[HaBo]

rootkit · 09.06.06, 02:30

Hallo,

ich hoffe hier kann mir jemand helfen. Ich habe schon viel gelesen über das problem "rootkit" und bin am ende meines lateins und die 2 Netzwerkspezialisten auch, da sie nur wenig erfahrung mit rootkits haben. In meinem System ist seit einer Woche ein solcher drin, doch ich kan weder Name, Datein noch irgendwas anderes dazu finden. Ich habe ein Netzwerk mit Server gestüzten Userprofilen, die sich beim start durch ein script mit den jeweiligen Netzwerklaufwerken verbinden. Hier eine kurze Fehlerbeschreibung in meinem Netzwerk:

1. Bei einer anmeldung des Clients ( nicht admin ) hängt er sich nach der anmeldung im netzwerk auf,

2. Der Client läuft und er hängt sich beim öffnen vom "Arbeitsplatz" auf,

Ich hatte das Thema schon leid und habe angefangen die Clients neu aufzusetzen, nach der installation aller apps im Administrator modus habe ich den "Benutzer" wieder eingerichtet und im Netzwerk angemeldet. Danach ist mir aufgefallen das er wieder einen trojaner auf den Client geschrieben hat, unter C:\Temp\ hat er 2 dateien geschrieben. Die 1. ist eine .exe ( die auch im tskmgr. als prozess läuft den ich nicht canceln kann ) die einen 6 stelligen Namen trägt, die er nach jedem löschen und neustart wieder in dieses verzeichnis spielt. Ansich ein recht "billiger" trojaner, denoch mit keiner Virensoftware zu endecken oder zu identifizieren. Dadurch bin ich auf "rootkit" gekommen. Nun wollte ich fragen ob ihr mir beim ausfindig machen des reg. eintrags oder identifizieren dieses rootkits helfen könnt.

Ich habe mit Acronis Privacy Expert etwas entfernt was "spoon" heisst was mir doch sehr mysteriös vorkommt.

Die screens von Acronis folgt.

Vielen Dank schon im vorraus. Frank

rootkit · 09.06.06, 14:36

Ja nun.....erstmal vielen dank für deine Antwort;

Der RootkitRevealer findet nix...mit Acronis Privacy Expert habe ich eine Malware mit dem Namen newdotnet gefunden...laut netz ist das auch eine malware, aber anscheinend nix schlimmes, aber mein netz ist trotzdem noch platt.

danke für den tipp mit pxe, ich verwende den ms ris serverdienst.....geht auch gut.

ja nun wo soll man da ansetzen ?

Anzeige

- Anzeige -

**CDW** · 09.06.06, 15:50

Zitat:

C:\Temp\ hat er 2 dateien geschrieben. Die 1. ist eine .exe ( die auch im tskmgr. als prozess läuft den ich nicht canceln kann ) die einen 6 stelligen Namen trägt, die er nach jedem löschen und neustart wieder in dieses verzeichnis spielt. Ansich ein recht "billiger" trojaner, denoch mit keiner Virensoftware zu endecken oder zu identifizieren. Dadurch bin ich auf "rootkit" gekommen. Nun wollte ich fragen ob ihr mir beim ausfindig machen des reg. eintrags oder identifizieren dieses rootkits helfen könnt.

der Sinn des Rootkits ist aber, dass man eben die zu schützende "Programme" nicht sieht - zumindest nicht im laufenden Betrieb. Wenns ein Rootkit wäre, würdest Du es mit dem Taskmanager auf keinen Fall sehen (frag +++ATH0

) - und sehr wahrscheinlich auch nicht mit dem ProcessExplorer.Auch die Datei wäre nicht zu sehen, genauso der Registryeintrag (es sei denn, man booten ein anderes, sauberes System und untersucht damit die Festplatte). Ich würde eher darauf tippen, dass es ein "nichtöffentlicher" Trojaner ist - entweder ein "gewöhnlicher" der umgeschrieben wurde oder ein selbtsgeschriebener. Virenjäger sind nicht immer so gut, wie die Hersteller in der Werbung behaupten (gabs ja neulich bei Heise wieder einen "Beweis" dafür - ein "oldscool" Virus, der mit mehr Grips geschrieben wurde und nicht bloß zusammengeklickt - schon hatte auch die "Großen" Virenjäger ihre Probleme damit).

Zitat:

habe ich eine Malware mit dem Namen newdotnet gefunden...laut netz ist das auch eine malware, aber anscheinend nix schlimmes, aber mein netz ist trotzdem noch platt.

