Aphex Rootkit 2005 Befall

Dieses Thema im Forum "Sicherheit" wurde erstellt von DarkPressure, 3. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. DarkPressure

    DarkPressure Byte

    Registriert seit:
    6. Mai 2005
    Beiträge:
    32
    Unglücklicherweise habe ich mich mit diesem Rootkit infiziert.
    Durch dieses Rootkti wurde ein Ordner Test versteckt im Windows Verzeichnis.
    Zum Zirtpunkt des Ausführens reagierte kein einziges Programm mehr ständig "read" Fehler.
    Ich entschied mich im abgesicherten Modus mein Kaspersky einzusetzen was auch funktionierte der Ordner war nicht mehr versteckt und das Rootkit anscheinend entfernt, aber einige Programme streicken dennoch.
    Der automatischen Windows Updater gibt ständig Fehler aus genauso wie Installer.
    So sehen dei Fehler aus:
    [​IMG]
    Jemand eine Idee?
     
  2. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.608
    Kennst du den Servicenamen?
    Den könntest du im abgesicherten Modus in der Registry löschen.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
     
  3. DarkPressure

    DarkPressure Byte

    Registriert seit:
    6. Mai 2005
    Beiträge:
    32
    Habe ich probiert.
    Habe mich entschieden "Letzte als funktionierend bekannte Konfiguration verwenden"
    Mittlerweile bekomm ich keine "read" Fehler mehr.
    Nun ist es wuauctl hat einen Fehler festgestellst und bei allen steht unter Details, dass der Fehler in der kernel32.dll liegt.
    Hat jemand eine Idee wie man die wieder zur Originalversion herstellt?
     
  4. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    bei einem Backdoor oder Rootkit sollte das System immer formatiert werden, dies wird auch von Microsoft empfohlen.

    Da dein On-Access-Scanner die Infektion nicht verhindern konnte, wenn der On-Demand-Scanner fündig wird, ist es zu spät, und offensichtlich kein sauberes Image (Backup) der System-Partition existiert bleibt dir nichts anderes übrig als neu zu installieren.

    Ein Rootkit öffnet eine Hintertür zu deinem System, kein Mensch kann dir sagen welche Veränderungen bereits per Fernzugriff vorgenommen wurden.

    Dein System ist grundsätzlich kompromittiert und nicht mehr vertrauenswürdig. Eine Ferndiagnose ist für die Leser hier nur möglich wenn du ein HiJackThis-Log postest.

    [1]Strider GhostBuster Rootkit Detection
    http://research.microsoft.com/rootkit/

    [2]
    http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

    The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

    Wolfgang77
     
  5. DarkPressure

    DarkPressure Byte

    Registriert seit:
    6. Mai 2005
    Beiträge:
    32
    Ein Rootkit is kein Backdoor
    Rootskits verstecken lediglich Backdoors
    Die Infizierung fand ruch mich selbst statt nicht durh einen Inet Download.
    Das Rootkit ist mittlerweile entfernt .
    Anscheinend das Problem auch von selbst gelöst.
    Die kernel32 DLL ist wieder funktionsfähig
    Damit hat sich dies erledigt.
    Danke für jede Hilfe :jump:
     
  6. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Hat auch niemand behauptet.
    Ach...du fabrizierst die?

    Wie hast du das gemacht ohne Windos neu aufzusetzen?
    Damit wirst du reich !!! :D
     
  7. DarkPressure

    DarkPressure Byte

    Registriert seit:
    6. Mai 2005
    Beiträge:
    32
    Ich fabrizier die lol...
    Jedenfalls ist dieses Rootkit glücklichwerweise Source offen
    So konnte ich die Wirkunsweise studieren und Stück für Stück entfernen
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen