[HaBo]

olmz · 12.03.07, 16:24

HI!

ich hatte vor nem monat mal nen trojaner aufm rechner (aus versehen geöffnet). so wie es aus sah war er weg, aber mein antivir findet immer wieder infizierte dateien. ich vermute, dass er ein rootkit hat und noch immer auf meinem rechner ist (ab und zu hab nen mega ping). im taskmanager ist nix zu sehen. wie bekomme ich ein rootkit (wenn ich nicht weiß um welchen trojaner es sich handelt) zu 100% weg? er muss WIRKLICH SICHER WEG SEIN. auf windoof neu aufsetzten hab ich eigl kei lust^^.

mfg, 0ImZ

valenterry · 12.03.07, 16:57

Backup? Prüfsummen?
Ansonsten gibt es leider keine andere Möglichkeiten als das Formatieren.
Du kannst es natürlich mal mit Programmen wie "Blacklight" oder "Rootkit Revealer" versuchen.
Aber in diesem Fall kannst du nicht zu 100% sicher sein, dass das Rootkit wirklich entdeckt wurde.
Es könnten ja durchaus auch 2 sein, eins wird gefunden, du freust dich dann und denkst dein PC wär sauber, ist er aber gar nicht.
Falls du es trotzdem mit diesen Tools versuchen willst, denk daran, auf jeden Fall die Verbindung zu allen andere Netzen zu trennen und währrend der Suche nichts anderes zu machen.

Anzeige

- Anzeige -

+++ATH0 · 12.03.07, 20:52

Zitat:

er muss WIRKLICH SICHER WEG SEIN

Mit diesem Anspruch ist Formatieren die einzige Lösung.
Bist du dir im Klaren, was du verlangst?

**CDW** · 12.03.07, 21:07

gerade in der letzen oder vorletzen c't wurden die gängigen AVs auf Rootkiterkennung getestet - auf dem laufenden (verseuchten) System sieht es sehr schlecht aus.
Mehr Sicherheit bietet zwar ein Scan von einer LiveCD aus (BartPE), diese ist aber auch nicht annähernd hoch genug.
Das Rootkit sitzt allgemein am längeren Hebel. Gerade wie von valenterry beschriebenes Szenario wäre sehr denkbar.

Du kannst Dich natürlich auch freuen, dass Dein Rechner einer großen Gemeinschaft angehört (einem Bor... ähm Botnetz) und eventuell zielgerichtet und höchstproduktiv genutzt wird (Spamversendung, Flooding, Warezablage)

quux · 12.03.07, 21:57

Hmm... muss ja nicht unbedingt ein rootkit mit drauf sein. Es könnte ja auch einfach nur ein normaler Trojaner sein, den jmd hybsch gepackt hat und der somit evtl undetectable ist.

Kannst ja mal HijackThis drüber laufen lassen und hier posten. Vielleicht steht ja was in "Run"...

Aber wie die anderen schon gesagt haben, kannst du dir nur mit einer Formatierung ganz sicher sein, dass er weg ist.

**lightsaver** · 12.03.07, 22:42

formatieren ist die EINZIGE lösung für dein problem! ich meine, du hast ja nun schon gemerkt, wie schwierig es ist, so einen schädling zu entfernen und warts nicht 100% erfolgreich. wenn dies aber dein anspruch ist, bleibt dir gar keine andere wahl!

valenterry · 12.03.07, 22:46

Zitat:

Original von CDW
Du kannst Dich natürlich auch freuen, dass Dein Rechner einer großen Gemeinschaft angehört (einem Bor... ähm Botnetz) und eventuell zielgerichtet und höchstproduktiv genutzt wird (Spamversendung, Flooding, Warezablage)

Und wie.. ich würde auch meinen PC liebend gerne für eine dDoS Attacke auf www.wh!tehouse.com oder www.m!crosoft.com bereitstellen.
So leiste auch ich meinen Beitrag an die Wirtschaft.

olmz · 13.03.07, 21:17

och also auf neu aufsetzten hab ich jez ja ga keine lust^^

könnte ich denn nicht eigl um 100% gewissheit zu bekommen einen lokalen portscann machen (über alle ports)? oder bringt der bei nem reverse-trojaner nix? hat der normale reversetrojaner en serversocket?

wie funzt eigl. ein rootkit (also im detail)? ich hab mir mal den shark trojaner 0.6 besorgt und mit rootkit auf meinen rechner losgelassen: ich brauchte nur die schlüssel im run zu löschen und die rootkit dlls aus dem windows ordner und weg war er und ich konnte nicht mehr connecten! das kann doch net so easy sein!? (aufgefallen ist: im windows ordner war der eigentliche server nicht sichbar! aber ohne starteintrag... is der nix wert)

mfg, 0ImZ

CLX · 13.03.07, 21:30

Zitat:

Original von olmz
im windows ordner war der eigentliche server nicht sichbar!

Das ist doch wohl auch die (Haupt-) Aufgabe eines Rootkits, Daten vor dem Benutzer zu verstecken.
Wenn du wirklich im Detail erfahren willst wie ein Rootkit funktioniert, wäre es vielleicht hilfreich erstmal sich über solche zu informieren.

valenterry · 13.03.07, 21:44

Zitat:

Original von olmz
och also auf neu aufsetzten hab ich jez ja ga keine lust^^

Dann musst du mit diesen nagenden Zweifeln leben. Jedesmal, wenn sich dein Rechner verdächtig verhält, wird dir der Schweiß von der Stirn fließen.
Jedesmal, wenn es an der Türe klingelt, glaubst du, es wären die netten Herren in (neuerdings) blau, weil jemand deinen Rechner benutzt hat, um KiPo zu verteilen.
Jedesmal, wenn du deinem Freund eine Datei schicken willst, musst du ihm sagen, dass auch diese Datei verseucht sein könnt.
...
...
...

Zitat:

könnte ich denn nicht eigl um 100% gewissheit zu bekommen einen lokalen portscann machen (über alle ports)?

Nein.

Zitat:

wie funzt eigl. ein rootkit (also im detail)?

Google ist auch dein Freund.

Zitat:

ich hab mir mal den shark trojaner 0.6 besorgt und mit rootkit auf meinen rechner losgelassen: ich brauchte nur die schlüssel im run zu löschen und die rootkit dlls aus dem windows ordner und weg war er und ich konnte nicht mehr connecten! das kann doch net so easy sein!? (aufgefallen ist: im windows ordner war der eigentliche server nicht sichbar! aber ohne starteintrag... is der nix wert)
mfg, 0ImZ

Naja, ein Rootkit-Autor wird seine besten Tricks nicht öffentlich verraten. Zumindest hab ich sowas noch nie erlebt. Und solche Massentrojaner kannste sowieso knicken.

**lightsaver** · 13.03.07, 22:42

also ich bin echt sprachlos! du hast uns als vorgabe gegeben, dass der trojaner mit 100% sicherheit weg sein soll, bist mit der einzigen lösung dafür aber nicht zufrieden und versuchst das ganze mit irgendwelchen (für die vorgabe) unnützen sachen doch hinzubekommen. wieso glaubst du uns nicht und beißt mal in den sauren apfel. nimm es als lerneffekt, dass du beim nächsten mal nicht voreilig etwas startest

und zu dem portscan: woher glaubst du mit sicherheit behaupten zu können, dass der trojaner nicht andere programme missbraucht um eine verbindung zu bekommen? glaubst du echt, das könntest du als nichtfachmann (und das unterstelle ich dir jetzt einfach mal) unterscheiden? da dürften selbst spezialisten probleme haben.

zu deinem kleinen experiment: das war nicht unbedingt ein guter trojaner möchte ich jetzt mal behaupten! die ct hatte vor nicht allzu langer zeit mal einen bericht über rootkits und es war schon sehr interessant, wie intelligent die sich teilweise schon verstecken. es gibt sogar schadsoftware, die wohl bemerken kann, ob sie in einer virtual machine bzw. einer sandbox läuft und dann einfach nicht aktiv wird, um dort nicht aufzufallen. ein weiteres ,allerdings wohl noch theoretisches, szenario war, dass ein schädling das komplette windows selbst in eine vm schickt. so ist kein einziges sicherheitsprogramm mehr in der lage, den schädling zu finden. ach und dann meintest du noch, der muss im run stehen. lade dir doch mal von sysinternals autoruns runter und gucke mal, wo überall schon autostarts alleine stehen können. von veränderten dateien jetzt mal nicht zu reden.
des weiteren wusstest du bei deinem experiment (vermutlich), dass der trojaner nichts nachgeladen hat. woher willst du das bei dem wissen, was du dir da eingefangen hast? ist ja schön dass du den vielleicht deaktivieren konntest. und was ist mit den dir unbekannten sachen?

so, ich hoffe, du verstehst endlich, wieso es nur eine möglichkeit gibt, den rechner zu 100% sauber zu bekommen!

Kurth · 24.03.07, 18:10

Zitat:

Original von lightsaver

ein weiteres ,allerdings wohl noch theoretisches, szenario war, dass ein schädling das komplette windows selbst in eine vm schickt. so ist kein einziges sicherheitsprogramm mehr in der lage, den schädling zu finden.

Das ist mittlerweile schon keine Theorie mehr. Es ist einer Russischen Viren-Expertin gelungen! Es ist schon eine geile Sache. Mein Freund hatte mal dem Quellcode, zumindest einen Teil davon. Er ist hauptsächlich in Assembler und C geschrieben, also wie ein normales Rootkit, aber trotzdem total umfang reich. Darum kann man ihn auch nur auf einem "Super-Computer" in einem Rechenzentrum oder so, starten und in den Kernel laden. Ausserdem muss man noch einen extra Loader haben, da man diese Datenmenge nicht über die "Quick-and-Dirty-Methode" in den Kernel Ring 0 laden kann. Es fasziniert mich einfach! WINDOWS EINFACH SO IN EINE VM PACKEN!

// 1. Beitrag^^

MfG
Kurth

Haldir · 25.03.07, 11:35

Ich bin auch nicht der totale pro!
aber eins kann ich dir sagen!:
1.:wenn du weißt wie die Datei heißt dann geb den namen doch mal bei google ein!
2.:um die offenen Ports zu sehen kannst du mal das ins cmd eingeben :"netstat /a"
3.:Aus dem beitrag ging nicht hervor ob du evtl. eine zusätzliche Firewall hast! falls nein! hol dir eine z.B.: Zone Alarm* oder Sygate**
4.:Wenn du eine Firewall hast und die datei wirklich noch Seperat vorhanden sein sollte (was ich hier fast ausschließe) dürfte die Firewall fragen ob die datei eine verbindung herstellen darf! in der Frage müsste auch die IP stehen zu der die Datei eine Verbindung herstellen will. Die könnte man dann über die Firewall sperren.
5.:100% gehts nur mit neu aufsetzen! Oder (falls du weißt seit wann die datei da ist) vielleicht auch mit der Systemwiederherstellung

*Die gibts hier: http://www.chip.de/downloads/c1_downloads_13013718.html
** und die gibts hier: http://www.sygate.de/

olmz · 25.03.07, 11:54

1. nein weiß ich nicht...
2. wenn die datei und der prozess für windows "unsichtbar" ist geht das auch nicht
3. zur firewall siehe punkt 2
4 "

aber trozdem danke

**lightsaver** · 25.03.07, 12:02

richtig, hier war von rootkit die rede, also findest du die nicht einfach mal so. und zum thema firewall einfach mal im wiki lesen. wer sich schon die mühe mit dem rootkit macht, wird wohl auch gleich noch jegliche personal firewall umgehen.

Anzeige

- Anzeige -

12.03.07, 16:24	#1 (permalink)
olmz Registriert seit: 30.12.04 Likes: 0	Trojaner mit Rootkit Anzeige HI! ich hatte vor nem monat mal nen trojaner aufm rechner (aus versehen geöffnet). so wie es aus sah war er weg, aber mein antivir findet immer wieder infizierte dateien. ich vermute, dass er ein rootkit hat und noch immer auf meinem rechner ist (ab und zu hab nen mega ping). im taskmanager ist nix zu sehen. wie bekomme ich ein rootkit (wenn ich nicht weiß um welchen trojaner es sich handelt) zu 100% weg? er muss WIRKLICH SICHER WEG SEIN. auf windoof neu aufsetzten hab ich eigl kei lust^^. mfg, 0ImZ

12.03.07, 21:07	#4 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	gerade in der letzen oder vorletzen c't wurden die gängigen AVs auf Rootkiterkennung getestet - auf dem laufenden (verseuchten) System sieht es sehr schlecht aus. Mehr Sicherheit bietet zwar ein Scan von einer LiveCD aus (BartPE), diese ist aber auch nicht annähernd hoch genug. Das Rootkit sitzt allgemein am längeren Hebel. Gerade wie von valenterry beschriebenes Szenario wäre sehr denkbar. Du kannst Dich natürlich auch freuen, dass Dein Rechner einer großen Gemeinschaft angehört (einem Bor... ähm Botnetz) und eventuell zielgerichtet und höchstproduktiv genutzt wird (Spamversendung, Flooding, Warezablage) __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Vista - ich bin nicht allein? Trojaner? Rootkit?	SteVe_O	Virenschutz · Tools & Aggressive Software	6	29.12.07 18:15
Rootkit?	nutsn	Virenschutz · Tools & Aggressive Software	2	13.09.07 08:15
Rootkit.L	Prof. MAAD	Virenschutz · Tools & Aggressive Software	5	04.06.05 21:39
backdoor/rootkit ?	Gulliver	(In)security allgemein	8	09.12.03 16:22

12.03.07, 16:57	#2 (permalink)
valenterry Registriert seit: 25.07.06 Likes: 0	Backup? Prüfsummen? Ansonsten gibt es leider keine andere Möglichkeiten als das Formatieren. Du kannst es natürlich mal mit Programmen wie "Blacklight" oder "Rootkit Revealer" versuchen. Aber in diesem Fall kannst du nicht zu 100% sicher sein, dass das Rootkit wirklich entdeckt wurde. Es könnten ja durchaus auch 2 sein, eins wird gefunden, du freust dich dann und denkst dein PC wär sauber, ist er aber gar nicht. Falls du es trotzdem mit diesen Tools versuchen willst, denk daran, auf jeden Fall die Verbindung zu allen andere Netzen zu trennen und währrend der Suche nichts anderes zu machen.

12.03.07, 21:57	#5 (permalink)
quux Registriert seit: 09.01.07 Likes: 0	Hmm... muss ja nicht unbedingt ein rootkit mit drauf sein. Es könnte ja auch einfach nur ein normaler Trojaner sein, den jmd hybsch gepackt hat und der somit evtl undetectable ist. Kannst ja mal HijackThis drüber laufen lassen und hier posten. Vielleicht steht ja was in "Run"... Aber wie die anderen schon gesagt haben, kannst du dir nur mit einer Formatierung ganz sicher sein, dass er weg ist.

12.03.07, 22:42	#6 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	formatieren ist die EINZIGE lösung für dein problem! ich meine, du hast ja nun schon gemerkt, wie schwierig es ist, so einen schädling zu entfernen und warts nicht 100% erfolgreich. wenn dies aber dein anspruch ist, bleibt dir gar keine andere wahl!

13.03.07, 21:17	#8 (permalink)
olmz Themenstarter Registriert seit: 30.12.04 Likes: 0	och also auf neu aufsetzten hab ich jez ja ga keine lust^^ könnte ich denn nicht eigl um 100% gewissheit zu bekommen einen lokalen portscann machen (über alle ports)? oder bringt der bei nem reverse-trojaner nix? hat der normale reversetrojaner en serversocket? wie funzt eigl. ein rootkit (also im detail)? ich hab mir mal den shark trojaner 0.6 besorgt und mit rootkit auf meinen rechner losgelassen: ich brauchte nur die schlüssel im run zu löschen und die rootkit dlls aus dem windows ordner und weg war er und ich konnte nicht mehr connecten! das kann doch net so easy sein!? (aufgefallen ist: im windows ordner war der eigentliche server nicht sichbar! aber ohne starteintrag... is der nix wert) mfg, 0ImZ

