- Registriert
- Jan. 2004
- Beiträge
- 282
Windows 2003 Server
- Ersteller guerill4krieger
- Erstellt am
thereal_KrONos
Lieutenant
- Registriert
- Okt. 2004
- Beiträge
- 810
Dann runter mit der Spyware und das System gleich noch immunisieren.
- Registriert
- Jan. 2004
- Beiträge
- 282
gesagt getan, hat scheinbar net viel gebracht. ging gerade wieder los, hab aber screenshots gemacht:
Prozess explorer (unten sind diese dämlichen cmds - hier "nur" 2, weil alle anderen gekillt wurden - man beachte die proz auslastung)
http://www.stueber-vk.com/cpg133/displayimage.php?pos=-1087
und dann die info zur cmd mit pfad und ip...
den angezeigten Pfad gibt es wie gesagt nicht...
http://www.stueber-vk.com/cpg133/displayimage.php?pos=-1086
Prozess explorer (unten sind diese dämlichen cmds - hier "nur" 2, weil alle anderen gekillt wurden - man beachte die proz auslastung)
http://www.stueber-vk.com/cpg133/displayimage.php?pos=-1087
und dann die info zur cmd mit pfad und ip...
den angezeigten Pfad gibt es wie gesagt nicht...
http://www.stueber-vk.com/cpg133/displayimage.php?pos=-1086
thereal_KrONos
Lieutenant
- Registriert
- Okt. 2004
- Beiträge
- 810
Hau doch mal dieses Microsoft Antispywarezeugs runter. Das ist nur ein Witzprogramm und am Ende eher eine Sicherheitslücke, als eine Hilfe gegen Spyware
- Registriert
- Jan. 2004
- Beiträge
- 282
na gut, hab das mal deinstalliert und starte gerade den Server neu. mal schauen obs was gebracht hat mit dem Spybot...
PCB
Lt. Commander
- Registriert
- Dez. 2001
- Beiträge
- 1.691
An deinem Screen kann man sehen, das du dir ein RootKit eingefangen hast, der Ordner knlps ist bekannt: Google
Kam mir eh spanisch vor mit dem Verz. und der Batch die nicht existieren sollen.
Du brauchst das hier: Blacklight von f-secure und den RootKitRevealer von Sysinternals. Hier sind noch ein paar andere Tools gelistet.
Aber Ich würde ganz schnell den Server neu aufsetzen, die Entfernung eines RK kann tricky werden, und wenn man nicht alle Hooks, HiddenServices, ADS usw findet, ist nach kurzerZeit wieder alles verseucht.Da hast du jetzt eine ganz neue Generation von Schädlingen kennengelernt, mich wundert nur das dein RK so auf Laut gemacht hat, normal ist eigentlich das gegenteil, damit der PC möglichst lange verfügbar ist.
Viel Spaß beim Server-Aufsetzen!
PCB
Kam mir eh spanisch vor mit dem Verz. und der Batch die nicht existieren sollen.
Du brauchst das hier: Blacklight von f-secure und den RootKitRevealer von Sysinternals. Hier sind noch ein paar andere Tools gelistet.
Aber Ich würde ganz schnell den Server neu aufsetzen, die Entfernung eines RK kann tricky werden, und wenn man nicht alle Hooks, HiddenServices, ADS usw findet, ist nach kurzerZeit wieder alles verseucht.Da hast du jetzt eine ganz neue Generation von Schädlingen kennengelernt, mich wundert nur das dein RK so auf Laut gemacht hat, normal ist eigentlich das gegenteil, damit der PC möglichst lange verfügbar ist.
Viel Spaß beim Server-Aufsetzen!
PCB
- Registriert
- Jan. 2004
- Beiträge
- 282
Hey, dein Tipp war Gold wert. Vielen Dank!!
Es war tatsächlich ein RootKit installiert. Wie es mir eingefangen hab weiß der teufel. Ich hab es nun mit Blacklight entfernt (hoffentlich).
Das Tool war das einzige was bei mir etwas gefunden hat. Ich hoffe nun, dass das Theater nun vorbei ist.
