Rootkits

[Geo-Johnny-]

Hat schon jemand mit "Rootkits" Bekanntschaft gemacht und Erfahrungen gesammelt? Meinen PC zu Hause hats erwischt, sämtliche Virenscanner schlagen fehl.
Das Wochende scheint verplant zu sein.

[Stegi]

Hast schon Ad-Aware von Lavasoft versucht?

[chroma]

Hallo!

Also wenn Du ein ganz böses Kernel-Rootkit erwischt hat, empfehle ich Dir, ein Backup einzuspielen (soferne Du garantieren kannst, das Kit nicht schon dort drauf zu haben) oder zur Neuinstallation.

Die Teile sind manchmal schwerst zu entfernen und wenn, dann ist es eine mühevolle meist manuelle Tätigkeit in den Eingeweiden des Systems.

Wenn Du Glück hast, ist es "nur" Spy/Adware, Trojaner, Virus oder eines der "harmloseren" (so überhaupt Kits.
Es gibt hierzu sehr viel zu beachten... weiß nicht wie versiert Du bist.
lg

[chroma]

ergänzung:

Um mit der Suche zu beginnen, kennst Du den Zeitpunkt oder Auslöser der Infektion.
Hast Du was getan / bemerkt?
Kams "von selbst"?

Bei der Suche nach Schadsoftware ist es ganz gut, ungefähr und wenn möglich eine solche Abfolge einzuhalten. Oft werden harmlosere Schädlinge für mächtige Viren gehalten. (leider auch umgekehrt!)

Adware
Spyware
Browser Hijacking
Viren
Trojaner o.ä. wie rem.tools
Rootkits

[Stegi]

Adware
Spyware
Browser Hijacking
Viren
Trojaner o.ä. wie rem.tools
Rootkits

Heißt das nicht

V iruses
I ntruders
S pyware
T rojans and
A dware

[Geo-Johnny-]

Vorerst mal Danke für die schnellen Antworten.
Ich habe eine aus emule stammende Datei als Einzelne auf Viren gescannt. Der Virenscanner hat sofort angeschlagen, der PC war augenblicklich aus, schneller als bei einem Stromausfall. Nach dem Hochfahren startete das Virenschild nicht mehr, manuell ließ sich der Virenscanner auch nicht mehr starten und auch nicht neu installieren. Kein bekannter Virenscanner läßt sich installieren!
Es laufen Prozesse im Hintergrund die im Taskmanager NICHT sichtbar sind. Scheinbar gibt es in der Registry Einträge die ebenfalls nicht sichtbar sind, aber beim Hochfahren gestartet werden.
Nach etwa drei Stunden lesen im I-Net (anderer Rechner) und einigen Tools ist es ziemlich sicher "Bagle with Rootkit".
Ich habe nun noch zwei Tools um wenigstens die unsichtbaren Prozesse und Reg Einträge anzeigen zu lassen, aus Müdigkeit und Zeitmangel bin ich aber noch nicht dazugekommen diese Tools zu probieren.
Zur Zeit lahmt der PC ganz schön, ich möchte zumindest soweit kommen das ich noch Daten sichern kann. Ich habe schon sehr, sehr viel Viren, Würmer, Trojaner erfolgreich bekämpft aber hier spielen sich Dinge ab, die ich noch nicht gesehen habe.

[rix69]

Der ad-aware ist echt gut, ich hab aber auch noch den

http://www.safer-networking.org/de/index.html

drauf, der findet auch einiges

[chroma]

@rix
die spybot sachen sind tatsächlich ganz gut! Mit hidden Tasks etc. wirds aber schwer.

Nur scannen ist nicht ausführen. Kann es sein, daß Du vorher schon was im System hattest? Schadsoftware hindert die bekanntesten Virenscanner gerne an der Ausführung. Beim Scannen abfliegen deutet auf Beeinflussung des Scanners schon vorher hin.
Du arbeitest im abges. Modus?

Falls noch nicht versucht:
fsbl (f secure black light)
sophos anti rootkit
rootkit revealer
Bit defender Rootkit uncover (beta)

Versuch mal Procexp und tcpview aus den genialen Sysinternals-Suite.
http://technet.microsoft.com/en-us/sysin...96653.aspx

Bez. Datensicherung: Knoppix live-CD, und alles relevante rüberziehen

[wandersmann_OOE]

Zum Datensichern würde sich hier das Freeware Tool Part-PE eignen.
http://www.pcwelt.de/downloads/108595/
Downloaden ... Image erzeugen ... CD einlegen ... hoch booten.

Part PE läuft eigentlich nur im Arbeitsspeicher und kann deine Daten z.B auf eine externe USB-Festplatte kopieren.
Du kannst sogar einige nützliche Tools wie Virenscanner usw. ins Image einbinden.

Wenn du dann deinen PC neu aufsetzt würde ich dir ein Backup-Programm auf Image-Basis ( z.B Acronis) empfehlen, denn wenn dir so etwas noch mal passiert, ist in ca. 10 Minuten dein System wieder Viren und Rootkit frei ! (sofern der nicht vorher mitgesichert wurde ! )

lg wandersmann

[Stegi]

Bez. Datensicherung: Knoppix live-CD, und alles relevante rüberziehen

Da verwende ich lieber Hiren's Boot-CD. Da hat man dann auch gleich eine riesen Auswahl an Tools um ein System wieder zum Laufen zu bringen.

[Defenseless]

Hey super Thema, darf ich mich anhängen ?

Ein Bekannter von mir hat sich den "Vundo" (Windoof XP) eingefangen und mich gebeten ihm das Teil zu entfernen, sämtliche Scanner (McAffe,Norton etc..) melden zwar brav das Teil, können ihn aber weder beseitigen noch unter Quarantäne stellen.
Ich hab mich mal dann schlau gemacht, aber das ganze dürft nicht so einfach sein wie ich zuerst dachte. Hat da jemand von Euch einen Tipp speziell für diesen Kandidaten ?

[chroma]

Bez. Datensicherung: Knoppix live-CD, und alles relevante rüberziehen

Da verwende ich lieber Hiren's Boot-CD. Da hat man dann auch gleich eine riesen Auswahl an Tools um ein System wieder zum Laufen zu bringen.

Deswegen schreib ich ja "Bez. Datensicherung".

Zum reinen Sichern ist Knoppix oder jede gleichartige ISO mit Tools und NTFS-Zugriff zu gebrauchen. Die Dinger sind mittlerweile sehr mächtig.

MS-PE, Bart-PE (sehr feine Sache) müssen erst mittels Original-Cd ab SP1 oder wenn nicht SP1 mit einer slipstreamed SP1 erst erzeugt werden.

Eine Backup vom genialen Acronis TrueImage wär halt fein...
weil Rootkit und "Reparatur" ein wirklich umfangreiches Unterfangen werden kann.

[Geo-Johnny-]

Beim Scannen abfliegen deutet auf Beeinflussung des Scanners schon vorher hin. ...
Du arbeitest im abges. Modus?

Falls noch nicht versucht:
fsbl (f secure black light)
sophos anti rootkit
rootkit revealer
Bit defender Rootkit uncover (beta)

Versuch mal Procexp und tcpview aus den genialen Sysinternals-Suite.
http://technet.microsoft.com/en-us/sysin...96653.aspx

Bez. Datensicherung: Knoppix live-CD, und alles relevante rüberziehen

Das System war vorher clean, warum er beim scannen abgeschwirrt ist, ist mir auch ein Rätsel. Nun es ist passiert und ich arbeite daran es wieder hinzubekommen. Auf der einen Seite ist es interessant und man lernt einiges dazu, auf der anderen Seite geht einem soetwas schwer auf den Sack, es gehen viele Stunden drauf.

fsbl (f secure black light) lässt sich nicht installieren.
Die anderen Tools habe ich, muß ich aber erst probieren, sophos sieht vielversprechend aus, ich werde sehen ...

Windows PE habe ich und auch ein Acronis Image (leider 4 Monate alt).

Ich werde berichten was ich letztendlich gemacht habe, aber ich befürchte es wird auf ein Neuaufsetzen hinauslaufen. In der sch*** Firma verliert man die meiste Zeit, sonst wäre ich schon bedeutend weiter in dieser Angelegenheit.

