Rootkits

[chroma]

Nachdem ich mich bei sowas auch schon Stunden herumgeärgert habe (und ich habe da etwas Ahnung), empfehle ich eine Neuinstallation... Habe ich damals auch gemacht. Das ist das einzig Sichere.

Na also, der nächste schließt sich an...

Bei solchen Dämpfern kommt bei mir immer sehr stark ein Gefühl hoch, das da schreit "Wofür das Alles?" Ist es nicht erschütternd wieviel Zeit man vor dem Blechtrottel verbringt?

Genau! Wozu eigentlich, was macht der durchschnittliche User am PC und was sind die Alternativen?

Spielen, Diskutieren, Erfahrungsaustausch --> ins Wirtshaus gehen, Freunde einladen, Telefonieren.

Briefe schreiben, Korrespondenz --> Büttenpapier, Montblanc-Feder.

Mit der Uptime der Gastherme angeben --> im Wirtshaus

Mit Software, System etc. rumärgern fällt weg --> ein Bild aufhängen, einen Spaziergang machen.

Die illegalen Sachen darf man ja sowieso auch nicht anders machen.
(Filme downloaden --> im Elektromarkt stehlen )

[Defenseless]

...Ein Bekannter von mir hat sich den "Vundo" (Windoof XP) eingefangen und mich gebeten ihm das Teil zu entfernen, sämtliche Scanner (McAffe,Norton etc..) melden zwar brav das Teil, können ihn aber weder beseitigen noch unter Quarantäne stellen.

Das ist der übliche erste Dämpfer. Ich kenn das Teil zwar jetzt nicht so gut, aber da gabs eigene vundo removal tools.
Die Routinen der installierten AV-Soft reichten da nicht aus.

Ev. findest Du speziell zum Vundo eigene Anleitungen. Diese Sorten und Konsorten sind äußerst aufwendig zu entfernen.

Tip aus Erfahrung bei diesen Dingen, obwohl es seltsam klingt:
Nachdem das Ding offline / abgesichert oder mittels CD-Boot entfernt wurde, merken wo die relevanten Registry-Settings waren und welche Files das Teil erzeugt/verändert hat.
Dann einmal(!) im Normalmodus starten (ohne Netz!), schauen obs System läuft, herunterfahren.
Wieder offline /abgesicher / LiveCD mäßig ebendiese Bereiche nochmal durchsuchen. Speziell die sogenannten "unknown startup methods" werden mit den üblichen Tools selten erkannt.

lg

Ja, grundsätzlich weiß ich schon wie das geht, aber da es nicht für mich ist wollt ich mir den haufen arbeit eigentlich sparen und hab an ein universelles "remove tool" gedacht. Aber für den typ gibts nicht wirklich was brauchbares....schaade.

[schurli]

Spielen, Diskutieren, Erfahrungsaustausch --> ins Wirtshaus gehen, Freunde einladen, Telefonieren.

ad 1) Kommt bei der Alternative zu teuer. Man denke an einen Bauernschnapser,Tarock oder zu fortgeschrittener Stunde an ein beliebiges Würfelspiel.
ad 2) Da muß man wieder einkaufen, den derzeitigen Aufenthalsort aufräumen. Und wie bekommt man die wieder raus wenn man nicht mehr will? Netzwerkunterbrechung geht nicht, außer man lädt sehr weit entwickelte Cyborgs ein.
ad 3) Ist im Endeffekt auch viel zu teuer. Verbraucht zu viel Strom (Beim Computer kommt der ja aus der Steckdose) und bis man den richtigen Tarif rausgefunden hat, gibts schon wieder den nächsten. Und die >48h Arbeitszeit im GOOGLE! (also doch wieder Computer) zahlt einem doch niemand.

Briefe schreiben, Korrespondenz --> Büttenpapier, Montblanc-Feder.

ad 1) Zuviel körperlicher Aufwand. Briefmarken kann man nicht online bestellen.
ad 2) Viel zu teuer und außerdem schädlich für die Umwelt. Router und Lichtwellenleiter können sicher aus natürlichen Ressourcen hergestellt werden. Was macht man außerdem mit den ausgequetschten Tintenfischen?

Mit der Uptime der Gastherme angeben --> im Wirtshaus

Hm, das wäre zu überlegen wenn ich einen Uptimecounter (OLED-Display) im Wirtshaus umhängen hätte.

Mit Software, System etc. rumärgern fällt weg --> ein Bild aufhängen, einen Spaziergang machen.

Das verbraucht auch wieder Energie die man ruhig sitzend vor dem Computer sparen könnte. Gibt man einfach in einen Akku und verschenkt sie zu Weihnachten.

[chroma]

ad 1) Kommt bei der Alternative zu teuer. Man denke an einen Bauernschnapser,Tarock oder zu fortgeschrittener Stunde an ein beliebiges Würfelspiel.

...und erst die Gefahren einer persönlichen Meinungsverschiedenheiten beim Diskutieren über die letze Schnapser-Runde. Daran dachte ich gar nicht. Also doch besser zuhause bleiben vorm Computer.

ad 2) Da muß man wieder einkaufen, den derzeitigen Aufenthalsort aufräumen.

Stimmt auch wieder, am besten niemanden mehr reinlassen. Aufgeräumt wird sowieso nie.

ad 3) Ist im Endeffekt auch viel zu teuer. Verbraucht zu viel Strom (Beim Computer kommt der ja aus der Steckdose) und bis man den richtigen Tarif rausgefunden hat, gibts schon wieder den nächsten.

Jessas! Genau, die Gasflamme verbrennt ja den Strom!

ad 1) Zuviel körperlicher Aufwand. Briefmarken kann man nicht online bestellen.
ad 2) Viel zu teuer und außerdem schädlich für die Umwelt. Router und Lichtwellenleiter können sicher aus natürlichen Ressourcen hergestellt werden. Was macht man außerdem mit den ausgequetschten Tintenfischen?

Briefmarke wozu, Empfänger als Absender angeben, Adresse in Belutschistan als Empfänger drauf.
Und nicht jeder hat heute schon einen der essbaren Router, der vorzüglich mit dem Tintenfisch harmoniert.

Das verbraucht auch wieder Energie die man ruhig sitzend vor dem Computer sparen könnte. Gibt man einfach in einen Akku und verschenkt sie zu Weihnachten.

Bin jetzt restlos überzeugt! Kann man Dich als Energieberater engagieren? Ist es besser, heißes Wasser mit Gratisstrom im Wasserkocher zu erhitzen und in die Wanne zu leeren statt des Heißwassers aus der Leitung?

[Geo-Johnny-]

Oida, jetzt wird schon der ganze Fred zum Rootkit.

[tomduck-]

Briefmarken kann man nicht online bestellen.

Da muss ich widersprechen

http://www.post.at/eshop/meinemarke/bestellen.php

Sogar mit deinem eigenen Bild drauf - wie wär's mit dem geocaching.com-Logo?

[Geo-Johnny-]

Gestern Abend habe ich wieder drei Stunden damit verbracht viel zu lesen und ein paar Tools zu probieren, Erfolg = Null. Der Rootkit verhindert sämtliche Tools die in Zusammenhang stehen. Abgesicherter Modus ist nicht mehr möglich, da schwirrt der PC schon beim Hochfahren ab. Bestimmte, für verschiedenste Tools relevante *.dll Files werden sofort "gelöscht". Die Löschung ist aber nur scheinbar, die *.dll Files sind vorhanden aber für mich und das System nicht mehr sichtbar bzw. verwendbar. Ausführbare *.exe Files für diverse Scantools bringen die Fehlermeldung kein 32Bit Programm zu sein, obwohl andere *.exe Dateien die nicht für Virenscan etc. vorgesehen sind, problemlos laufen.
Im Grunde lauft das System "normal", aber alle Programme die mit Intenetzugriffe in Zusammenhang stehen arbeiten stark verzögert. Firewalls, Viren-, Malware-, Spyware- oder Hijackerscanner haben keine Chance und werden nicht ausgeführt. Einzig Ad-Aware arbeitet, findet allerdings überhaupt nichts!
Ich habe auch den Verdacht, das ich nicht die "echte" Registry sehe, sondern ein vorgegaukeltes Abbild.
Es ist eine harte Nuss und meine Kenntnisse sind damit am Limit. Ich werde also das System neu aufsetzen, obwohl das mit einer Menge Arbeit verbunden ist um alles wieder so zu haben wie ich es bevorzuge.

[termite2712]

Welches Antivirenproggi inkl. Firewallfunktion würdet ihr denn für Vista empfehlen?

Und jetzt bitte nicht: Vista entfernen ..

[Geo-Johnny-]

Welches Antivirenproggi inkl. Firewallfunktion würdet ihr denn für Vista empfehlen?

Und jetzt bitte nicht: Vista entfernen ..

XP

[termite2712]

Welches Antivirenproggi inkl. Firewallfunktion würdet ihr denn für Vista empfehlen?

Und jetzt bitte nicht: Vista entfernen ..

XP

Falsche Antwort

[Stegi]

Virenproggi: Avira Anitvir
Feuerwand: keine Ahnung, ich halte nichts von Firewall am Rechner. Besser ist es einen Router mit FW-Funktion davor zu schalten. Andererseists, hat Vista so eine FW wie XP nicht mehr serienmäßig dabei?

[chroma]

@termite:
Kenne leider keine vernünftige Kombination AV / Desktop FW.
Lasse mich gerne belehren, aber meine Erfahrungen mit den Dingern waren gelinde gesagt sch....!

Gut lief dagegen meist AV getrennt von FW Software.

as Stegi stated:
Desktop Firewall wozu? Die braucht man doch nur auf Applikationsebene, um "gewisse" Programme nicht rauszulassen, ansonsten ?

Unnötige Dienste abschalten,
Browser gscheit einstellen (mit Zones etc. arbeiten)
nat-Router davor,
Brain 2.0 installieren.

as Stegi stated: Avira = top Preis/Leistung
pers. Erfahrungen, gute: Kaspersky, Panda, Avira, F-Sec ... schlechte: Norton, McAfee

freie Desktop-FW's:
comodo (seltsames gewöhnungsbedürftiges Interface), läuft aber eigentlich problemlos.
avast (läuft angeblich gut, kenn ich zuwenig)
zone alarm (ist äußerst beliebt, k.A.warum, mir aber zu aufgebläht)

filseclab (superteil, leider alt und ob mit vista???)
oder versuch das alte sygate. gibts noch, ist uralt und für vista fraglich
lg

[charliemike]

vista ist doch selbst der virus....

[Kottan]

Briefmarken kann man nicht online bestellen.

Da muss ich widersprechen

http://www.post.at/eshop/meinemarke/bestellen.php

Sogar mit deinem eigenen Bild drauf - wie wär's mit dem geocaching.com-Logo?

Geil.

Wie wärs mit einer Petition an GC das sie eine Uptime garantieren sollen und wenn sie die nicht schaffen, dann müssen sie die Premium Gebühren wieder zurück zahlen. Und da picken wir dann so eine Marke drauf. Der Preis passt schon, die sollen ruhig die Strafgebühren brennen.

[Geo-Johnny-]

Geschafft, PC ist wieder sauber ohne Neusinstallation. Neu aufsetzen wäre wohl schneller gegangen, aber nach etlichen Stunden bin ich jetzt doch froh und recht stolz es geschafft zu haben.
Es war ein echter Rootkit und bestand aus mehreren Kombinationen. Die größte Schwierigkeit war die unsichtbaren Routinen, Registrierungseinträge, Files und Ordner offen zu legen. Sämtliche Scanprogramme versagten den Dienst schon beim starten. Der abgesicherte Modus war auch hinüber und konnte, Dank einer *.reg Datei aus dem I-Net, wieder zum laufen gebracht werden.
Es würde viel zu lange dauern den genauen Vorgang hier zu beschreiben der schlußendlich den Erfolg gebracht hatte. Zum Glück hat der Virus keinen Schaden an den Systemdateien angerichtet bzw. hinterlassen.

[chroma]

Geschafft, PC ist wieder sauber ohne Neusinstallation.

Bist sicher?

Neu aufsetzen wäre wohl schneller gegangen, aber nach etlichen Stunden bin ich jetzt doch froh und recht stolz es geschafft zu haben.

Und so lernte er, sich den Acronis Scheduler nochmal genauer anzusehen.

Es war ein echter Rootkit und bestand aus mehreren Kombinationen. Die größte Schwierigkeit war die unsichtbaren Routinen, Registrierungseinträge, Files und Ordner offen zu legen. Sämtliche Scanprogramme versagten den Dienst schon beim starten.

D.h. der sfc /scannow (oder purgecache) rennt ohne Fehler durch?

Der abgesicherte Modus war auch hinüber und konnte, Dank einer *.reg Datei aus dem I-Net, wieder zum laufen gebracht werden.

Hehe, das hatte ein Bekannter auch schon.
Und weißt jetzt schon genau, wie Du Dir das eingefangen hast? Würd mich interessieren, sogar das File dazu.
Ansonsten Gratulation zur Geduld und dem Aufwand!

[Geo-Johnny-]

Und weißt jetzt schon genau, wie Du Dir das eingefangen hast? Würd mich interessieren, sogar das File dazu.
Ansonsten Gratulation zur Geduld und dem Aufwand!

@chroma
Sicher kann man nie sein, aber ich denke es ist vollbracht.
Also mit Deiner ersten Annahme hattest Du Recht, ich hatte tatsächlich so eine Kreatur schon vorher im System.
Und zwar diesen hier: Dldr.Small.4417
Ob das der Auslöser war, wenn man mit Avira eine Crackdatei scannt und es dabei gleich das ganze System in Windeln prackt, weiß ich nicht.
Ich hatte aus Emule einen Crack für WinZip 11.1 heruntergeladen, entpackt, kein Aufschrei vom Virenscanner. Okay, daraufhin habe ich das File einzeln mit Avira Antivir gescannt, Beep, Platsch > PC aus.
Nach dem Hochfahren, kein Virenschild mehr, Internetverbindung mit Browser äußerst zäh.
Okay, Kurzfassung Reparatur:
F-Secure Blacklight irgendwie zum laufen gebracht. Konnte aber nur nach dem Log-File vorgehen, weil das Reinigen (umbenennen) genau gar nichts brachte. Dann habe ich einen Trick angewendet indem ich mit WinPE hochgefahren bin und die jetzt nun offenliegenden Files durch leere Dateien gleichen Namens ersetzt habe.
Normal hochgefahren und das Schwein war enttarnt. Das mußte ich öfter wiederholen, da diese Kreatur sich jedes Mal beim runterfahren regenerierte. Das machte ich solange bis ich alle Registrierungseinträge so hingebogen hatte, das er sich nicht mehr tarnen konnte. Zum Glück ließ sich nun AntiVir & Spybot installieren aber es dauerte noch lange bis ich alle Einträge draußen hatte.
Schlußendlich kamen diese Namen heraus:
BAGLE.Gen.B /Hi/E
KILLAV.NX.1
Rootkit.GEN
Noch ein Tipp für ALLE, wenn Euer Antivirus Programm etwas findet, dann NIEMALS das betroffene Element gleich reparieren oder löschen lassen. Erstmal alles in Quarantäne verschieben lassen! Die Quarantäne erst bereinigen wenn nach ein paar Neustarts vom Scanner nichts mehr gefunden wird!

[Kottan]

Respekt.

Der letzte PC den ich noch geflickt habe, war von einer Bekannten, die von ihre Ex eine Mail bekommen hat, mit der Warnung, dass er einen Virus auf seinem Rechner hat. Er hat noch extra geschrieben, dass man Mails von ihm die einen Anhang haben nicht öffnen soll. Die Mail hatte bereits einen Anhang und Frau läst sich halt nix anschaffen. Schon garnicht vom Ex.

Da war Win98 drauf und das war damals noch aktuell. Seither lehne ich solche "Repartaturaufträge" ab. Kathegorisch! Ich sag den Leuten nur dass sie die Daten sichern und die Kiste plätten sollen, weil der Aufwand (außer der Scanner kann das leicht reparieren) einfach nicht lohnt.

[chroma]

Und zwar diesen hier: Dldr.Small.4417
Ob das der Auslöser war, wenn man mit Avira eine Crackdatei scannt und es dabei gleich das ganze System in Windeln prackt, weiß ich nicht.

Das ist tatsächlich oag, war scheinbar schon kompromittiert.

Ich hatte aus Emule einen Crack für WinZip 11.1 heruntergeladen,

brrrr... wie das schon klingt.
Halte mich diesbez. an Forenlinks oder Torrentquellen mit Kommentarfunktion. Da ist das böse Zeug sehr gut erkennbar, und den vorigen Satz gibt es gar nicht...

[Geo-Johnny-]

... und den vorigen Satz gibt es gar nicht...

Tja, ich hatte mal WinZip als Vollversion 7.0 zusammen mit einem Softwaremagazin gekauft und bekam bis v9.0 die deutschen Udates kostenlos. Die Aktion für die aktuelle Version war eigentlich nur weil mir fad war. Nachher war mir nicht mehr fad.
Gebraucht hätte ich diese letzte Version eh nicht.
Fazit: Wenn einem die Langeweile einholt, ja nicht zu einem PC setzen!
Besser ist es Frauen zu sekieren oder cachen gehen ...