Wieder erwarten halte ich euch natürlich auf dem laufenden!
Vielen Dank nochmal an alle die geholfen haben!
Gruß Vince
Es war tatsächlich ein RootKit installiert. Wie es mir eingefangen hab weiß der teufel. Ich hab es nun mit Blacklight entfernt (hoffentlich).
Das Tool war das einzige was bei mir etwas gefunden hat. Ich hoffe nun, dass das Theater nun vorbei ist.
Wieder erwarten halte ich euch natürlich auf dem laufenden!
Vielen Dank nochmal an alle die geholfen haben!
Gruß Vince
davidbaumann
Commodore
- Registriert
- Aug. 2004
- Beiträge
- 4.867
Und wieder ein Zombie-PC... Das schlimme daran: er wurde gewarnt!
David
David
- Registriert
- Jan. 2004
- Beiträge
- 282
naja laut den programmen ist der doch nun sauber... oder nicht?
ich hab gerade klausurenblock... dannach installier ich ihn sowieso neu.. aber solange muss er laufen...
ich hab gerade klausurenblock... dannach installier ich ihn sowieso neu.. aber solange muss er laufen...
davidbaumann
Commodore
- Registriert
- Aug. 2004
- Beiträge
- 4.867
Du weisst ja bestimmt dass so ein Rootkit dank API-Hooking verzeichnisse, Dienste und Tasks komplett verstecken kann?
David
David
PCB
Lt. Commander
- Registriert
- Dez. 2001
- Beiträge
- 1.691
Ich kann meinem Vorredner nur zustimmen, die Entfernung eines RootKits ist sehr schwierig durchzuführen. Man kann sich nie sicher sein, das die Entfernungs-Tools das gesamte RK finden und löschen.
Jede neue Version eines RK enthält "Verbesserungen", die es (auch teilweise) vor den akt. Tools verstecken, selbst wenn die Vorgängerversion zu 100% gefunden wurde.
"Dein" Rootkit ist wahrsch. Hacker Defender 1.0.0, ein relativ neues RK das sich vor vielen Tools verstecken kann, es ist sehr fortschrittlich, halt das neueste auf dem "Markt".
Ich bin allgemein überhaupt kein Freund von Neuinstallationen, wenn überhaupt wird mal ein Image zurückgespielt.
Aber bei Infektion mit einem RootKit würde Ich, wenn Ich kein akt. Image habe, den PC sofort (!) komplett neu aufsetzen, vorher am besten die Platte noch mit Low-Level-Formatierung löschen.
PCB
Jede neue Version eines RK enthält "Verbesserungen", die es (auch teilweise) vor den akt. Tools verstecken, selbst wenn die Vorgängerversion zu 100% gefunden wurde.
"Dein" Rootkit ist wahrsch. Hacker Defender 1.0.0, ein relativ neues RK das sich vor vielen Tools verstecken kann, es ist sehr fortschrittlich, halt das neueste auf dem "Markt".
Ich bin allgemein überhaupt kein Freund von Neuinstallationen, wenn überhaupt wird mal ein Image zurückgespielt.
Aber bei Infektion mit einem RootKit würde Ich, wenn Ich kein akt. Image habe, den PC sofort (!) komplett neu aufsetzen, vorher am besten die Platte noch mit Low-Level-Formatierung löschen.
PCB
davidbaumann
Commodore
- Registriert
- Aug. 2004
- Beiträge
- 4.867
Die ausführbaren Dateien auf dem PC inklusive Images, Arwürde ich soweit wie möglich nichtmehr verwenden. Am besten nichts ausser vl mp3s und Videos
Ehrlich gesagt wäre ich da jetzt sehr vorsichtig
du weisst nicht wie der in dein Netz gekommen ist usw.
David
Ehrlich gesagt wäre ich da jetzt sehr vorsichtig
du weisst nicht wie der in dein Netz gekommen ist usw.David
- Registriert
- Jan. 2004
- Beiträge
- 282
Hacker Defender 1.0.0
der war es difinitiv nicht... es war irgendetwas mit b. den genauen namen weiß ich nicht mehr. bzw hab ich gerade nicht greifbar weil ich noch auf der uni bin...
