfile (Textdatei die im selben Pfad nach dem Scan generiert wird).


Grüße Jasager

 

Hallo Jasager,
vielen Dank für Deine schnelle Antwort. Ich habe leider etwas länger gebraucht um den Scan erstellen zu lassen.
Also die Meldung von Antivir lautet:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{4EEC1D9F-CC08-4C4F-A27D-3AF0CC8F6925}\RP99\A0022400.SYS

Ist das Trojanische Pferd TR/Rootkit.Age.af.1

und das Logfile von Blacklight sieht folgendermaßen aus:

01/04/06 12:39:12 [Info]: BlackLight Engine 1.0.30 initialized
01/04/06 12:39:12 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/04/06 12:39:12 [Note]: 7019 4
01/04/06 12:39:12 [Note]: 7005 0
01/04/06 12:39:15 [Note]: 7006 0
01/04/06 12:39:15 [Note]: 7011 632
01/04/06 12:39:15 [Note]: FSRAW library version 1.7.1014
01/04/06 12:42:19 [Note]: 7007 0

Außerdem habe ich noch einen Scan mit Hijackthis erstellen lassen. Das Ergebebnis findest Du unter:
http://www.hijackthis.de/logfiles/c650f7e3f88b04539b92f5d915ce39bd.html
Du hattest zwar nicht danach gefragt aber wenn es nichts nützt schadet es ja wohl auch nicht.

Ich hoffe Du kannst damit etwas mehr anfangen als ich.

Gruß
Minos

 

Hallo,
deutet im Moment eher auf einen Fehlalarm hin, HijackThis und Blacklight Log sind sauber. Mach aber zur Kontrolle noch einen Onlinescan bei Kaspersky und berichte ob der auch etwas findet.


Grüße Jasager

 

Hallo Jasager,
danke für den Tip mit dem Kaspersky Onlinescan. Er hat zwar kein Rootkit gefunden dafür aber andere "Tierchen".

Du kannst den Report hier einsehen: http://www.plantel.de/kaspersky

Was hältst Du vom Removal-Tool "Sassgui" welches Sophos auf seiner Website zur Verfügug stellt. Hast Du vieleicht dann noch eine Idee was man gegen das 2. Teil tun kann, wenn nicht werde ich ein bischen googlen.

Gruß
Minos

 

Hallo,
lösche die beiden Dateien mit Killbox (on reboot), du kannst noch zusätzlich das Removaltool von Sophos anwenden, schaden kann es nicht.
Danach stellst du mal die systemwiederherstellung ab, startest den computer neu, und stellst sie wieder an.

Und weiterhin das System und alle weiteren sicherheitsrelevante Programme (Browser, JAVA ...) auf dem aktuellsten stand halten, das ist wichtiger als jeder Virenscanner.


Grüße Jasager

 

Hallo Jasager,
nochmals danke für Deine Hilfe.
Nach der "Behandlung" mit Killbox ist der Rechner scheinbar sauber.
Zumindest findet Kaspersky nichts mehr und Antivir mault den Bildschirmschoner aus unerklärlichen Gründen auch nicht mehr an. Deinen abschließenden Tip habe ich auch noch mal ans das Mädel weitergegeben und sie hat versprochen daran zu halten. Hoffentlich hilfts.
Gruß
Dieter