Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verm. Rootkit---Datenwiederherstellungsfrage (https://www.trojaner-board.de/85775-verm-rootkit-datenwiederherstellungsfrage.html)

shorts77 06.05.2010 15:48
Verm. Rootkit---Datenwiederherstellungsfrage
 
hallo,

vorab- ich gehe davon aus, dass ich mir ein rootkit zugezogen habe obwohl ich KIS2010, spybot+imuuniseirung, superantispyware und malwarebytes regelmäßig nutze und nahezu nie etwas gefudnen habe. mir geht es im prinzip um die datenwiederherstellung- weiter unten.

seit gestern jedoch gingen beim FF (evtl. addon) popups auf und es wurden versucht exe dateien herunterzuladen und kasperksy meckerte dass gewissen eine datei mit "kashua" oder so ähnlich infiziert war.

sobald eine netzwerkverbindung verfügbar ist, blockt malwarebytes (echtzeitshutz seit heute) die verbindung zu 91.212.226, 213.163.89.105 - 107 und 89.28.2.236

combofix sagt wuauclt sei infiziert und hat ein paar dateien gelöscht (code_39.tt, system32 folder: icon.ico, shelllnk.tlb, test.dll)

nun bin ich doch sehr besorgt und meine frage bezieht sich auf die datenrettung.

nun bin ich sehr besorgt, da ich nicht weiss wie lange der schädling evtl. schon aktiv war- kann trotz der sicherheitsmechanismen ein rootkit soweit aktiv gewesen sein, dass trotzfirewall oder nat router und KIS eine verbindung zu meinem system aufgebaut werden konnte?

sind nur ausführbare dateinen evtl. gefährdet oder das ganze system?
für mich ist klar, dass ich formatieren werden....
kann ich bilddateien einfach aus einem backup ziehen oder können diese kompromittiert sein? muss die kompromittierung zwangsläufig auch einen schadensfall bedeuten oder kann es sein dass evtl. nur teile eines rootkits draufwaren zb loader die adware versuchen zu ziehen und ich übertriebe mit der idee das alles von meinem system direkt woanders 1:1 gespiegelt wurde.....?

zu deutsch: muss ich alle meine bestandsdaten ausser TXT files entsorgen und können auch anhänge (keine exe/zip, ur pdf/doc) bei meinem emailhoster infiziert sein?

katastrophe oder übertriebe ich etwas mit meiner extremen besorgnis? ich bin gerade ziemlich fertig :/

dieüblichen verdächtigen finden beim scan nichts mehr...ich kann aber gerne das prozedere mit gmer, comcofix etc von beginn durchgehen, nur werde ich den pc nicht mehr ans netz hängen!

Quelle: hxxp://board.protecus.de/t39604.htm#ixzz0nA2gv1tB

cosinus 07.05.2010 22:30
Hallo,

Zitat:
kann trotz der sicherheitsmechanismen ein rootkit soweit aktiv gewesen sein, dass trotzfirewall oder nat router und KIS eine verbindung zu meinem system aufgebaut werden konnte?
Ja natürlich kann ein Rootkit installiert worden sein. Eine "Firewall" (von KIS, Du meinst Software-Firewall - ist höchst umstritten) und NAT hindern Dich nicht daran Dir Dreck aus dem Internet zu laden und auszuführen. Führst Du Dreck (mit Adminrechten) aus und der Virenscanner erkennt das nicht ist schwuppdiwupp das System befallen.

Zitat:
sind nur ausführbare dateinen evtl. gefährdet oder das ganze system?
Bzgl. Datensicherung solltest Du Dich nur auf reine Datendateien beschränken, nur ausführbarte Dateien, die vom infizierten System verarbeitet wurden, sind prinzipiell gefährlich.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131