Verseuchung mit rootkits trotz Formatierung und Neuinstallation
 

Hallo liebe Trojabord Gemeinde

Vorweg mein System: Windows XP Sp2

habe ein riesenproblem .Letztes Jahr wurde meine webseite 2 mal- auf "herkömliche Weise" gehackt. Das Problem war zu behen. Seit dieser Zeit gute Antivirsysteme: Norton , Malewarebytes, McAfee Security Scan Plus . Damit war nun 10 Monate Ruhe. Letzte Woche erneut Angriff ! Diesmal jedoch sind sie via rookits auf meine Festplatte eingedrungen (wußte bis dahin nicht was das ist , jetzt weiß ich mehr) . Ich versuchte das System mit GMER zu scannen ! Nach GMER-Vorschrift , und auch im abgesicherten Modus ! => regelmäßig Bluescreen. Ich machte schliesslich meine Platte platt und setzte das System gestern neu auf. NUR DAS WICHTIGSTE ! Ich machte nach der Neuinstallation einen erneuten Versuch mit GMER => abermals bluescreen ! Sodann stieg ich auf Sophos um. Gestern ergab der Sophosscan (nach der Neuinstallation) ein paar Kleinigkeiten. HEUTE WAR DAS ANDERS ! Ich scannte und Sophos überschlug sich förmlich. Nach der Liste scheinen nun beinahe SÄMTLICHE Systemdateien befallen zu sein.

Mit Sophos lässt sich keine Logliste erstellen um die hier einstellen zu können ? Wenn doch , wie ?

Des Weiteren lässt sich jetzt mein Wise FTP nicht mehr einrichten. Jeglicher Versuch mit Wise-FTP mit meinem Hosterkonto (FTP-Server) zu kommunizieren , scheitern ! Ich kann es drehen und wenden wie ich will. Das gleiche auch wenn ich mir wieder versuche meinen Outlook einzurichten ! Outlook schaft es nicht auf das Emailkonnto zuzugreifen. Und sicher noch eine ganze Reihe weitere Dinge die ich noch nicht entdeckt habe. Der Schaden scheint groß zu sein ! Was kann getan werden ? Rootkit startet aus dem Bios heraus ? ,...oder wie kann man sich das erklären , dass selbst nach einer Formatierung eine Verseuchung da ist und die sogar mit atemberaubender Geschwindigkeit zunimmt ? Gibt es , ausser den PC doch auf der Recyclinghalde zu entsorgen noch eine Möglichkeit ? Wenn ja welche ?

Vorweg danke für die "Abarbeitung" einer schwierigen Frage und Grüße

:hallo:
Was hat deine "Webseite" mit deinem PC und PC-Antivirusprogrammen zu tun?

Viel hilft hatlt nicht viel, besser ist da Wissen um Malware, AV-Programme und der vernünftige Umgang im dem Internet und seinen Möglichkeiten und Gefahren.

Nana, ob dies ein Angriff war, steht doch nicht fest und ist unwahrscheinlich. In 90 + x % aller Fälle holt der Nutzer sich die Malware selber.

War es denn eine sicher saubere Neuinstallation?

Wpher hast du die ganzen AV-Programme? Original vom Hersteller?


Dies ist doch erstmal ziemlich egal, du willst doch nicht etwa deine Malware eventuell ins Netz stellen? ;-)

Ohne ordentliche Information kann dir hier nicht geholfen werden, aber auch hier gilt, erst mal ein sauberes System als Grundlage!
Was du machst bzw. versuchst ist absoluter Unsinn, eine sicher saubere Grundlage ist für alles Voraussetzung.
BTW: Ist es überhaupt Outlook? Wenn ja welche Version oder ist es nicht vielleicht Outlook Express?

Nein

Ja, vernünftig neu aufsetzen.
Welches Windows hast du, was steht auf der CD oder DVD drauf (genaue Version inkl. eventuell enthaltenem Service Pack / SP )

Nun, die haben mir Ein Bildchen auf meine Startseite montiert. Konnte ich bereits wieder entfernen und beheben. Ich habe das abfotografiert ! Ein Bild , das nicht von meinem Pc stammte , lt. Eigenschaften. Ironischer Weise sah der Mann auf diesem Bild mir in Natura sehr ähnlich ! Wohl ein Hoax gewesen ! Wie "die" das Bild dort hin brachten = ?) Meine Ftp.logs der letzten 2 Monate konnte ich auch nicht mehr öffnen. Auch nicht über dem Webspacexplorer von 1und1 . Fazit aus dem Allen: = Angriff !



