Rootkit gefunden ?

CMD

Hallo,

ich habe heute mehr oder weniger zufällig ein schon länger bestehendes Problem bei meinem PC (Windows MediaCenter Edition) lösen können. Seit einiger Zeit schien "rundll32.exe" nicht mehr korrekt zu funktionieren. Es gab keine dramatischen Abstürze, aber hin und wieder Fehlermeldungen bei bestimmten Aktionen (Erzeugung eines Desktop-Links, Druckerinstallation, Software-Installation ) : "Bei der Ausführung von ... ist eine Ausnahme aufgetreten, der Vorgang wird abgebrochen". Als Ursache war jeweils "rundll32.exe" genannt. Bei der heutigen Druckerinstallation trat der Fehler wieder auf, die Fehlerdetails benannten eine weitere Datei (signhook.dll), nach der ich dann auf meinem System suchte ... und sie im Explorer nicht fand, obwohl sämtliche Dateiattribute dargestellt werden. Mit "Suchen" spürte ich sie dann doch auf und fand sie im Ordner "C:\Program Files\Common Files\Sitecom Shared\PnP Universal Installer"; wie gesagt, im Explorer unsichtbar. Sichtbar ist lediglich "sitecom.dll". Über die Registry fand ich schließlich die dritte im Bunde : DevNotifySvc.exe. Diese wird als Service lokal ausgeführt. Nach einigem "Googlen" entschloß ich mich versuchsweise den Service zu deaktivieren, und siehe da, die Druckerinstallation lief problemlos, Desktop-Links sind auch wieder möglich ! Anschließend beseitigte ich die zugehörigen Registry-Einträge und löschte natürlich die Dateien. Mein Verdacht wegen des Namens "Signhook" der einen Datei und der erkennbaren Interaktion mit wichtigen OS-Programmen war, dass sich hier ein Rootkit als Programm eines namhaften Herstellers tarnt und in Datenströme einklinkt. Wenn ich mich recht erinnere, gabe es ursprünglich auch noch einen Run-Eintrag in der Registry, der den Service beim Booten startete; diesen habe ich schon vor einem halben Jahr beseitigt.

Warum poste ich das hier, wenn ich das Problem selbst gelöst habe ?

Weil mir bei der Durchsicht dieses interessanten Forums auffiel, wieviele Parallelen es in hiesigen Threads gibt. Ich habe schlicht nach "Gemeinsame Dateien / Common Files" gesucht und immer wieder unter respektablen Namen (Symantec, Microsoft) in den HiJackThis-Reports das gleiche Schema gefunden. Die Dateinamen sind nicht identisch, aber es gibt immer einen (unbekannten) Service, der gestartet wird. Sollte die entsprechende Datei auch noch verborgen sein ( eine hieß "DiskCryptMgr" !), selbst wenn der Explorer alles zeigt, würde dies meinen Verdacht noch erhärten.

Hier will jemand "nach Hause telefonieren" oder "die Tür aufhalten", wenn ich mich nicht total vertan habe !!!

Gruss
CMD

P.S: "DevNotifySvc.exe" hat als Sprachangabe "Russisch" in den Eigenschaften.