Guten Morgen,

bin neu hier und komme gleich mit ner harten Nuss:

bei der Beseitigung eines anderen Problems bin ich durch den probeweisen Einsatz von RootkitRevealer und F-SECURE Blacklight
auf dieses potentielle Rootkit aufmerksam geworden, dies ist das Logfile von RootkitRevealer:


HKLM\SECURITY\Policy\Secrets\SAC* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\RootCertExtraction 15.11.2006 19:21 8 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tncojw 14.11.2006 16:58 76 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jgdri1rx.default\parent.lock 15.11.2006 19:23 0 bytes Hidden from Windows API.
C:\WINDOWS\Prefetch\TNCOJW.EXE-0437253F.pf 24.10.2006 15:40 31.48 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw.dat 15.11.2006 19:22 6.31 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw.exe 10.11.2006 17:34 231.00 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw_nav.dat 09.11.2006 10:53 233.89 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw_navps.dat 15.11.2006 19:22 402 bytes Hidden from Windows API.


Über diese tncojw.exe konnte ich beim Googeln überhaupt nichts rausfinden, vielleicht könnt ihr mir sagen, ob die Dateien von Blacklight umbenannt, bzw anschliessend gelöscht werden können.

Den PC hab ich leihweise von meinem Arbeitgeber, der wurde längere Zeit von nem Kollegen benutzt, ich kann also über eine mögliche Infektion, bzw. deren Herkunft nicht allzu viel sagen. Bei o.g. Problem ging es um die Beseitigung von WinFixer, Errorsafe und Konsorten, vielleicht hat es was damit zu tun?


Gruss
Dakota

Hi

Hol dir GMER von www.gmer.net

der sollte das fixen können komplett.

Lg

Zitat:

Zitat von Njall

der sollte das fixen können komplett.

Hallo.

Ich weiß ja nicht ob es mit einem einfachen "fixen" so getan ist..

Eine Neuinstallation wäre mir bei der Geschichte lieber, siehe auch hier -> anderes Forum -> keine Info zum Rootkit

Gruß
Sunny

Hi

Das ist meiner Meinung nach Geschmacksache.
Jeder Änderung die ein Programm macht kann man reversieren, und sei es durch das Ersetzen von Files.

Wenn GMER was findet und fixen kann, dann sollte man das machen.
(Und mal abwarten was GMER findet oder ein Virenscanner findet (z.b. Kaspersky).

Kann eventuell viel Zeit sparen, weil auch ein neu aufgesetztes System bietet keine Garantie das es nicht 1 Tag später wieder kompromitiert wurde, durch unbekannte Exploits etc. (und derer gibt es mehr als genug)

Ich haue einfach nicht gerne mit dem Hammer drauf nur weil es ein Problem gibt.

Just my two cents.

Lg

Zitat:

Zitat von Njall

Ich haue einfach nicht gerne mit dem Hammer drauf nur weil es ein Problem gibt.

My 2 Cents:

Zitat:

Zitat von Definition Rootkit

Ein Rootkit (engl., etwa "Administratorenausrüstung") ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen, Prozesse und Dateien zu verstecken.

Alles klar

Hallo zusammen,

schaut mal hier . Der thread ist aktueller

edit: uuups, habe [Gc]Sunnys Post überlesen

Zitat:

Zitat von ordell1234

Hallo zusammen,

schaut mal hier . Der thread ist aktueller

Das hab ich im dritten Beitrag hier im Thread auch schon erwähnt

1.Definitionen sind Definitionen und nichts weiter, die können gut, schlecht oder sonst was sein.

Ja, Rootkits gibt es seit 30 Jahren, und wenn die alle immer die Systeme plattgemacht hätten, hätten manche Leute schon viel Zeit verschwendet.
(Die ersten Rootkits waren unter Unix ..auf Maschinen die man nicht mal so einfach plattmachen konnte).

Man kann sie finden und elimieren, wie jede Software innerhalb dieses geschlossenen Systems.

