Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Frage bezüglich eines Rootkit....

xafford / 8 Antworten / Flachansicht Nickles

ich habe hier gerade den rechner eines Bekannten zur "Generalüberholung", ein richtiges Sammelsurium an Viren, Trojanern, Dialern und Co. Das meist davon ist eher trivial, was mir aber Kopfzerbrechen bereitet ist eines der drei darauf befindlichen Rootkits. Es lässt sich auf Teufel komm raus nicht beikommen. Prinzipiell wäredie Kiste reif für eine komplette Neuinstallation, was auch unumgänglich ist, trotzdem würde ich dem letzten Rootkit gerne beikommen was sich aber als schwer erweist. Hier mal die Daten denen ich bisher auf die Spur kam:


  • Virenscanner erkennen es nicht. Getestet mit Avira, ClamAV, PCzillin, Bitdefender und AVG

  • ProcessExplorer zeigt nichts außergewöhnliches auf den ersten Blick

  • RootkitRevealer von Sysinternals findet auch nichts

  • Es sind keine fremde Dienste installiert

  • Bisher konnteich keine offenen Ports entdecken

  • Die üblichen Programme zum Entdecken von Spyware, Adware und Co finden auch nichts


An sich deutet nichts auf einen Schädling hin, aber das Ding ist drauf, hier mal die bisher entdeckten Auswirkungen des Teiles:

  • Wenn man sich im Gerätemanager die ausgeblendeten Nicht-PnP-Geräte anschaut, so sind dort im Schnitt drei kryptische Geräte vorhanden. Deinstalliert man eines, so taucht dafür ein neues auf

  • Unter dem Systemverzeichnis/system32/config/ sind einige Dateien komplett verriegelt, es gibt keine Möglichkeiten ihnen bei zu kommen. Eine oberflächliche Untersuchung der Dateien mit Knoppix zeigt, daß sich darin ausführbare Binärdaten und Listen mit Mailadressen für Spamming, IP-Adressen und URLs finden

  • Der Schädling hat sich in den Explorer eingehängt und beendet diesen z.B. wenn man auf das Verzeichnis zugreifen will

  • Ebenso ist der Internet Explorer betroffen, bei jedem Aufruf einer Seite wird eine Anfrage auf eine IP im Bereich von 64.x.x.x ausgelöst (mehrere IPs, gehören zu MS-Hotmail, nicht genauer untersucht)

  • Windows-Update läuft nicht, Automatische Updates lässt sich nicht zuverlässig starten


Letzendlich weiß ich bisher nicht wirklich viel über den Schädling, außer daß er da ist, daß er das System zumindest für den Versand von Spammails nutzt und daß er mindestens ein virtuelles Gerät installiert hat, das sich nicht entfernen lässt. zZudem ist es keines der gängigen Rootkits. Am markantesten sind die Dateien im Systemverzeichnis unter system32/config/ und die Tatsache, daß es auch im abgeischerten Modus aktiv ist.
Hat schon mal jemand mit so einem Teil zu tun gehabt? Weiß jemand worum es sich dabei handelt?
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Interessant. Wenn eh neu aufgesetzt werden wird, kann eine weitergehende ... mmk
mmk xafford „Frage bezüglich eines Rootkit....“
Optionen

Eine Nachfrage:

ich habe hier gerade den rechner eines Bekannten zur "Generalüberholung", ein richtiges Sammelsurium an Viren, Trojanern, Dialern und Co.

Hast Du vielleicht eine genaue Auflistung der gefundenen Schädlinge? Falls ja, poste sie doch mal, am besten ergänzend Scanprotokolle der Virenscanner.

Auch detailliertere Angaben zu den von Dir gefundenen Rootkits (wie und wo Du sie gefunden hast) wären nicht schlecht und könnten evtl. weiterhelfen.

[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
Hast Du es schon mal Blacklight von F-Secure versucht? Nein, noch nicht ... xafford
Hi, schon mal über eine Bootcd probiert? Knoppicillin von CT oder so. Dann ... AST
Ja, mit Knoppicillin war ich schon dran, hat aber ncihts gebracht. Ich nehme ... xafford
Hallo Xafford, kann nur noch kurz etwas beitragen, weil ich Gottseidank mit ... Gerd6
Hallo Gerd, danke für den Tipp, werd das Program mal auf den Rechner ... xafford
Weil die Frage kam, einer der Schädlinge war BDS/Agent.AC und einige ... xafford