[chroma]

...Ein Bekannter von mir hat sich den "Vundo" (Windoof XP) eingefangen und mich gebeten ihm das Teil zu entfernen, sämtliche Scanner (McAffe,Norton etc..) melden zwar brav das Teil, können ihn aber weder beseitigen noch unter Quarantäne stellen.

Das ist der übliche erste Dämpfer. Ich kenn das Teil zwar jetzt nicht so gut, aber da gabs eigene vundo removal tools.
Die Routinen der installierten AV-Soft reichten da nicht aus.

Ev. findest Du speziell zum Vundo eigene Anleitungen. Diese Sorten und Konsorten sind äußerst aufwendig zu entfernen.

Tip aus Erfahrung bei diesen Dingen, obwohl es seltsam klingt:
Nachdem das Ding offline / abgesichert oder mittels CD-Boot entfernt wurde, merken wo die relevanten Registry-Settings waren und welche Files das Teil erzeugt/verändert hat.
Dann einmal(!) im Normalmodus starten (ohne Netz!), schauen obs System läuft, herunterfahren.
Wieder offline /abgesicher / LiveCD mäßig ebendiese Bereiche nochmal durchsuchen. Speziell die sogenannten "unknown startup methods" werden mit den üblichen Tools selten erkannt.

lg

[schurli]

Nachdem ich mich bei sowas auch schon Stunden herumgeärgert habe (und ich habe da etwas Ahnung), empfehle ich eine Neuinstallation... Habe ich damals auch gemacht. Das ist das einzig Sichere.

[chroma]

Das System war vorher clean, warum er beim scannen abgeschwirrt ist, ist mir auch ein Rätsel.

Sollte nicht passieren, klingt net guat!
(außer bei Norton AV, da könnte man sagen, das is ein Feature )

fsbl (f secure black light) lässt sich nicht installieren.

Da ist nur eine .exe! nix Installer, ...des klingt a net guat.

Windows PE habe ich und auch ein Acronis Image (leider 4 Monate alt).

Schande über Dich! Asche aufs Haupt! 4 Monate Zigarettenentzug!

Ansonsten viel Glück!

[Geo-Johnny-]

Nachdem ich mich bei sowas auch schon Stunden herumgeärgert habe (und ich habe da etwas Ahnung), empfehle ich eine Neuinstallation... Habe ich damals auch gemacht. Das ist das einzig Sichere.

Yep, wird wohl das Beste sein. Ich habe mir vorgenommen, etwa einen Tag zu investieren um zu versuchen das bestehende System wieder in Ordnung zu bringen. Wenn nix halbwegs Sicheres dabei rauskommt, dann setze ich neu auf, wobei gleich sämtlicher Schrott weggelassen wird der sich in den Jahren so angesammelt hat.
Ich bin nicht jemand der sich gerne in die erste Reihe stellt, aber ich habe eine Menge Erfahrung in diesen Angelegenheiten, aber je älter ich werde umso mehr verliere ich den Anschluß und auch das Interesse an der Welt von Bits und Bytes. Bei solchen Dämpfern kommt bei mir immer sehr stark ein Gefühl hoch, das da schreit "Wofür das Alles?" Ist es nicht erschütternd wieviel Zeit man vor dem Blechtrottel verbringt?

[schurli]

Yep, wird wohl das Beste sein. Ich habe mir vorgenommen, etwa einen Tag zu investieren um zu versuchen das bestehende System wieder in Ordnung zu bringen. Wenn nix halbwegs Sicheres dabei rauskommt, dann setze ich neu auf, wobei gleich sämtlicher Schrott weggelassen wird der sich in den Jahren so angesammelt hat.

Schrott weglassen! Gute Idee! Ich schlepp zig GB Schmarrn schon seit Jahren mit mir herum... Kannst mir vielleicht das Torrent-File schicken, dann habe ich wenigstens einen Grund.

[Mausbiber]

puh manchmal bin ich echt froh einen mac zu haben.... oder gibts das auch dort???

[Stegi]

wobei gleich sämtlicher Schrott weggelassen wird der sich in den Jahren so angesammelt hat.

Schon alleine deshalb würde ich eine Neuinstallation vorziehen.