Trojaner: Rootkit-agent.et entfernen?

Internet Internet Sicherheit
#1

Hallo,

schlage mich schon seit Wochen mit irgendwelchen seltsamen Fehlermeldungen und neu startenden Systemen rum, aber endlich habe ich eine Fehlermeldung, die mich in meiner Virensuche weiterbringt. Oben genannter Trojaner wurde gefunden unter Dateiname Windows\system32\drivers\atapi.sys - kann mir das zwar nicht ganz erklären, aber es ist nun mal so. Leider bietet mir AVG keine Entfernungsmöglichkeit an.
Was kann ich denn tun um den wieder loszuwerden?
Alle Meinungen sind gefragt!!
Vielen Dank.

#2

Hi

schlage mich schon seit Wochen mit irgendwelchen seltsamen
Fehlermeldungen und neu startenden Systemen rum, aber endlich
habe ich eine Fehlermeldung, die mich in meiner Virensuche
weiterbringt. Oben genannter Trojaner wurde gefunden unter
Dateiname Windows\system32\drivers\atapi.sys - kann mir das
zwar nicht ganz erklären, aber es ist nun mal so. Leider
bietet mir AVG keine Entfernungsmöglichkeit an.
Was kann ich denn tun um den wieder loszuwerden?

ganz einfach: Platte glattbügeln, Betriebssystem neu isntallieren

und nein, eine andere Möglichkeit gibt es nicht, ausser du hast vorausschauend eine Image-Datei deines Betriebssystems zum Neuaufspielen.

Gruss
ExNicki

#3

Gibts da echt kein Tool oder irgendne andere möglichkeit? Muss nämlich noch ein paar Arbeiten auf dem Rechner fertigkriegen, bevor ich mich an eine Neuinstallation wage (hab natürlich kein Image). Kann ich das System überhaupt noch weiter benutzen solange es läuft oder ist davon abzuraten?

#4

Hallo sevenless,

Ex-Nicki hat das Wesentliche gesagt.

Du solltest allerdings die Datei „Windows\system32\drivers\atapi.sys“ einmal zu http://www.virustotal.com zwecks genauerer Untersuchung hochladen.

Weiterhin solltest Du Dir Avira Rescue herunterladen, brennen und von der CD starten:

http://www.free-av.com/de/produkte/12/avira_antivir_…

Dann eine Datensicherung Deiner Bewegungsdaten - ein Image der Festplatte ist aus naheliegenden Gründen nicht sinnvoll - und das System neu aufsetzen.

Und für die Zukunft: Als eingeschränkter Benutzer arbeiten!

Viel Erfolg, tf

#5

Moin, sevenless,

Gibts da echt kein Tool

nein, weil niemand weiß, was der Trojaner zwischenzeitlich angestellt hat.

Muss nämlich noch ein paar Arbeiten auf dem Rechner fertigkriegen

Zieh das Kabel aus dem Router raus, dann verseuchst Du wenigstens Deine Mailpartner nicht und kannst nicht als Bot missbraucht werden.

hab natürlich kein Image.

Jetzt ist es zu spät. Für die Zuckumpft schau Dir mal Acronis TrueImage an, liegt oft auf CDs in Zeitschriften.

Kann ich das System überhaupt noch weiter
benutzen solange es läuft oder ist davon abzuraten?

Offline schon, versuche aber, Deine Nutzdaten zu sichern.

Gruß Ralf

#6

ach mist… na dann werd ich mich mal an eure Ratschläge halten und das System platt machen.
nur sehr ärgerlich.
danke aber.

#7

Oben genannter Trojaner wurde gefunden unter
Dateiname Windows\system32\drivers\atapi.sys

Dazu ganz frisch: http://www.heise.de/security/meldung/Symantec-Rootki…

#8

Oben genannter Trojaner wurde gefunden unter
Dateiname Windows\system32\drivers\atapi.sys - kann mir das
zwar nicht ganz erklären, aber es ist nun mal so.

Siehe:
http://www.heise.de/newsticker/meldung/Symantec-Root…

Gruß,
Stefan

#9

Siehe:
http://www.heise.de/newsticker/meldung/Symantec-Root…

aha - sehr interessant. Allerdings hatte ich keinen einzigen Blue-screen. Immer nur ne Fehlermeldung (und ob ich die an Microsoft senden will) und dann geht einfach ein Fenster auf mit der Mitteilung, dass der REchner sich in einer Minute runterfährt.

Also ohne Backup-Kopie meiner atapi.sys wirds wohl nichts mit Systemrettung ohne Neuinstallation… (ist nämlich ein Netbook ohne eingebautes CD-Rom)

Danke aber für die Info.

#10

Dazu ganz frisch:
http://www.heise.de/security/meldung/Symantec-Rootki…

danke - siehe oben beantwortete Nachricht :wink:

#11

Du solltest allerdings die Datei
„Windows\system32\drivers\atapi.sys“ einmal zu
http://www.virustotal.com zwecks genauerer Untersuchung
hochladen.

werd ich machen… danke für den tipp…

Weiterhin solltest Du Dir Avira Rescue herunterladen, brennen
und von der CD starten:
http://www.free-av.com/de/produkte/12/avira_antivir_…

kenne das programm, allerdings hab ich kein cd-rom im netbook - müsste doch eigentlich fast auch vom usb-stick aus gehen oder?

Und für die Zukunft: Als eingeschränkter Benutzer arbeiten!

das ist ein guter tipp… daran hab ich noch gar nicht gedacht. danke

#12

Hallo,

ja, kannst auch mittels des Programmes „unetbotin“ fast jedes ISO-Image (sofern denn bootable) bootable machen. Findest Du hier:

http://www.heise.de/software/download/unetbootin_uni…

Da Dein „Freund“ keiner der wirklich netten Art ist, würde ich in diesem Fall nach der Datensicherung Rettung wirklich eine Neuinstallation vorschlagen.

Viel Erfolg, tf