Es steht mir sicherlich nicht zu, Dich zu kritisieren - da ich mich mit dem Netzwerkbeich und Administrierung so gut wie nicht auskenne, aber irgendwas läuft da schief - Malware sollte immer ernstgenommen werden und betroffene Systeme neuaufgesetzt.
Auch sollte man danach nach möglichen Lücken suchen, die das Eindringen der Malware erlaubten - zuviele Userrechte oder "falsch" verteilt, fehlende Updates usw. Wie gesagt, da ich mich nicht wirklich auskenne, schweige ich lieber und warte auf die Unterstützung

zum Problem selber:
mit http://www.sysinternals.com/Utilities/Autoruns.html
bekommst Du die Übersicht über die Startvorgänge und kannst eventuell die Quelle lokalisieren (und es gibt recht viele davon) - das setzt allerdings voraus, dass
a) es nicht doch ein Rootkit ist
b) die Malware keine "normalen" Programme zum starten nutzt (also einen Code, der die Malware startet in z.B Explorer.exe reinschreibt)
c) dass es keine anderen Quellen gibt - es könnte ja sein, dass die Quelle irgendwo anders liegt, beim start die Malware wiederum "irgendwoanders" absetzt, so dass das Löschen an dieser Stelle nciht wirklich die Malware ausmerzt

Achja, zum Beenden des Processes: probiere mal den alternativen Taskmanager von Sysinternals (Processexplorer) - den WinTaskmanager kann man manipulieren(afaik mit Registryeinträgen) so dass er bestimmte Programme "verschont" (normalerweise notwendige Dienste). Auch kannst Du mit dem Processexplorer den Pfad zur Exe sehen sowie den "Parent" bzw. welches Programm/Dienst diese Exe gestartet haben.

Auch könnte man die betroffene Exe seinem AV-Hersteller schicken (man zahlt ja schließlich Geld dafür) und darauf hoffen, dass dieser schnell die Signaturen aktualisiert.

goflo · 09.06.06, 17:52

Hi rootkit

Du kannst ja einmal ein HiJackThis Logfile posten, vielleicht findet man da was!
Auf der Seite findest du einen Direktdownload!
Dann können alle mal in dein System schauen ;-)

GoFlo

rootkit · 10.06.06, 23:53

Hallo,

und danke nochmal für den guten Support von euch. Ich habe gestern nochmal Acronis drüber laufen lassen und mir ist ein gewisses und wie ich später auch festgestellt habe doch bekannter Unruhestifter aufgefallen Names NewDotNet...

Habe die Reg. auf dem Server gecleant ( der mir leider kurz davor abgestürzt ist ) und ihn mit allem was ich habe auf protect gestellt.

Das Problem mit der Temp Datei ist auch fast gelöst. Kann es sein das es am Trend Micro hängt ?! Oder es wäre der 1. Trojaner der sich deinstallieren lässt

. Naja auf jedenfall hängt die Datei mit seinem Leben an Trend Micro.

Zu dem Bereich Sicherheit nehm ich da mal das "Kompliment" an und muss dir leider recht geben. Das Netzwerk wurde ein wenig zu lasch Kontrolliert und die User haben meist zuviele Rechte. Was wohl voll auf meine Kappe geht auch wenn ich das ganze System auch erst vor nem Monat übernommen habe

.

Was leider noch nicht wieder geht war das Problem mit den Clients. Die könnte ich ja auch einfach neu machen, aber falls das ein "Virus" oder sowas ist der sich im Netzwerk wieder verteilt, bedeutet das für den Betrieb das der komplette Ablauf steht. Das wiederrum kostet viel Geld. Deswegen versuche ich die clients per pedes zu entfernen mit software oder mit Spiegelungen eines "MasterClients" etwas schneller zu lösen.

@ CDW: Die Programme die Ihr netter weise alle vorschlagt hab ich schon benuzt, weswegen ich ja im Forum Support suche

.

@ goflo: Ich Glaube den Log vom Server hab ich noch.. könnte ihn ja mal aus Spaß uppen. Ist der vor der Reg. cleanung

Nochmal vielen Dank für die netten Posts

PS: Wie für jeden schnell geschriebenen Post. Wer Fehler findet darf sie behalten

Anzeige

- Anzeige -

09.06.06, 02:30	#1 (permalink)
rootkit Registriert seit: 09.06.06 Likes: 0	Habe rootkit + troja brauche dringend hilfe Anzeige Hallo, ich hoffe hier kann mir jemand helfen. Ich habe schon viel gelesen über das problem "rootkit" und bin am ende meines lateins und die 2 Netzwerkspezialisten auch, da sie nur wenig erfahrung mit rootkits haben. In meinem System ist seit einer Woche ein solcher drin, doch ich kan weder Name, Datein noch irgendwas anderes dazu finden. Ich habe ein Netzwerk mit Server gestüzten Userprofilen, die sich beim start durch ein script mit den jeweiligen Netzwerklaufwerken verbinden. Hier eine kurze Fehlerbeschreibung in meinem Netzwerk: 1. Bei einer anmeldung des Clients ( nicht admin ) hängt er sich nach der anmeldung im netzwerk auf, 2. Der Client läuft und er hängt sich beim öffnen vom "Arbeitsplatz" auf, Ich hatte das Thema schon leid und habe angefangen die Clients neu aufzusetzen, nach der installation aller apps im Administrator modus habe ich den "Benutzer" wieder eingerichtet und im Netzwerk angemeldet. Danach ist mir aufgefallen das er wieder einen trojaner auf den Client geschrieben hat, unter C:\Temp\ hat er 2 dateien geschrieben. Die 1. ist eine .exe ( die auch im tskmgr. als prozess läuft den ich nicht canceln kann ) die einen 6 stelligen Namen trägt, die er nach jedem löschen und neustart wieder in dieses verzeichnis spielt. Ansich ein recht "billiger" trojaner, denoch mit keiner Virensoftware zu endecken oder zu identifizieren. Dadurch bin ich auf "rootkit" gekommen. Nun wollte ich fragen ob ihr mir beim ausfindig machen des reg. eintrags oder identifizieren dieses rootkits helfen könnt. Ich habe mit Acronis Privacy Expert etwas entfernt was "spoon" heisst was mir doch sehr mysteriös vorkommt. Die screens von Acronis folgt. Vielen Dank schon im vorraus. Frank

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Rootkit im MBR-brauche Hilfe	MaxPeter	Virenschutz · Tools & Aggressive Software	16	17.11.08 12:06
Brauche dringend Hilfe!!!	olli071006	Doppelte Beiträge	5	07.01.08 07:43
Brauche dringend Hilfe!!!	olli071006	Doppelte Beiträge	0	07.01.08 01:58

09.06.06, 14:36	#2 (permalink)
rootkit Themenstarter Registriert seit: 09.06.06 Likes: 0	Ja nun.....erstmal vielen dank für deine Antwort; Der RootkitRevealer findet nix...mit Acronis Privacy Expert habe ich eine Malware mit dem Namen newdotnet gefunden...laut netz ist das auch eine malware, aber anscheinend nix schlimmes, aber mein netz ist trotzdem noch platt. danke für den tipp mit pxe, ich verwende den ms ris serverdienst.....geht auch gut. ja nun wo soll man da ansetzen ?

09.06.06, 17:52	#4 (permalink)
goflo Registriert seit: 09.02.06 Likes: 0	Hi rootkit Du kannst ja einmal ein HiJackThis Logfile posten, vielleicht findet man da was! Auf der Seite findest du einen Direktdownload! Dann können alle mal in dein System schauen ;-) GoFlo

10.06.06, 23:53	#5 (permalink)
rootkit Themenstarter Registriert seit: 09.06.06 Likes: 0	Hallo, und danke nochmal für den guten Support von euch. Ich habe gestern nochmal Acronis drüber laufen lassen und mir ist ein gewisses und wie ich später auch festgestellt habe doch bekannter Unruhestifter aufgefallen Names NewDotNet... Habe die Reg. auf dem Server gecleant ( der mir leider kurz davor abgestürzt ist ) und ihn mit allem was ich habe auf protect gestellt. Das Problem mit der Temp Datei ist auch fast gelöst. Kann es sein das es am Trend Micro hängt ?! Oder es wäre der 1. Trojaner der sich deinstallieren lässt . Naja auf jedenfall hängt die Datei mit seinem Leben an Trend Micro. Zu dem Bereich Sicherheit nehm ich da mal das "Kompliment" an und muss dir leider recht geben. Das Netzwerk wurde ein wenig zu lasch Kontrolliert und die User haben meist zuviele Rechte. Was wohl voll auf meine Kappe geht auch wenn ich das ganze System auch erst vor nem Monat übernommen habe . Was leider noch nicht wieder geht war das Problem mit den Clients. Die könnte ich ja auch einfach neu machen, aber falls das ein "Virus" oder sowas ist der sich im Netzwerk wieder verteilt, bedeutet das für den Betrieb das der komplette Ablauf steht. Das wiederrum kostet viel Geld. Deswegen versuche ich die clients per pedes zu entfernen mit software oder mit Spiegelungen eines "MasterClients" etwas schneller zu lösen. @ CDW: Die Programme die Ihr netter weise alle vorschlagt hab ich schon benuzt, weswegen ich ja im Forum Support suche . @ goflo: Ich Glaube den Log vom Server hab ich noch.. könnte ihn ja mal aus Spaß uppen. Ist der vor der Reg. cleanung Nochmal vielen Dank für die netten Posts PS: Wie für jeden schnell geschriebenen Post. Wer Fehler findet darf sie behalten

[HaBo]

Habe rootkit + troja brauche dringend hilfe