ich habe hier gerade den rechner eines Bekannten zur "Generalüberholung", ein richtiges Sammelsurium an Viren, Trojanern, Dialern und Co. Das meist davon ist eher trivial, was mir aber Kopfzerbrechen bereitet ist eines der drei darauf befindlichen Rootkits. Es lässt sich auf Teufel komm raus nicht beikommen. Prinzipiell wäredie Kiste reif für eine komplette Neuinstallation, was auch unumgänglich ist, trotzdem würde ich dem letzten Rootkit gerne beikommen was sich aber als schwer erweist. Hier mal die Daten denen ich bisher auf die Spur kam:
-
- Virenscanner erkennen es nicht. Getestet mit Avira, ClamAV, PCzillin, Bitdefender und AVG
-
- ProcessExplorer zeigt nichts außergewöhnliches auf den ersten Blick
-
- RootkitRevealer von Sysinternals findet auch nichts
-
- Es sind keine fremde Dienste installiert
-
- Bisher konnteich keine offenen Ports entdecken
-
- Die üblichen Programme zum Entdecken von Spyware, Adware und Co finden auch nichts
-
An sich deutet nichts auf einen Schädling hin, aber das Ding ist drauf, hier mal die bisher entdeckten Auswirkungen des Teiles:
-
- Wenn man sich im Gerätemanager die ausgeblendeten Nicht-PnP-Geräte anschaut, so sind dort im Schnitt drei kryptische Geräte vorhanden. Deinstalliert man eines, so taucht dafür ein neues auf
-
- Unter dem Systemverzeichnis/system32/config/ sind einige Dateien komplett verriegelt, es gibt keine Möglichkeiten ihnen bei zu kommen. Eine oberflächliche Untersuchung der Dateien mit Knoppix zeigt, daß sich darin ausführbare Binärdaten und Listen mit Mailadressen für Spamming, IP-Adressen und URLs finden
-
- Der Schädling hat sich in den Explorer eingehängt und beendet diesen z.B. wenn man auf das Verzeichnis zugreifen will
-
- Ebenso ist der Internet Explorer betroffen, bei jedem Aufruf einer Seite wird eine Anfrage auf eine IP im Bereich von 64.x.x.x ausgelöst (mehrere IPs, gehören zu MS-Hotmail, nicht genauer untersucht)
-
- Windows-Update läuft nicht, Automatische Updates lässt sich nicht zuverlässig starten
-
Letzendlich weiß ich bisher nicht wirklich viel über den Schädling, außer daß er da ist, daß er das System zumindest für den Versand von Spammails nutzt und daß er mindestens ein virtuelles Gerät installiert hat, das sich nicht entfernen lässt. zZudem ist es keines der gängigen Rootkits. Am markantesten sind die Dateien im Systemverzeichnis unter system32/config/ und die Tatsache, daß es auch im abgeischerten Modus aktiv ist.
Hat schon mal jemand mit so einem Teil zu tun gehabt? Weiß jemand worum es sich dabei handelt?
xafford
mmk
