Donnerstag, 28. Januar 2010

test.reg im TEMP Ordner und automatischer Start vom Internet Explorer im Hintergrund

Bei einem Kunden hatte ich gerade ein hartnäckiges Problem mit einem Viren/Trojaner/Root-Kit Befall: Rootkit.TDSS

Nach jedem Neustart wurde im TEMP-Ordner eine Datei "test.reg" erzeugt, die u.a. Einstellungen des Internet Explorers zurücksetzte. Weiterhin wurde der Prozess iexplore.exe im Hintergrund gestartet, jedoch ohne sichtbares Fenster.

Beim Einsatz von Firefox gab es die Meldung, dass der IE der Standardbrowser sei und man das Verhalten ändern könne. Gebracht hat das jedoch nichts, weil die Einstellungen mit jedem Neustart überschrieben wurden.

Programme wie Malwarebytes oder Combofix konnten zwar installiert, aber nicht ausgeführt werden, da keine Fenster im Vordergrund waren und die Tasks lediglich im Hintergrund gestartet wurden.

Um das System wieder sauber zu bekommen, sind folgende Schritte notwendig (alles auf eigene Gefahr; diese Tools greifen tief in das System ein, daher nur von Profis zu benutzen):
- McAfee Rootkit Detective starten und entsprechende Aktionen durchführen (nicht abgesichert starten!)
- Rechnerneustart
- Malwarebytes installieren und durchlaufen lassen
- Rechnerneustart
- Combofix starten und durchlaufen lassen
- Rechnerneustart

Nun sollte der Rechner wieder sauber sein und alle Programme reagieren. Wie immer bei Viren/Trojaner/Root-Kit-Befall ist zu überlegen, ob der PC zur Sicherheit nicht doch lieber komplett formatiert und neu installiert werden sollte.

Links zum Thema:
McAfee Rootkit Detective
Malwarebytes Anti-Malware 
Combofix

Kommentare:

Sie haben hier die Gelegenheit, einen Kommentar zu hinterlassen.