Viren, Spyware, Datenschutz 11.242 Themen, 94.693 Beiträge

Verfolgung starten Optionen

Ein grauslicher Zombi

jueki / 8 Antworten / Flachansicht Nickles

Man bat mich um Hilfe bei einem PC, der laufend ins Internet sendete und empfing.
Der Eigentümer bemerkte das, weil es ewig dauerte, bis er eine einfache mail senden konnte.
Ich installierte dann mal schnell mein Traffic- Tool (TrafficMonitor) und stellte fest, das der mit maximaler Performance sendete...

Daraufhin hab ich den sofort vom Netz getrennt und mit dem neuen Avira AntiVir Professional untersucht.
Ein klassischer Zombi nach meiner laienhaften Auffassung.
Avira teilte mir mit, das sich im Ordner "System Volume Information" Schädlinge befinden.
Hier ein Text:

D:\System Volume Information\_restore{805468D7-50BF-425C-813D-C7291BFD683E}\RP2\A0000461.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen

Bevor ich den PC formatierte, habe ich mir die Besitzrechte dieses Ordners übernommen und hineingeschaut.
Besser gesagt - der Reihe nach diese Ordner aller 6 vorhandenen Partitionen.
Nur (seltsam!) der Ordner in C war leer - bei allen anderen, den logischen Laufwerken also, beinhaltete dieser Ordner zwischen 196 bis 274MB.
Inhalt - weitere Ordner "RP0" bis "RP18".

Hab, wie gesagt, den sofort vom Netz getrennt und nach der obigen Aktion formatiert.
Könnt Ihr Euch einen Reim darauf machen, was da wirklich los war?

Danke für Eure Meinungen.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
shrek3 jueki „Ein grauslicher Zombi“
Optionen

Manchmal schaue ich auch genauer in infizierte Rechner, um einen Eindruck von der Art und Weise zu bekommen, wie und wo sich Schädlinge festsetzen.

Die Systemwiederherstellungspunkte geben da aber nur bedingt Aufschluss, da diese Wiederherstellungspunkte afaik nicht aktiv am Traffic ins Internet beteiligt sind.

Interessanter sind da schon die temporären Verzeichnisse, der Ordner "System32", der Autostart und eine Durchsicht der Ordner "Programme" und "Program Files" sowie der Internet Cache.

Diese Ordner-Aufzählung ist nicht vollständig, aber fast immer ein Aufenthaltsort von Schädlingen.

So ist auch z.B. der Ordner Benutzer\Anwendungsdaten ein beliebter Tummelplatz.

Rootkits findest du dort natürlich nicht - es ist aber durchaus interessant, mal zu beobachten, wie z.B. Blacklight von F-Secure vorgeht, um gefundenen Rootkits an den Kragen zu gehen.

Löschen geht nicht - Blacklight kann diese Schädlinge sogar (oft) nicht bei einem Neustart löschen, da diese schon aktiv sind, bevor die Befähigung zum Löschen geladen wird.

Aber es gibt ein winziges Zeitfenster beim Neustart, in dem Blacklight diese Rootkits wenigstens umbenennen kann, noch bevor sie volle Macht erlangt haben.

Dadurch werden sie sichtbar und können problemlos händisch entfernt werden.

Das Hauptproblem sind meiner Meinung nach aber all die anderen Schädlingsreste, die fast überall verstreut im System herumlungern und für erneute Rootkits sorgen können.

Ob man nur lange Zeit tief genug sich mit dieser Materie auseinandergesetzt haben muss, um ein ernst zu nehmender Gegner für Schädlinge zu werden?

Ich weiß es nicht - weiß eigentlich nur, dass ich bisher noch niemandem begegnet bin, der aus "echtem Wissen" heraus darauf eine Antwort hätte geben konnen.

Ich bin ein wenig abgeschweift - wollte dir ursprünglich nur sagen, dass ein einzelner Fund in den Systemwiederherstellungspunkten ein zu dünner Ansatz ist, um deine Frage zu beantworten.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Danke für Deine Antwort. ...ein einzelner Fund in den ... jueki
Schädlinge sollten durchaus dazu in der Lage sein, die ... shrek3
um herauszufinden welche anwendung tatsächlich sendet, gibt es dann noch ... Synthetic_codes
Ich hatte auch einmal eine solche Viren Meldung von GDATA 2008. Habe das ... SoulMaster
Ich bedanke mich noch einmal für die Antworten. Mir ging es in der ... jueki
Wie schnell einen doch Halbwissen ereilen kann... Da glaubt man jahrelang, ... shrek3
falscher Ort, sry jueki