Rootkit oder doch nicht?

Im Unterforum Erfahrungsaustausch - Beschreibung: Fragen und Antworten von User zu User zu allen elektrischen und elektronischen Geräten

Elektronik Forum Nicht eingeloggt       Einloggen       Registrieren




[Registrieren]      --     [FAQ]      --     [ Einen Link auf Ihrer Homepage zum Forum]      --     [ Themen kostenlos per RSS in ihre Homepage einbauen]      --     [Einloggen]

Suchen


Serverzeit: 24 11 2024  03:42:27      TV   VCR Aufnahme   TFT   CRT-Monitor   Netzteile   LED-FAQ   Osziloskop-Schirmbilder            


Elektronik- und Elektroforum Forum Index   >>   Erfahrungsaustausch        Erfahrungsaustausch : Fragen und Antworten von User zu User zu allen elektrischen und elektronischen Geräten


Autor
Rootkit oder doch nicht?

    







BID = 531365

nabruxas

Monitorspezialist



Beiträge: 9264
Wohnort: Alpenrepublik
 

  


Mein PC macht mich noch wahnsinnig!

Ich hatte vor einigen Wochen mir einen Rootkit Virus eingefangen.
Nach ca. 30 Std nonstop Suche habe ich die Kiste neu formatiert und alles frühlingsfrisch installiert.
Seit einigen Tagen flippt die Kiste wieder völlig aus.

OS: Gameboy XP professional, Servicepack 2 (Des bunte Glump, nur zum Gamblen aber nicht zum Arbeiten sinnvoll)

Symptom:
Starte ich den IExplorer so passiert gar nichts, jedoch im Task Manager ist der der entsprechende Task da. Starte ich nochmals so passiert das gelegentlich wieder oder aber der IExplorer startet.
Soweit funktioniert dann auch alles.

Suche ich mit Spybot oder Antivir, so finden beide Programme nichts.
Die Registry habe ich mit CCleaner vorsichtshalber "aufgeräumt".

Jetzt habe ich mir gedacht: "Versuchst Du es einmal mit HiJackThis".
Ergebnis/Fehlermeldung wie bei meinem letzten Rootkit Virus:

HijackThis ist keine zulässige Win-32 Anwendung.

Ich bin echt am Verzweifeln denn die Istallation mit den verschiedenen Testprogrammen (Dongle, etc.) dauert mindestens 7 Std (wenn alles glatt geht).
Ich habe zwar ein Image mit Norton Ghost doch das ist auch nicht mehr ganz taufrisch.

Kann mir bitte jemand auf die Sprünge helfen und mitteilen ob ich mir das etwas eingefangen habe?



_________________
0815 - Mit der Lizenz zum Löten!

[ Diese Nachricht wurde geändert von: nabruxas am 29 Jun 2008 16:22 ]

BID = 531398

Her Masters Voice

Inventar


Avatar auf
fremdem Server !
Hochladen oder
per Mail an Admin

Beiträge: 5308
Wohnort: irgendwo südlich von Berlin

 

  

Was sagt denn der Taskmanager? Laufen da Tasken die da nicht hingehören? Welchen IE haste denn drauf? Die 7 ist z.B. ganz schlechte Wahl. Vielleicht mal das grosse Updatepaket von Winfuture laden und drüberrennen lassen. Mit Spybot und Antivir sollte man soweit alles Böse finden und beseitigen können.

_________________
Tschüüüüüüüs

Her Masters Voice
aka
Frank

***********************************
Der optimale Arbeitspunkt stellt sich bei minimaler Rauchentwicklung ein...
***********************************

BID = 531405

nabruxas

Monitorspezialist



Beiträge: 9264
Wohnort: Alpenrepublik

Im Taskmanager sieht alles ganz normal aus.
Nur das bei einem tatsächlich aktiven Fenster der IExplorer bis zu 5 mal aufscheint.

Version: 6.0.2900.2180.xpsp_sp2_rtm.040803-2158

Winfuture kenne ich (noch) nicht. Woher bekomme ich es, was kostet die Lizenz?

Spybot und Antivir findet es nicht.
Im übrigen haben beim letzten "Angriff" diese beiden Prog. auch versagt.
Ich habe damals eine Evaluation Licence von Sophos genommen und diese SW hat es erkannt, konnte es aber nicht killen, daher mußte ich den Apparillo neu aufsetzen.

Wenn ich nur wüsste ob die Registry nun versaut ist oder nicht, bzw. wie kann ich das Prog identifizieren, denn im Taskmanager scheint es aus Prinzip nicht auf! So war es beim letzten Mal.


_________________
0815 - Mit der Lizenz zum Löten!

BID = 531407

DonComi

Inventar



Beiträge: 8605
Wohnort: Amerika

Fragt sich, woher es denn überhaupt kommt?

Die Dinger können sich in fast jeder Binäry (ausführbar) verstecken, und werden ggf. vom Wirt selbst ausgeführt. Seltener sind die Rootkits als eingenständige ausführbare Datei vorhanden, denn: sie müssen irgendwie in den Speicher, damit ihr Programm ausgeführt wird. Das erreichte man früher i.d.R. mit einem Eintrag in Autostart-Menüs, Boottabellen oder in die Win.ini resp. in die Registry. Mit dem Tool "msconfig" bitte mal nachschauen, ob da irgendwelche merkwürdigen Programme zu Beginn automatisch geladen werden.

Auch kann sich sowas als Dienst ins System laden - schwieriger auffindbar.


Summa Summarum:
Auch wenns höchst ärgerlich ist -> ich pers. würde das System komplett neu aufsetzen, und diesmal aufpassen, dass nicht nochmal so ein schädliches Programm im System landet.


_________________

BID = 531416

Bartholomew

Inventar



Beiträge: 4681

Ich würde das System auch neu aufsetzen, wenn auch nur der Verdacht besteht, dass sich da ein Rootkit eingenistet hat. Am besten erst mal nur hinter einem Router mit Firewall, bis das System voll gepatcht ist. Wenn die Grundsoftware und Treiber drauf sind, ein frisches Image machen, mit Ghost oder z.B. auch Acronis TrueImage (habe ich bessere Erfahrungen mit gemacht).
Beim Formatieren würde ich zwei Partitionen vorsehen: Eine OS-Partition (~15 GB) und eine Datenpartition für alles andere (auch zum nicht systemkritische Programme rein installieren). Das Image von C: landet dann auf D:. Dann kann man im Falle des Falles innerhalb von sechs Minuten sein System zumindest in einen Grundzustand wiederherstellen
Eventuelle Viren auf D: lassen sich mit einer Linux-Boot-DVD vorher killen.


Und ansonsten: http://www.mozilla-europe.org/de/firefox/ Dem IE traue ich kein Stück.


Gruß, Bartho

[ Diese Nachricht wurde geändert von: Bartholomew am 29 Jun 2008 19:02 ]

BID = 531465

Lötfix

Schreibmaschine



Beiträge: 2328
Wohnort: Wien

Hallo!

Ich würde es mal damit versuchen.

mfg lötfix

_________________
Haftungsausschluß:
Bei obigem Beitrag handelt es sich um meine private Meinung. Rechtsansprüche dürfen daraus nicht abgeleitet werden. Sicherheitsvorschriften beachten!

BID = 531472

Her Masters Voice

Inventar


Avatar auf
fremdem Server !
Hochladen oder
per Mail an Admin

Beiträge: 5308
Wohnort: irgendwo südlich von Berlin

Wie ich schon schrieb, Updatepack von Winfuture.de runterladen und den Rechner erstmal komplett Offline frisch aufsetzen. Dann wird Alles gut. Ich hab bisher nur gute Erfahrungen mit Antivir und Spybot gemacht. Andere Virenscanner machen leider ne Menge Fehler und verunsichern einen ungeübten Virensucher eher als das sie helfen. So bekommt man oft Fehlalarme und ist dann verunsichert wenn man nicht weiss wie man zur Not auch mal von Hand suchen kann. TrueImage kann ich auch empfehlen. Ne Menge sinnvoller Features, leicht zu bedienen und zuverlässig.

_________________
Tschüüüüüüüs

Her Masters Voice
aka
Frank

***********************************
Der optimale Arbeitspunkt stellt sich bei minimaler Rauchentwicklung ein...
***********************************

BID = 531481

Kleinspannung

Urgestein



Beiträge: 13359
Wohnort: Tal der Ahnungslosen


Zitat :

Dem IE traue ich kein Stück.


Offtopic :
Dann sind wir schon mal zwei


_________________
Manche Männer bemühen sich lebenslang, das Wesen einer Frau zu verstehen. Andere befassen sich mit weniger schwierigen Dingen z.B. der Relativitätstheorie.
(Albert Einstein)

BID = 531505

DMfaF

Inventar



Beiträge: 6670
Wohnort: 26817 Rhauderfehn

Drei!

Arbeite schon seit einiger Zeit mit Thunderbird und Firefox. Kann einfach nichts schlechtes sagen. Mit dem IE hatte ich da schon so einiges erlebt.

BID = 531539

nabruxas

Monitorspezialist



Beiträge: 9264
Wohnort: Alpenrepublik

Heute Nacht habe ich mit einem Spezialisten mein System durchforstet.
Einige Einträge in der Registry waren definitiv nicht astrein.

Folgende hilfreiche Tools kamen zum Einsatz.

www.sysinternals.com

Regmon
ProcessExplorer
ProcessMonitor

Sollte Die Kiste weiter spinnen, so werde ich sie kurzerhand neu aufsetzen, wie von Euch empfohlen.

Danke!!



_________________
0815 - Mit der Lizenz zum Löten!

BID = 531743

bastler16

Schreibmaschine

Beiträge: 2140
Wohnort: Frankreich

Installier dir SpybotSD und speziell den TeaTimer. Der überwacht die Registry und verhindert z.B. , dass Schadsoftware Autostart-Einträge einfügt. Auch beim Installieren von neuer Software sehr nützlich, man kann die Autostarteinträge gleich bei der Installation verhindern (z.B. Schnellstartleiste eines bekanntes Büroprogrammes, div. Mediaplayer usw.)


Offtopic :
Die Tools von Sysinternals sind prima, kann ich nur bestätigen.
Die Firma gehört seit einiger Zeit zu M$, find ich wegen eventueller "Bevormundung" was das Aufdecken von Lücken/Protokollen/systeminternem Kram betrifft nicht so toll.


Zurück zur Seite 1 im Unterforum          Vorheriges Thema Nächstes Thema 


Zum Ersatzteileshop


Bezeichnungen von Produkten, Abbildungen und Logos , die in diesem Forum oder im Shop verwendet werden, sind Eigentum des entsprechenden Herstellers oder Besitzers. Diese dienen lediglich zur Identifikation!
Impressum       Datenschutz       Copyright © Baldur Brock Fernsehtechnik und Versand Ersatzteile in Heilbronn Deutschland       

gerechnet auf die letzten 30 Tage haben wir 19 Beiträge im Durchschnitt pro Tag       heute wurden bisher 2 Beiträge verfasst
© x sparkkelsputz        Besucher : 182385693   Heute : 418    Gestern : 6874    Online : 466        24.11.2024    3:42
3 Besucher in den letzten 60 Sekunden        alle 20.00 Sekunden ein neuer Besucher ---- logout ----viewtopic ---- logout ----
xcvb ycvb
0.111177206039