Im Notfall boote ich eine CD und eliminiere sie, dann greife ich von aussen zu in einem Zustand in dem das Rootkit nicht aktiv sein kann und sich deshalb auch nicht verstecken kann.

Es gibt gute Software um Rootkits zu finden und zu fixen und man kann def. den Originalzustand herstellen, auch wenn der nichts garantiert.

lg

Zitat:

Zitat von Njall

1.Definitionen sind Definitionen und nichts weiter, die können gut, schlecht oder sonst was sein.

Aber die Definition sagt doch schon alles über einen Schädling, oder?!

Zitat:

Ja, Rootkits gibt es seit 30 Jahren, und wenn die alle immer die Systeme plattgemacht hätten, hätten manche Leute schon viel Zeit verschwendet.
(Die ersten Rootkits waren unter Unix ..auf Maschinen die man nicht mal so einfach plattmachen konnte).

Richtig!

Zitat:

Man kann sie finden und elimieren, wie jede Software innerhalb dieses geschlossenen Systems.

Falsch! Man kann sie nicht immer finden, und ein Restrisiko (gerade bei einem/deinem Geschäftskunden!) bleibt immer!

Zitat:

Im Notfall boote ich eine CD und eliminiere sie, dann greife ich von aussen zu in einem Zustand in dem das Rootkit nicht aktiv sein kann und sich deshalb auch nicht verstecken kann.

Wenn es (immer!) so einfach wäre, würde Microsoft sich dabei nicht derart in die Hose "machen" wenn es um das Thema ROOTKIT geht.
Außerdem sagt gerade Microsoft, das ROOTKITs sehr schwierig zu entfernen sind:

siehe auch hier:
(die ersten Sätze sagen doch alles, oder?)
((auch wenn der Beitrag aus 2005 ist, es hat sich noch nicht viel geändert!))

http://www.microsoft.com/technet/com... Hacker Attack

Zitat:

Es gibt gute Software um Rootkits zu finden und zu fixen und man kann def. den Originalzustand herstellen, auch wenn der nichts garantiert.

Schlimm genug das wieder Software dafür nötig ist, um sie zu entfernen.
(im schlimmsten Falle muss sie auch noch finanziell erworben werden.)

1. Eine Definition sagt per se das aus, was der sagt der sie schreibt, aber das hat keinen Wert für mich, weil es einfach "nur" eine Definition ist.

2. Was Microsoft macht oder sagt ist sowas von irrelevant, da gibt es 100 Gründe wieso dort wer was wie macht oder sagt, die betreiben Marketing und Politik auf einem Level den wir nie durchschauen werden.
Nebst diveren Leuten die ihren Job dort rechtfertigen müssen oder sich profilieren wollen.
(ad 2. Einer Firma deren Chef gemeint hat 640 KB Speicher werden genug für alle sein glaube ich mal gleich sowieso nicht mehr viel).


3.Man KANN jedes Rootkit finden in einem geschlossenen System wenn man von aussen kommt. PUNKT. Ich beweise es dir mit JEDEM System und JEDEM Rootkit das du mir vorsetzt.
(Es ist max. eine Frage des Aufwandes).
Und auch aus dem selbem System heraus kann man gewissen (die meisten) Rootkits finden.

Ein Restrisiko habe ich sobald ich den PC in Betrieb nehme und an irgendeine Verbindung zu anderen Computern anschliesse, das nimmt aber
scheinbar jeder in Kauf.


"Schlimm genug das wieder Software dafür nötig ist, um sie zu entfernen.
(im schlimmsten Falle muss sie auch noch finanziell erworben werden.)"

Es ist auch Software zum Betrieb nötig,man kann ohne Software GAR nichts machen auf einem PC, ein Rootkit Detector ist eine Hilfe für einen Menschen, ich kann dir ein Rootkit auch nur mit Hexeditor finden, nur dauert es lange.

Add Software die man "böserweise" auch noch bezahlen muss.
Ich arbeite nicht gratis, und ich denke mal keiner hier tut das, der einer bäckt Brötchen der andere schreibt Software, da gibt es für mich keinen Unterschied und irgendwelche Ideologen die von Staats und sonstigen Zuwendungen leben mögen mich verschonen.

lg

Zitat:

3.Man KANN jedes Rootkit finden in einem geschlossenen System wenn man von aussen kommt. PUNKT. Ich beweise es dir mit JEDEM System und JEDEM Rootkit das du mir vorsetzt.

Welch ein Aufwand. Und danach kann man sich auch sicher sein, dass das System wirklich sauber ist...

Zitat:

Ein Restrisiko habe ich sobald ich den PC in Betrieb nehme und an irgendeine Verbindung zu anderen Computern anschliesse, das nimmt aber
scheinbar jeder in Kauf.

Das sind zwei Paar Stiefel, vernetzte Rechner kann man so absichern, dass das Risiko eines Befalls äußerst gering ist. Unnötige Dienste werden abgeschaltet, laufende Dienste werden ständig gepatcht, sodass keine (bekannte) Sicherheitslücke ausgenutzt werden kann. Bei diesen Rechnern hast Du einen wohldefinierten (vertrauenswürdigen) Zustand, der bei verseuchten Kisten nicht mehr gegeben ist. Das Bereinigen kompromittierter Kisten macht diese nicht vertrauenswürdiger.

*Sigh*...

Ich hatte zu diesem Thema vor über einem Jahr eine Stellungnahme abgegeben. Ich würde Dir empfehlen, Njall, diese zu lesen.

Cobra

Hi

Man könnte es machen wie die US Army.

Bei Virenbefall wird die Platte formatiert, mit 0 überschrieben, kontrolliert, ausgebaut und gelagert, und der PC bekommt eine neue Platte, weil der alten nicht mehr zu trauen ist.

(War in den 90ern so .. ob sich die das immer noch leisten weiss ich nicht).

Btw: Ich habe die Stellungnahme gelesen, die ist ganz ganz gut, bis auf kleine Detailfehler, aber generell gut

Die Analogie zum Höhlengleichniss finde ich ganz gut.

Nur was mich wundert ist die Frage wie sich ein Rootkit verstecken kann wenn ich das Gerät mit einer Linux CD boote und so auf die Platte zugreife.

(oder die Platte in einen anderen Rechner einbaue und den von Linux CD boote, was durchaus gemacht wird).

lg

Zitat:

Zitat von Njall

Btw: Ich habe die Stellungnahme gelesen, die ist ganz ganz gut, bis auf kleine Detailfehler, aber generell gut

Laß mir bitte eine PM zukommen, in denen Du diese Fehler nennst.

Aber hast Du denn auch verstanden, was dort steht?

Der Punkt ist ja, daß Du noch so kompetent sein magst: einen Rechner per Ferndiagnose von einem Rootkit und dessen a priori unabsehbaren Folgen reinigen zu wollen, ist prinzipiell nicht machbar. Darum geht es mir hier. Du magst in vielen Fällen erfolgreich sein, aber Du wirst keinem eine Garantie geben können. Mit einem Neuaufsetzen aber sehr wohl (natürlich infizieren sich viele User innerhalb von 10 min erneut, aber das ist ein anderes Thema....).

Würdest Du dem nicht zustimmen wollen?

Cobra

Hi

PM ist unterwegs ..

Was die Rootkits angeht,da hast du recht, deswegen würde ich mir die Files ja im speziellen anschauen, da kann man dann schon sehr viel mehr sagen
(aber das geht nat. auch nicht bei 100 Files / Tag )

Ok .. ich stimme dem zu.

(Nat. ist es schlecht wenn sich die User nach dem Neuaufsetzen sofort wieder neu infizieren, weil du damit an sich beim Status davor wärst, nur nach viel Arbeit, aber wie du gesagt hast .. anderes Thema

lg