13.03.07, 22:42	#11 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	also ich bin echt sprachlos! du hast uns als vorgabe gegeben, dass der trojaner mit 100% sicherheit weg sein soll, bist mit der einzigen lösung dafür aber nicht zufrieden und versuchst das ganze mit irgendwelchen (für die vorgabe) unnützen sachen doch hinzubekommen. wieso glaubst du uns nicht und beißt mal in den sauren apfel. nimm es als lerneffekt, dass du beim nächsten mal nicht voreilig etwas startest und zu dem portscan: woher glaubst du mit sicherheit behaupten zu können, dass der trojaner nicht andere programme missbraucht um eine verbindung zu bekommen? glaubst du echt, das könntest du als nichtfachmann (und das unterstelle ich dir jetzt einfach mal) unterscheiden? da dürften selbst spezialisten probleme haben. zu deinem kleinen experiment: das war nicht unbedingt ein guter trojaner möchte ich jetzt mal behaupten! die ct hatte vor nicht allzu langer zeit mal einen bericht über rootkits und es war schon sehr interessant, wie intelligent die sich teilweise schon verstecken. es gibt sogar schadsoftware, die wohl bemerken kann, ob sie in einer virtual machine bzw. einer sandbox läuft und dann einfach nicht aktiv wird, um dort nicht aufzufallen. ein weiteres ,allerdings wohl noch theoretisches, szenario war, dass ein schädling das komplette windows selbst in eine vm schickt. so ist kein einziges sicherheitsprogramm mehr in der lage, den schädling zu finden. ach und dann meintest du noch, der muss im run stehen. lade dir doch mal von sysinternals autoruns runter und gucke mal, wo überall schon autostarts alleine stehen können. von veränderten dateien jetzt mal nicht zu reden. des weiteren wusstest du bei deinem experiment (vermutlich), dass der trojaner nichts nachgeladen hat. woher willst du das bei dem wissen, was du dir da eingefangen hast? ist ja schön dass du den vielleicht deaktivieren konntest. und was ist mit den dir unbekannten sachen? so, ich hoffe, du verstehst endlich, wieso es nur eine möglichkeit gibt, den rechner zu 100% sauber zu bekommen!

25.03.07, 11:35	#13 (permalink)
Haldir Registriert seit: 03.03.07 Likes: 0	Ich bin auch nicht der totale pro! aber eins kann ich dir sagen!: 1.:wenn du weißt wie die Datei heißt dann geb den namen doch mal bei google ein! 2.:um die offenen Ports zu sehen kannst du mal das ins cmd eingeben :"netstat /a" 3.:Aus dem beitrag ging nicht hervor ob du evtl. eine zusätzliche Firewall hast! falls nein! hol dir eine z.B.: Zone Alarm* oder Sygate** 4.:Wenn du eine Firewall hast und die datei wirklich noch Seperat vorhanden sein sollte (was ich hier fast ausschließe) dürfte die Firewall fragen ob die datei eine verbindung herstellen darf! in der Frage müsste auch die IP stehen zu der die Datei eine Verbindung herstellen will. Die könnte man dann über die Firewall sperren. 5.:100% gehts nur mit neu aufsetzen! Oder (falls du weißt seit wann die datei da ist) vielleicht auch mit der Systemwiederherstellung Die gibts hier: http://www.chip.de/downloads/c1_downloads_13013718.html * und die gibts hier: http://www.sygate.de/

25.03.07, 11:54	#14 (permalink)
olmz Themenstarter Registriert seit: 30.12.04 Likes: 0	1. nein weiß ich nicht... 2. wenn die datei und der prozess für windows "unsichtbar" ist geht das auch nicht 3. zur firewall siehe punkt 2 4 " aber trozdem danke

25.03.07, 12:02	#15 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	richtig, hier war von rootkit die rede, also findest du die nicht einfach mal so. und zum thema firewall einfach mal im wiki lesen. wer sich schon die mühe mit dem rootkit macht, wird wohl auch gleich noch jegliche personal firewall umgehen.

[HaBo]

Trojaner mit Rootkit