Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Frage bezüglich eines Rootkit....

xafford / 8 Antworten / Flachansicht Nickles

ich habe hier gerade den rechner eines Bekannten zur "Generalüberholung", ein richtiges Sammelsurium an Viren, Trojanern, Dialern und Co. Das meist davon ist eher trivial, was mir aber Kopfzerbrechen bereitet ist eines der drei darauf befindlichen Rootkits. Es lässt sich auf Teufel komm raus nicht beikommen. Prinzipiell wäredie Kiste reif für eine komplette Neuinstallation, was auch unumgänglich ist, trotzdem würde ich dem letzten Rootkit gerne beikommen was sich aber als schwer erweist. Hier mal die Daten denen ich bisher auf die Spur kam:


  • Virenscanner erkennen es nicht. Getestet mit Avira, ClamAV, PCzillin, Bitdefender und AVG

  • ProcessExplorer zeigt nichts außergewöhnliches auf den ersten Blick

  • RootkitRevealer von Sysinternals findet auch nichts

  • Es sind keine fremde Dienste installiert

  • Bisher konnteich keine offenen Ports entdecken

  • Die üblichen Programme zum Entdecken von Spyware, Adware und Co finden auch nichts


An sich deutet nichts auf einen Schädling hin, aber das Ding ist drauf, hier mal die bisher entdeckten Auswirkungen des Teiles:

  • Wenn man sich im Gerätemanager die ausgeblendeten Nicht-PnP-Geräte anschaut, so sind dort im Schnitt drei kryptische Geräte vorhanden. Deinstalliert man eines, so taucht dafür ein neues auf

  • Unter dem Systemverzeichnis/system32/config/ sind einige Dateien komplett verriegelt, es gibt keine Möglichkeiten ihnen bei zu kommen. Eine oberflächliche Untersuchung der Dateien mit Knoppix zeigt, daß sich darin ausführbare Binärdaten und Listen mit Mailadressen für Spamming, IP-Adressen und URLs finden

  • Der Schädling hat sich in den Explorer eingehängt und beendet diesen z.B. wenn man auf das Verzeichnis zugreifen will

  • Ebenso ist der Internet Explorer betroffen, bei jedem Aufruf einer Seite wird eine Anfrage auf eine IP im Bereich von 64.x.x.x ausgelöst (mehrere IPs, gehören zu MS-Hotmail, nicht genauer untersucht)

  • Windows-Update läuft nicht, Automatische Updates lässt sich nicht zuverlässig starten


Letzendlich weiß ich bisher nicht wirklich viel über den Schädling, außer daß er da ist, daß er das System zumindest für den Versand von Spammails nutzt und daß er mindestens ein virtuelles Gerät installiert hat, das sich nicht entfernen lässt. zZudem ist es keines der gängigen Rootkits. Am markantesten sind die Dateien im Systemverzeichnis unter system32/config/ und die Tatsache, daß es auch im abgeischerten Modus aktiv ist.
Hat schon mal jemand mit so einem Teil zu tun gehabt? Weiß jemand worum es sich dabei handelt?
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Interessant. Wenn eh neu aufgesetzt werden wird, kann eine weitergehende ... mmk
Eine Nachfrage: ich habe hier gerade den rechner eines Bekannten zur ... mmk
Hast Du es schon mal Blacklight von F-Secure versucht? Nein, noch nicht ... xafford
Hi, schon mal über eine Bootcd probiert? Knoppicillin von CT oder so. Dann ... AST
Ja, mit Knoppicillin war ich schon dran, hat aber ncihts gebracht. Ich nehme ... xafford
Hallo Xafford, kann nur noch kurz etwas beitragen, weil ich Gottseidank mit ... Gerd6
Hallo Gerd, danke für den Tipp, werd das Program mal auf den Rechner ... xafford
xafford Nachtrag zu: „Frage bezüglich eines Rootkit....“
Optionen

Weil die Frage kam, einer der Schädlinge war BDS/Agent.AC und einige Derivate davon. Dann noch einige Trojan.Dropper-Varianten und anderes Grobzeugs, daß ich aber nichtmehr zusammen bekomme. Jetzt aber zu dem eigentlichen Schädling:

Ich habe die installierten Geräte mit den kryptischen Namen letztendlich weg bekommen und siehe da... es tauchten ein paar neue Dateien auf und auch der Haupt-Übeltäter: wineln.dll.vir und noch 2 andere Dateien mit der 2. Endung .vir. Lustigerweise hatte weder RootkitRevealer noch Blacklight etwas gefunden gehabt. Ich habe die Datei wineln.dll.vir jetzt mit mehreren Virenscannern getestet und keine hatte etwas an ihr auszusetzen, was mich doch sehr verwunderte, denn nach der Entfernung selbiger ist das Windows futsch. Der Explorer ist mehr oder weniger tot, Automatische Updates lässt sich nicht mehr starten, ebenso die Virenscanner, unter der Systemsteuerung geht Software nicht mehr, der WindowsInstaller geht nicht mehr, Internetseiten aufrufen ist Geschichte... Schlußfolgerung daraus ist wohl (wenn ich nicht falsch liege) daß wineln.dll.vir anscheinend als Schnittstelle für Dienste, Internet und dem Explorer agierte und entsprechend filterte.
Was ich an Dateien habe ging an die AV-Hersteller raus, mal sehen ob eine Rückmeldung kommt, das System ist jetzt jedenfalls reif für die Neuinstallation :o)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen