PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen WIN32:Agent-LPR[Trj] lässt sich nicht löschen!



trekki
22.09.07, 01:33
Hallo,
bin neu hier und habe natürlich ein Virusproblem!!
Meine frisch installierte und upgedatete AVAST 4.7 Home Edition entdeckte den Virus "WIN32:Agent-LPR[Trj]" im Ordner C:\WINNT\Temp\startdrv.exe
Nach Verschieben in den Container tauchte er aber im Hauptspeicher immer wieder auf. Auch das mehrmalige Löschen (sowohl aus dem Container als auch beim Booten) brachte keinen Erfolg. Jeder Neustart bringt ihn wieder zurück in den Hauptspeicher.

Ich nutze WIN2000 SP4 und habe sonst keinen Virenscanner installiert. Als Firewall nutze ich PC Tools Firewall + .

Es wäre nett, wenn mir jemand beim Entfernen dieser Seuche helfen könnte.

Merlin
25.09.07, 10:34
Hallo,

es kann sein, dass sich der Virus noch an anderer Stelle im System befindet und sich beim Booten eventuell selbst nochmal ins Temp Verzeichnis verschiebt. Ggf. mal einen kompletten (manuellen) System Scan durchführen auf alle Laufwerke und intensiv.

trekki
25.09.07, 12:58
Hi procello,
Danke erstmal für die Antwort!
Deinen Tipp hatte ich schon umgesetzt. Den Intensivscan habe ich 2mal durchlaufen lassen. Der Virus wird aber immer nur im Temp Verzeichnis gefunden. Danach lösche ich ihn jedesmal und werde zum Reboot aufgefordert. Das mache ich dann manuell, da avast meldet, dass die erfoderliche Berechtigung für automatischen Reboot fehlt. Beim booten findet avast an selbiger stelle den Virus und ich lösche ihn. Nochmaliges intesivscannen findet dann keinen virus mehr. Beim nächsten Start des Rechners geht aber alles wieder von vorne los!! Der Rechner fährt ganz normal hoch und ich starte avast manuell, um den Hauptspeicher zu testen. Der residente avast scanner bemerkt den Virus nicht! Ich habe aber inzwischen mit einer anderen Software (ein Rootkit Tester, den Namen weiss ich gerade nicht mehr genau, schau ich mal nach) einen versteckten Prozess gefunden
-> runtime2.sys , die Datei selber finde ich aber mit der Windows-Suchfunktuion nirgends, also kann ich sie auch nicht löschen.

Vielleicht fällt dir dazu ja was ein?

trekki
25.09.07, 18:30
Das Programm heisst übrigens F-secure Blacklight.
Hier der Avast Log:
2.09.2007 00:03:07 SYSTEM 520 Sign of "Win32:Agent-LPR [Trj]" has been found in "C:\WINNT\Temp\startdrv.exe" file.
22.09.2007 00:04:00 Administrator 1576 Sign of "Win32:Agent-LPR [Trj]" has been found in "c:\winnt\temp\startdrv.exe" file.

Und hier der Blacklight Log:
09/22/07 13:19:14 [Info]: BlackLight Engine 1.0.64 initialized
09/22/07 13:19:14 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/22/07 13:19:14 [Note]: 7019 4
09/22/07 13:19:14 [Note]: 7005 0
09/22/07 13:19:29 [Note]: 7006 0
09/22/07 13:19:29 [Note]: 7011 1048
09/22/07 13:19:29 [Note]: 7026 0
09/22/07 13:19:29 [Note]: 7026 0
09/22/07 13:19:31 [Note]: FSRAW library version 1.7.1022
09/22/07 13:19:40 [Info]: Hidden file: c:\WINNT\system32\drivers\runtime2.sys
09/22/07 13:19:40 [Note]: 10002 1
09/22/07 13:23:24 [Note]: 7007 0

Hoffentlich hilft das weiter.

