|
noch ein verseuchter Computer auch auf meinem zweiten Computer wurden die diversen Scanner fündig. Ich habe heute nochmal RootkitRevealer laufen lassen und der wird nach wie vor fündig. Kann mir bitte jemand beim Analysieren der Logfiles helfen? Hier zuerst mal das Resultat von RootkitRevealer: Code: HKU\S-1-5-21-3534013452-3051685292-1672415821-1005\RemoteAccess\InternetProfile 07.06.2006 18:51 5 bytes Data mismatch between Windows API and raw hive data. |
Fortsetzung: noch ein verseuchter Computer hier das hjt-log: Code: Logfile of Trend Micro HijackThis v2.0.2Code: Malwarebytes' Anti-Malware 1.28Code: RegUBP2b-xxxx.reg;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Gelöscht.; |
Fortsetzung: noch ein verseuchter Computer Code: 22 Sep 2008 21:02:46 - Datei E:\AUTORUN.INF infiziert durch den Virus "Fujack"! Maßnahme ergriffen: Deleted. |
Hi, im wesentlichen gilt für dieses System das gleiche, was ich auch schon zu deinem anderen angemerkt habe. Im Log von Rootkitrevealer gibt es ein paar interessante Einträge (HKLM\SOFTWARE\Classes\CLSID\*): Ist oder war auf dem System Pinnacle Studio installiert? Ansonsten ist auf dem System die Ask Toobar installiert, die wird als Spyware eingestuft. Leider gibt es immer mehr Hersteller von Securitysoftware, die für Geld die mit ihren Programmen mitinstallieren lassen. Schau mal in Systemsteuerung -> Software ob es dort möglich ist sie runterzuschmeißen. Bei Rootkitrevealer ist es normal, dass er eine Menge Sachen meldet ohne dass die ein Problem sind. Die 4 Funde von MBAM sind eine Überraschung, die der Escan ins System ablädt. Das ist noch schlimmer als die Fehlalarme. Ist zwar nur eine Simulation von Malware, aber das ist eine Rote-Karten-Sünde. Die gleiche Taktik wie sie auch Spysherrif, Winantivirus und all diese anderen Betrugsprogramme einsetzen. Wenn Escan sich auf dieses Niveau begibt :pfui: Gruß, Karl |
nochmal herzlichen Dank, Karl. ok, Ask Toolbar liess sich deinstallieren. wenn ich Dich recht verstehe, ist eScan tatsächlich unbrauchbar, werde dieses Stück Software umgehend ersetzen. Ich wollte schon antworten, dass ich nichts von Pinnacle habe/hatte, aber eine Suche in der Registry förderte ein paar alte Produktschlüssel zutage, die aber im wesentlichen ins Leere weisen. Diese und die entsprechenden leeren Directories kann ich wohl bedenkenlos löschen, nehme ich an. ansonsten ist die Maschine überladen, aber sauber, wenn ich Dich recht verstehe. Gruss, Paul |
Die Basis sind die Erkennungen von Kaspersky, die ist schon recht gut. Was aber dann an Erweiterungen außen herum gebaut wurde, ist schlecht. Dazu die Installation solcher Malwaresimulationen. Ich würd schon sagen: Ab in die Tonne damit. |
gestern habe ich mehrfach sfc laufen lassen. Das Tool hat auch diverse fehlerhafte files gefunden, sie aber nicht ersetzen können. Die Klippe mit dem SP3 habe ich umschiffen können, indem ich unter HKLM\SW\MS\Windows\CurrentVersion\Setup\SourcePath den Pfad des gecachten SP3 angegeben habe, trotzdem verlangt er immer nach einer "Windows XP Professional CD2", die ich natürlich nicht habe. Muss ich da noch einen anderen i386-Ordner suchen? Anbei ein Auszug aus dem Eventlog mit dem Run, den ich nach einem Reboot mit sfc /scanonce ausgelöst habe. Das Format ist CSV mit ";"-Delimiter. Code: Category;Computer Name;Event Code;Record Number;Source Name;Time Written;Event Type;User;Message;Strings |
Ehrlich gesagt: Ich kann dieses Log nicht deuten. Ich habe mich nie mit sfc beschäftigt und habe meine Gründe dafür: Die Theorie sagt dass sfc dann, wenn festgestellt wird, dass eine/mehrere Dateien verändert wurden, sie durch eine Kopie ersetzt, von der sfc ausgeht, dass sie ok ist. Dafür wird die Windows-CD angefordert. Damit fängt das Problem schon mal an. Nach gemachten Windowsupdates sind die Dateien auf der CD als veraltet anzusehen, wenn von dort Dateien zurückgespielt werden, baut man sich die in der Zwischenzeit gepatchten Fehler wieder ins System ein. Und das mit Original-Microsoft-Dateien, die z.B. eine Überprüfung der Signatur bestehen (wenn sie dann Microsoft auch signiert hat, was nicht mal bei denen selbstverständlich ist). Noch ein Problem: Microsoft hat da einen Mechanismus gebaut, der versucht aus einem laufenden System heraus zu prüfen, ob dieses System manipuliert wurde. Ein Widerspruch in sich, denn der Code, der benutzt wird zur Überprüfung könnte ja ebenfalls manipuliert sein. Theoretisch soll ein laufendes Windows die Veränderung von Systemdateien im Betrieb merken und dann die nötigen Schritte einleiten, eine saubere Kopie zurückzuschreiben. Ich hab aber schon einige Malware gesehen, deren erste Aktion es ist, diese Funktion auszuschalten. Es genügt ein einziges Byte zu ändern :D Last but not least: Hier scheint es sich um ein Notebook zu handeln. Dort gibt es meistens keine Windows-CD sondern nur eine Recoverypartition von der man (wenn es gut konzipiert ist) eine Sicherung auf CD/DVD brennen kann, die sich auch zur Wiederherstellung eignet. Da hier jeder Notebookhersteller seine eigenen Wege geht (mache sogar mehrere) kann Microsoft da kaum eine Methode entwickeln, die mit allem kompatibel ist. Auf dem Computer gespeicherte Sicherheitskopien der Systemdateien sind für diesen Zweck komplett wertlos. Jede auch nur mäßig clever programmierte Malware wird natürlich die Kopien in dllcache, i386, usw. ebenfalls patchen. Wenn man wirklich sinnvoll prüfen will, ob ein System manipuliert ist, dann muss man ein anderes System zur Hilfe nehmen, bei dem man wissen muss, dass dieses System nicht manipuliert ist. Z.B. ein Knoppix von einer CD starten, die Windows-Partition mounten und dann für alle Dateien Prüfsummen berechnen und die mit einer Liste der "sauberen" Werte vergleichen. Diese Liste muss natürlich auch aus einer Quelle stammen, die in der Zwischenzeit nicht geändert werden konnte, darf also ganz bestimmt nicht auf dem System gespeichert sein. Nach jedem Windowsupdate muss sie neu erstellt werden (mit der Unsicherheit ob wirklich nur die Veränderungen des gemachten Windowsupdates eingehen, könnte ja auch noch was anderes in der Zwischenzeit geändert worden sein). Auf den Systemen, auf denen ich Malware teste, mache ich das. Von CD booten, Registry kopieren und genaue Informationen über alle Dateien (im Systembereich gehören auch Prüfsummen dazu, aber MD5s zu berechnen ist auch nicht gerade schnell). Dann Malware starten und später wieder von CD starten und die vorher aufgezeichneten Informationen mit dem jetzigen Zustand des Systems vergleichen. Das sind aber auch Ex-und-Hopp-Systeme die Stunden später bereits gelöscht sind, die niemals ein Windowsupdate sehen werden (warum auch, verseucht zu werden ist ihre einzige Bestimmung), auf einem normalen System wäre mir das viel zu stressig. Sind ja nicht nur die Windowsupdates, um gründlich zu sein müsste ich auch jede andere Software auf Manipulation überwachen, ich käm zu nichts anderem mehr. Bevor ich mir in diesem Teufelskreis die letzten Haare ergrauen lasse, nehme ich die Windows-CD, formatiere und installiere neu. Außerdem geht der Gruß leider nicht mehr nach Mexiko sondern ins stinkende graue Berlin, Frust. |
Vielen Dank für Deine Antwort. Eine XP Original-CD habe ich zwar, aber dass die i386-Ordner nicht infiziert sind, kann wohl niemand garantieren. Ich werd das Notebook auf alle Fälle weiterhin genau beobachten. Gruss nach Berlin (ist es wirklich so grau? 1975 im Osten war grau, aber es gibt doch so viel ich weiss schöne Grünanlagen an Seen und Flüssen?) |
CDs haben den Vorteil, dass sie readonly sind. Da ist garantiert, dass die Dateien so drauf sind, wie sie mal drauf gepresst bzw. gebrannt sind. Nicht nur grau natürlich, aber im Vergleich finde ich das gerade sehr grau, ganz besonder die Gesichter. Wird schon wieder werden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board