Guten Morgen,

bin neu hier und komme gleich mit ner harten Nuss:

bei der Beseitigung eines anderen Problems bin ich durch den probeweisen Einsatz von RootkitRevealer und F-SECURE Blacklight
auf dieses potentielle Rootkit aufmerksam geworden, dies ist das Logfile von RootkitRevealer:


HKLM\SECURITY\Policy\Secrets\SAC* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\RootCertExtraction 15.11.2006 19:21 8 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tncojw 14.11.2006 16:58 76 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jgdri1rx.default\parent.lock 15.11.2006 19:23 0 bytes Hidden from Windows API.
C:\WINDOWS\Prefetch\TNCOJW.EXE-0437253F.pf 24.10.2006 15:40 31.48 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw.dat 15.11.2006 19:22 6.31 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw.exe 10.11.2006 17:34 231.00 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw_nav.dat 09.11.2006 10:53 233.89 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw_navps.dat 15.11.2006 19:22 402 bytes Hidden from Windows API.


Über diese tncojw.exe konnte ich beim Googeln überhaupt nichts rausfinden, vielleicht könnt ihr mir sagen, ob die Dateien von Blacklight umbenannt, bzw anschliessend gelöscht werden können.

Den PC hab ich leihweise von meinem Arbeitgeber, der wurde längere Zeit von nem Kollegen benutzt, ich kann also über eine mögliche Infektion, bzw. deren Herkunft nicht allzu viel sagen. Bei o.g. Problem ging es um die Beseitigung von WinFixer, Errorsafe und Konsorten, vielleicht hat es was damit zu tun?


Gruss
Dakota

Hi

Hol dir GMER von www.gmer.net

der sollte das fixen können komplett.

Lg

Zitat:

Zitat von Njall

der sollte das fixen können komplett.

Hallo.

Ich weiß ja nicht ob es mit einem einfachen "fixen" so getan ist..

Eine Neuinstallation wäre mir bei der Geschichte lieber, siehe auch hier -> anderes Forum -> keine Info zum Rootkit

Gruß
Sunny

Hi

Das ist meiner Meinung nach Geschmacksache.
Jeder Änderung die ein Programm macht kann man reversieren, und sei es durch das Ersetzen von Files.

Wenn GMER was findet und fixen kann, dann sollte man das machen.
(Und mal abwarten was GMER findet oder ein Virenscanner findet (z.b. Kaspersky).

Kann eventuell viel Zeit sparen, weil auch ein neu aufgesetztes System bietet keine Garantie das es nicht 1 Tag später wieder kompromitiert wurde, durch unbekannte Exploits etc. (und derer gibt es mehr als genug)

Ich haue einfach nicht gerne mit dem Hammer drauf nur weil es ein Problem gibt.

Just my two cents.

Lg

Zitat:

Zitat von Njall

Ich haue einfach nicht gerne mit dem Hammer drauf nur weil es ein Problem gibt.

My 2 Cents:

Zitat:

Zitat von Definition Rootkit

Ein Rootkit (engl., etwa "Administratorenausrüstung") ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen, Prozesse und Dateien zu verstecken.

Alles klar

1.Definitionen sind Definitionen und nichts weiter, die können gut, schlecht oder sonst was sein.

Ja, Rootkits gibt es seit 30 Jahren, und wenn die alle immer die Systeme plattgemacht hätten, hätten manche Leute schon viel Zeit verschwendet.
(Die ersten Rootkits waren unter Unix ..auf Maschinen die man nicht mal so einfach plattmachen konnte).

Man kann sie finden und elimieren, wie jede Software innerhalb dieses geschlossenen Systems.

Im Notfall boote ich eine CD und eliminiere sie, dann greife ich von aussen zu in einem Zustand in dem das Rootkit nicht aktiv sein kann und sich deshalb auch nicht verstecken kann.

Es gibt gute Software um Rootkits zu finden und zu fixen und man kann def. den Originalzustand herstellen, auch wenn der nichts garantiert.

lg

Hallo zusammen,

schaut mal hier . Der thread ist aktueller

edit: uuups, habe [Gc]Sunnys Post überlesen

Zitat:

Zitat von ordell1234

Hallo zusammen,

schaut mal hier . Der thread ist aktueller

Das hab ich im dritten Beitrag hier im Thread auch schon erwähnt