michael c
27.09.07, 01:55
Hallo trekki,


09/22/07 13:19:40 [Info]: Hidden file: c:\WINNT\system32\drivers\runtime2.sys
Ich habe mal dein F-Secure Blacklight-Scan Ergebniss gegoogelt. Sieht aus, als hättest Du ein Rootkit auf Deiner Maschine. Folgende Links sind für Dein Malware-Problem vielleicht hilfreich:
http://forum.antivir-pe.de/thread.php?t ... 6762838331 (http://forum.antivir-pe.de/thread.php?threadid=25358&sid=1984d27058fbd033a2081d6762838331) (Windows 2000 SP4)
http://forum.avira.de/thread.php?threadid=24725 (Windows XP)

Gruß Michael

trekki
28.09.07, 08:03
Hi michael,
danke für den Tipp. Es scheint so als könne man das Rootkit nur mit sehr grosser Mühe und Sachkenntnis entfernen. Da ich kein Experte bin werde dann wohl das System neu aufspielen müssen :cry:
Ich habe beschlossen Rootkits zu hassen!
Danke euch für die Hilfe.

Gruss
Christian

michael c
28.09.07, 12:21
Hallo Christian,

ja, sieht wohl so aus, als ließe sich diese Malware nur mit sehr viel Aufwand entfernen. Da würde ich auch abwägen, ob ich das BS neu aufsetze.
Ist ja auch mit einigem Zeitaufwand verbunden, aber vor allem gehen alle Daten verloren :cry: .
Ich gehe in solch einem Fall gründsätzlich so vor, dass ich das System über ein BackUp von einer externen Festplatte wieder herstelle.
Das dauert bei mir ca. 20 Minuten.
Danach ist der Rechner wieder im Ausgangszustand - ohne Malware. Einfachste Lösung, schnell und sauber.
Dazu benutze ich Acronis True Image, dass mich bisher noch nie hängen lassen hat. Sehr empfehlenswertes BackUp- und WiederherstellungsTool :D.
Kostet allerdings 50€, aber das Programm ist's echt wert. Ich habe es jetzt seit mehreren Jahren und möchte es nicht mehr missen.
http://www.acronis.de/homecomputing/pro ... ments.html (http://www.acronis.de/homecomputing/products/trueimage/requirements.html)
Viel Erfolg beim Loswerden der Seuche!

Gruß Michael

trekki
04.10.07, 12:21
Hi Michael,
kann man nicht auch einfach ein Image der frisch installierten Systempartition erstellen (z.B. mit Nero), dieses auf einer anderen Partition speichern (oder auf DVD brennen) und im Bedarfsfall einfach auf die formatierte Systempartition kopieren?
Ich weiss nur nicht was mit den geladenen Systemdateien bei Erstellen des Systemimages passiert. Die sind zu diesem Zeitpunkt ja geöffnet, bzw. werden gerade verwendet.

Der Virus ist übrigens entfernt. Habe das System neu aufgespielt.

Gruss
Christian

michael c
06.10.07, 13:29
Moin Christian,
um ehrlich zu sein: det weiß isch auch net. Aber ich vermute mal, dass du eine einfache Nero-Image-Datei zur Wiederherstellung der System-Partition nicht verwenden kannst. Bei Nero 8 gibt es allerdings auch eine BackUp-Funktion, mit der du ganze Laufwerke sichern und, so wie ich das verstehe, auch wieder herstellen kannst. Aber dies ist eben ein extra Feature in Nero 8. Falls wir uns hierüber weiter austauschen wollen, schicke mir bitte eine Private Nachricht, da wir ja sachfremde Themen, wie z.B. SystemBackUps&Wiederherstellung, im avast! Forum nicht posten sollten.
Womit ich allerdings begonnen habe. :wink: Aber zu diesem Thema kann dir wahrscheinlich ein fachkundigerer User auch besser helfen.
Have a nice day :)

Gruß Michael