Hm ? von CD gebootet und dann komplette Neuinstallation : Formatierung => anschließend duch die Installation führen lassen . So als hätte ich halt einen neuen PC zu "bestücken" Nach diesem Muster hatte ich das schon früher problemlos absolvieren können.





Malwarebytes => Chip.de
Norton => Securitypaket von 1und1
Mc Afee => kann ich nicht mehr 100% beantworten . Ich hab den nach dem Neuafsetzen nicht wieder installiert.
Sophos => www.sophos.de/
GMER => www.gmer.net




Es ist Outlook Express , habe ich vergessen an zu geben.



"Product Recocery CD-Rom Microsoft Windows XP Professional SP 2" (Vertrieb nur mit einem neuen Dephin Pc)

Ich nutze diese CD schon lange ! Schon seit ca 5 Jahren ! In der Zeit konnte ich mir das System schon ein paar mal mit dieser CD erfolgreich neu aufsetzen. Diesmal scheinbar nicht !

Warum macht man das?
Ich installiere einmal Windows und dann ist gut für die nächsten 10 Jahre, solange kein Hardwardefekt auftritt. Und auch dies überlebt so manche Windows-Installation.
Aber egal, welche Festplatte hast du? Hersteller, Modell.

Nutzt du gerade einen zweiten PC?

Ouh , da werde ich heute mein Notebook noch aufmachen ! Das ist ne Maxtor in meinem Dell D510 Notebook ! Ich hohle das noch nach ! Unter anderem habe ich gerade den Sophosscan erneut gestartet. Ich lasse ihn jetzt ganz durchlaufen und schaue dann , dass ich das Ergebnis in ner Liste kriege. Ich poste das dann.

bis dann und danke dawei

vernünftig neu gemacht wurde hier nicht, wenn ich was von sp2 lese.

:stirn:


Hallo .

...also ich habe den Fehler gefunden , so wie es aussieht ! Ouh Weiha ! ... da wartet eine Menge Arbeit. Ich habe mir vor der Formatierung und Neuinstallation alle Daten auf Stick gesichert. Nach Neuafsetzen habe ich das Erste was ich brauchte mir wieder auf die Festpkatte gezogen.
Ich habe Sophos nun laufen lassen - nach 3 Stunden war er immer noch nicht fertig - und die Liste wurde immer Länger: Schliesslich las ich in der Liste : E:\ !! Damit war klar ! Eine ganze Latte der Daten auf Stick sind EBENFALLS verseucht ! Somit braucht man sich nicht mehr zu wundern !

Eines ist trotzdem faszinierend: Wie schnell die "Dinger" wachsen ! Das meiste in system32 Dateien !

Ich werde jetzt versuchen sophos ganz durchlaufen zu lassen ! Vielleicht hat jemand einen Tipp wie man die Scanliste von Sophos sichern kann ! Ich habe "herumexperimentiert , konnte aber nichts finden wie ich diese Liste sichern kann ! Sicher hat jemand von Euch Wissen darüber wie das mit Sophos läuft. Ansonsten bliebe nur das abfotografieren der Liste !

Danke noch mal und bis dann.

Vergiss dies doch.
Mach alles sauber und sicher neu, eventuell, wenn die Daten auf dem USB-Stick wichtig wären, scanne vorher den Stick per Live-System von CD oder sonstwie von einem sicheren, abgesicherten, aktuellem System und so ein System muss nicht Windows als Vornamen haben.

:daumenhoc Danke, ich hatte da wohl meine innenverspiegelte Sonnenbrille mit runtergelassenen Außenrollos auf :stirn:

...jaaa da sind , WÄREN einige wichtige Daten drauf ! Darum "hänge" ich auch so an diesen Daten (Monstrumarbeit) !

Was ist das und wie geht das ? !Hört sich interessant an !

...damit meinst Du wohl Linux ? ... das kenne ich nur von Hörenundsagen !


Nun eine kurze Story WARUM ich evtl immer wieder so heftig "gepeisackt" werde:

Nun, die eine Seite , die ich da betreibe und gerade hochziehe ist nix weltbewegendes. Natürlich verlinke ich diese Seite hier nicht: Nim' das Wort "secondhand" und setzt das mit dem Wort "optik" zusammen und dabei handelt es sich um eine .de Domain ! Nix weltbewegendes , sie ist allerdings -- immer wieder gerne - Hauptangriffsziel. Eine weitere : "secondhand" + Labor und das .de dazu !

Das Eigentliche Problem ist eine andere Seite die ich ebenfalls auf dem selben Server lagere: Es ist eine hochgesundheitpolitische Seite geworden und sie beinhaltet eine penibelst genaue chronik meiner Therapien und Diagnosen , die im Laufe der letzten Jahre gemacht wurde/n.

Diese Seite ist entstanden auf Grund gesundheitlicher Beschwerden , die mich über die Jahre begleiteten und über die Jahre immer schlimmer wurden . In Zusammenarbeit mit meiner guten Freundin . die auch gleich meine Medizinerin ist , konnte ich das im Laufe der Jahre realisieren und NACH LANGEM Suchen die Ursachen dieser Beschwerden dingfestmachen.

Die Therapien WURDEN ERFOLGREICH und ich verlor meine Beschwerden immer mehr. Auf diese Seite dokumentierte ich das penibelst , Diagnosen , Verlauf , Klinik und vor allem die Entwicklung aller wichtigen Laborparameter , die sich durchwegs alle verbesserten !

Natürlich blieb es nicht aus , dass ich auf dieser Seite auch die Klinik angriff in der ich einst für 3 Monate zu Besuch war. Und natürlich auch den Verantwortlich Professor ! ... für die Schlamperei , die sie gemacht haben.

Es blieb nicht aus , dass ich auch mal Besuch auf meiner Seite von höchster "Ebene" bekam : Von "Höchst" höchspersönlich , vor einigen Monaten !! Ich weiß das halt ! Ich brauche HIER nicht zu erzählen woher !


Was war die Ursache: Eine chronische DEFTIGE Quecksilbervergiftung auf Grund meiner Amalgamplomben !

....ich rechne damit , dass dies der Grund dieser "ständigen" Piesackerei ist


Grüße

Muss nicht Linux sein, kann aber.
Es gibt von Avira, Kaspersky, Dr.Web uvm. CDs bzw ISOs von Live-Systemen, die auf Malware scannen können.

Trotzdem ist ein sauberes neuaufsetzen "Pflicht", dazu gehört anschließende vernünftige Absicherung und komplette Aktualisierung. Erst dann darf frühestens irgendwas anderes "an den PC".

nein, es liegt einfach daran das du grundlegende sicherheits maßnamen nicht einhältst.
keine windows updates zb dann schließt du einen infizierten usb stick an, da brauchts keine "höchste stelle", was immer das ist, um deinen pc zu infizieren, dass hast du selbst bewerkstelligt.

Hallo Shadow..

..danke mal für diese Information.

Ich habe nun noch mal formatiert und neu aufgesetzt. DIESMAL war das EINZIGE was ich mir vom Stick zum Start herunter hohlte : SOPHOS. !!

Damit habe ich ein interessantes Protokoll erstellt und erstaunliches entdeckt: Der Norton Downloadmanager scheint eine potente "Rootkitschleuder" zu sein.

Das Protokoll:

(Punkt 1 bis 7 , das war gestern, >7 Heute)



1.)Nach ERNEUTER Formatierung und Neuinstallation: Sofortiger Scann mit Sophos => keine Befunde !

2.) Ich Installierte meiner Internetverbindung (Surfstich/O2) neu

3.) In das internet einegeloggt , daraufhin sofortiger Scan mit Sophos => keine Befunde !

4.) Wiseftp gedownloaded von "www.wise-ftp.de/download.htm" . Sodann anschließende Installation und abermals sofortiger Scan mit Sophos => keine Befunde !

5.) Installation und Einrichtung von Outlook Express => Scann mit Sophos => keine Befunde

6.) Besuch MEINER Internetseiten => Scann mit Sophos und keine Befunde !

7.) Aktuellen Firefox gedownlodet und installiert => Scan mit Sophos keine Befunde ! Ich machte Schluss für diesen Tag.

8.) Nach Start heute Morgen: => sofortiger Scann mit Sophos => keine Befunde

9.) Beginn des Downloades des Internetsecuritypaketes NORTON SYMANTEC.
Auf ca. der Hälfte der Downloadstrecke => Scan mit Sophos UND ER WURDE FÜNDIG !!! DAS FOLGENDE ROOTKIT {NIS_prod_1.5.30_18.1.0.37}\ BEFINDET SICH IN DIESER DATEI WIE FOLGT:

C:\Dokumente und Einstellungen\All Users\Dokumente\Norton\{NIS_prod_1.5.30_18.1.0.37}\BIT8.tmp !

Das "Ding" scheint sich NORTON Downloadmanager zu verbergen. Eine kurze Suche nach dieser Signatur im Netzt wurde ich bei Euch wieder fündig :

http://www.trojaner-board.de/93568-s...kthis-log.html

In dem Logfile eines Rootkit/Antivirus- Scanns dieser User findet man diese Signatur EBENFALLS ! Vom Norton Downloadmanager !

Das ist interessant und finde ich brandheiß !

Grüße