Ich habe die aktuelle PC Welt mal gelesen zu diesem thema und dort gab es die aussage, dass zu jedem root kit ein anti root kit verfügbar ist.. (zumindest zu den älteren) diesen - ich nenn ich nun mal deinstaller - hab ich wie empfohlen bei google gefunden und ausgeführt.
Dannach hab ich nochmal mit jedem empfohlenen tool (systernals, Bitdefender usw) nochmal gescannt und sie aben nichts mehr gefunden.. das das system net 100% sauber ist glaub ich auch net, deswegen ne neuinstallation...
aber alle daten außer mp3 und video daten zu löschen halte ich persönlich ein bisschen übertrieben...
ich möchte es net als panikmache abtun, da ich nach wie vor nicht genau weiß was rootkits sind... sie scheinen ja noch nen recht neues mysterium zu sein, denn die jungs ausm Rechenzentrum meiner Universität konnte damit auch nicht allzuviel anfangen...
deswegen werd ich mal "nur" windows demnächst neu aufspielen aber meine ganzen wichtigen docs, mails, und dateiein werd ich nicht einfach formatieren...
Meine Mutter ist zuhause selbstständig und die wird mir was anderes erzählen wenn ich ihr sage das alles für ar*** ist..
der war es difinitiv nicht... es war irgendetwas mit b. den genauen namen weiß ich nicht mehr. bzw hab ich gerade nicht greifbar weil ich noch auf der uni bin...
Ich habe die aktuelle PC Welt mal gelesen zu diesem thema und dort gab es die aussage, dass zu jedem root kit ein anti root kit verfügbar ist.. (zumindest zu den älteren) diesen - ich nenn ich nun mal deinstaller - hab ich wie empfohlen bei google gefunden und ausgeführt.
Dannach hab ich nochmal mit jedem empfohlenen tool (systernals, Bitdefender usw) nochmal gescannt und sie aben nichts mehr gefunden.. das das system net 100% sauber ist glaub ich auch net, deswegen ne neuinstallation...
aber alle daten außer mp3 und video daten zu löschen halte ich persönlich ein bisschen übertrieben...
ich möchte es net als panikmache abtun, da ich nach wie vor nicht genau weiß was rootkits sind... sie scheinen ja noch nen recht neues mysterium zu sein, denn die jungs ausm Rechenzentrum meiner Universität konnte damit auch nicht allzuviel anfangen...
deswegen werd ich mal "nur" windows demnächst neu aufspielen aber meine ganzen wichtigen docs, mails, und dateiein werd ich nicht einfach formatieren...
Meine Mutter ist zuhause selbstständig und die wird mir was anderes erzählen wenn ich ihr sage das alles für ar*** ist..
davidbaumann
Commodore
- Registriert
- Aug. 2004
- Beiträge
- 4.867
Liest du am besten erstmal das hier: http://de.wikipedia.org/wiki/Rootkit
Du musst halt bedenken, dass dein Angreifer wirklich alles mit dem System machen konnte, und zwar mit Systemrechten.
Word-Dokumtente mit Makros versehen, exe-Dateien infizieren. Normale Mediem wie mp3s, Bilder, Videos und so sollten gefahrenlos sein
David
Du musst halt bedenken, dass dein Angreifer wirklich alles mit dem System machen konnte, und zwar mit Systemrechten.
Word-Dokumtente mit Makros versehen, exe-Dateien infizieren. Normale Mediem wie mp3s, Bilder, Videos und so sollten gefahrenlos sein
David
- Registriert
- Jan. 2004
- Beiträge
- 282
ja, das versteh ich. Aber wenn ich das eigentliche Rootkit entfernt habe, und es existieren nur noch "ausleger" in exe dateien von Programmen und macros in word dokumenten. Findet ein Antivirus Programm diese dann nicht vor dem ausführen?
Vince
Vince
Ähnliche Themen
Windows Server 2008 R2
2 DC 1 Exchange 2003 Server