![[HaBo]](/styles/default/logoklein.png){kind=small}
tl;dr: Hat schon jemand mit ZeroAccess/rootkit.sirefef/Max++ Bekanntschaft gemacht?
Moin. Habe in den letzten Tagen auf der Arbeit versucht rauszufinden, warum eine WinXP-VM von einem unserer User plötzlich verrückt spielt. Folgende Symptome:
- Programme können plötzlich nicht mehr ausgeführt werden, folgende Fehlermeldung: "Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item."
- In der Systemsteuerung unter Add/Remove Programs ließen sich keine Windows-Komponenten mehr entfernen (der klick auf das Symbol dafür links brachte eine Fehlermeldung mit kaputten/fehlenden DLLs, in unserem fall wsock32.dll und iis.dll). Ich wollte dort IE Extended Security Deinstallieren, da obiges Symptom teilweise auch dadurch entstehen kann.
- Virenscanner zerschossen. Microsofts FEP war dauerhaft deaktiviert und ließ sich nicht reaktivieren (Errorcode 0xIrgendwas, habe ich mir nicht gemerkt. Entspricht aber auch der Meldung "Access Denied/Missing Permissions". MalwareBytes lies sich einmal installieren und starten, aber ist während dem Scannen abgestürtzt.
Natürlich habe ich erst nach viiielen Versuchen mal den IE gestartet und damit nach etwas gegoogelt. Ein Klick auf die Suchergebnisse hat mich dann jedesmal über marveloussearchsystem.com (oder so in etwa) auf eine bestimmte Seite umgeleitet. Da war dann klar, dass die VM verseucht ist.
Gegoogelt -> Es ist das ZeroAccess Rootkit, auch bekannt als rootkit.sirefef oder Max++
Ich habe jetzt mal das Removal-Tool von Bitdefender drüberlaufen lassen und das hat 4 Files gefunden. Mache gerade noch ein Backup von der VM für alle Fälle, danach lasse ich das System dann cleanen und neustarten.
Ich weis, dass ein simples entfernen nicht sicher ist und ich werde morgen noch SARDU auf die VM hetzen, aber falls jemand von euch das schonmal auf nem PC hatte: Wurden die fehlenden Benutzer-Rechte automatisch wieder hergestellt nachdem das Rootkit entfernt wurde? Und ich habe gelesen, dass sich das Rootkit derzeit noch nicht weiterverbreitet, wisst ihr was genaueres?
Gruß, Forks
PS: Jaja, PC infiziert -> Platt machen einzige Möglichkeit. Ist bekannt. Werde ich aber warscheinlich erst in ein paar Tagen machen können und daher erstmal so...
PS++: Removal-Tool hat nichts gebracht, wird also definitiv platt gemacht ;(.
Moin. Habe in den letzten Tagen auf der Arbeit versucht rauszufinden, warum eine WinXP-VM von einem unserer User plötzlich verrückt spielt. Folgende Symptome:
- Programme können plötzlich nicht mehr ausgeführt werden, folgende Fehlermeldung: "Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item."
- In der Systemsteuerung unter Add/Remove Programs ließen sich keine Windows-Komponenten mehr entfernen (der klick auf das Symbol dafür links brachte eine Fehlermeldung mit kaputten/fehlenden DLLs, in unserem fall wsock32.dll und iis.dll). Ich wollte dort IE Extended Security Deinstallieren, da obiges Symptom teilweise auch dadurch entstehen kann.
- Virenscanner zerschossen. Microsofts FEP war dauerhaft deaktiviert und ließ sich nicht reaktivieren (Errorcode 0xIrgendwas, habe ich mir nicht gemerkt. Entspricht aber auch der Meldung "Access Denied/Missing Permissions". MalwareBytes lies sich einmal installieren und starten, aber ist während dem Scannen abgestürtzt.
Natürlich habe ich erst nach viiielen Versuchen mal den IE gestartet und damit nach etwas gegoogelt. Ein Klick auf die Suchergebnisse hat mich dann jedesmal über marveloussearchsystem.com (oder so in etwa) auf eine bestimmte Seite umgeleitet. Da war dann klar, dass die VM verseucht ist.
Gegoogelt -> Es ist das ZeroAccess Rootkit, auch bekannt als rootkit.sirefef oder Max++
Ich habe jetzt mal das Removal-Tool von Bitdefender drüberlaufen lassen und das hat 4 Files gefunden. Mache gerade noch ein Backup von der VM für alle Fälle, danach lasse ich das System dann cleanen und neustarten.
Ich weis, dass ein simples entfernen nicht sicher ist und ich werde morgen noch SARDU auf die VM hetzen, aber falls jemand von euch das schonmal auf nem PC hatte: Wurden die fehlenden Benutzer-Rechte automatisch wieder hergestellt nachdem das Rootkit entfernt wurde? Und ich habe gelesen, dass sich das Rootkit derzeit noch nicht weiterverbreitet, wisst ihr was genaueres?
Gruß, Forks
PS: Jaja, PC infiziert -> Platt machen einzige Möglichkeit. Ist bekannt. Werde ich aber warscheinlich erst in ein paar Tagen machen können und daher erstmal so...
PS++: Removal-Tool hat nichts gebracht, wird also definitiv platt gemacht ;(.
Zuletzt bearbeitet: