Dialer / Rootkits

Dieses Thema im Forum "Sicherheit" wurde erstellt von Mr.Ärmel, 30. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Mr.Ärmel

    Mr.Ärmel Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    74
    Hallo!
    heute hat mein antivir-guard einen Dialer entdeckt: DIAL/000133. Der Guard sagt, dass er sich in der Datei Windows\hun-10039.exe und Windows\hun-10024.exe befindet. Ich habe ihn vorläufig mal in Quarantäne verschoben. Kann mir jemand sagen ob dieser gefährlich ist? Und wenn ja, wie bekomme ich ihn dann weg?

    Und dann hätte ich da noch ne Frage:
    habe heute mal rootkit-revealer scannen lassen. Könnte sich bitte jemand mal die Ergebnisse anschauen? :bitte: Ich hab davon nicht so viel Ahnung.
    Ist da alles in Ordnung?

    Danke schon mal im voraus!
     

    Anhänge:

  2. Mr.Ärmel

    Mr.Ärmel Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    74
    Hallo,
    heute hat mein AntiVir-guard noch ein Dialer "DIAL/000133" entdeckt. Habe ihn ebenfalls in Quarantäne verschoben. Habe bereits in Google nach diesem gesucht, aber leider nichts hilfreiches gefunden. Kann es sein, dass sich der ursprüngliche Dialer vervielfältigt hat? Und ist dieser gefährlich? Kann ich ihn ohne weiteres löschen, oder muss ich noch was beachten?
    Wer kann helfen? :bitte:
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also, ich kenne mich mit Rootkitrevealer Logs nicht so gut aus, mach mal einen Scan mit F-Secure Blacklight und poste das Log (wird nach dem Scan im selben Pfad generiert als fslb***.txt)
    AntiVir hat keine gute Datenbank was seine Meldungen angeht, kannst du mal die beanstandete Datei hier überprüfen und das Ergebnis posten.


    Grüße Jasager
     
  4. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Der Rechner ist verseucht...

    Dein AntiVir scheint wohl selbst als RootKit zu arbeiten.. :)

    "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\444c64f4.qua 30.01.2006 20:09 64.10 KB Hidden from Windows API."

    Aber das versteckt sich noch mehr:
    C:\System Volume Information\_restore{CAAF73B2-2AF0-4A01-BDE3-43478164A105}\RP690\A0057297.exe 30.01.2006 20:09 63.82 KB Hidden from Windows API.

    C:\System Volume Information\_restore{CAAF73B2-2AF0-4A01-BDE3-43478164A105}\RP690\A0057298.exe 30.01.2006 20:10 63.68 KB Hidden from Windows API.

    C:\WINDOWS\hun-10039.exe 01.12.2003 17:49 63.82 KB Visible in Windows API, but not in MFT or directory index.
    C:\WINDOWS\hun-10042.exe 15.12.2003 18:09 63.68 KB Visible in Windows API,
     
  5. Mr.Ärmel

    Mr.Ärmel Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    74
    Oh, oh! Hört sich ziemlich übel an!:heul: :(
    @ Wolfgang77: was schlägst du nun vor?

    @ Jasager: F-Secure Blacklight habe ich scannen lassen, doch es findet nichts.
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also ehrlich gesagt ich traue Rootkitrevealer in dem Fall nicht. Hast du die Dialer Datei mal überprüft? Wo hat AntiVir sie eigentlich gefunden (genauer Pfad)? Mache auch mal einen Onlinescan bei Kaspersky und berichte.


    Grüße Jasager
     
  7. Mr.Ärmel

    Mr.Ärmel Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    74
    Also:
    Nr.1 : C:\WINDOWS\hun-10039.exe
    Nr.2 : C:\WINDOWS\hun-10042.exe
    Nr.3 : C:\System Volume Information\_restore{CAAF73B2-2AF0-4A01-BDE3-43478164A105}\RP690\A0057297.exe
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    dann mache mal das mit dem Onlinescan, sowohl der Dateien (nur die ersten beiden) bei Virustotal, als auch dem ganzen System bei Kaspersky.


    Grüße Jasager
     
  9. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Irgendwie muss der Dialer ja auch aktiviert werden, haben wir schon ein aktuelles HiJackThis-Log von dir ??.

    Die Dateien meldet ja auch der Herr Russinovich von Sysinternals..
     
  10. Mr.Ärmel

    Mr.Ärmel Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    74
  11. Mr.Ärmel

    Mr.Ärmel Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    74
    @ Wolfgang77
    Ach ja. Noch was zu deinem obigen post:
    AntiVir arbeitet nicht als rootkit (denke und hoffe ich). Diese Datei hat der rootkit-revealer nur gefunden, weil ich die Dialer in das Quarantäne Verzeichnis verschoben habe.

    "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\444c64f4.qua 30.01.2006 20:09 64.10 KB Hidden from Windows API."

    Dises "INFECTED"- Verzeichnis ist das Quarantäne Verzeichnis von AntiVir. (glaub ich zumindest, aber korrigier mich, wenn ich falsch liege).
     
  12. Mr.Ärmel

    Mr.Ärmel Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    74
    Hallo,
    wie siehts jetzt eigentlich mit e-banking, usw. aus. Hat der Dialer oder das ganze andere zeugs was rootkit-revealer gefunden hat irgendeinen Einfluss auf das. D.h. darf ich jetzt eigentlich e-banking usw. betreiben?
    Übrigens bin ich ab morgen nicht mehr da. Ich komme erst am sonntag wieder zurück. Also bitte nicht wundern, wenn morgen oder übermorgen keine Rückmeldung mehr von mir kommt. :)
    Ich danke euch für eure Hilfe. Aber ab Sonntag bräuchte ich euch dann wieder. Bis dann!!
     
  13. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Ja das ist dann eine Rootkit-Funktion wenn du mit deinem Explorer (Dateimanager) nicht an die Datei / Verzeichnis kommst (444c64f4.qua), sie also vor Windows und seinem Application Programming Interface (API) versteckt wird.
     
  14. Mr.Ärmel

    Mr.Ärmel Byte

    Registriert seit:
    24. Januar 2006
    Beiträge:
    74
    Hi! Da bin ich wieder! :)
    Also, ich hab die infizierten Dateien jetzt einfach mal gelöscht. Bis jetzt ist keine Meldung mehr wegen einem Fund gekommen. (Ich hoffe, dass das auch so bleibt). Hab dann nochmal den Rootkit-Revealer scannen lassen. (.log im Anhang).
    Kann mir jemand sagen, was dieses HKLM\Software\Classes..... soll?:confused:
    Und was bedeutet "Key name contains embedded nulls" ?
    Naja, jedenfalls zeigts nix mehr von den Dialern an und auch nicht mehr sowas: "was Hidden by Windows API". Aber trotzdem möchte ich gerne wissen, was das andere zeugs bedeutet.
    Ach ja. @ Wolfgang77: was meinst du damit, dass der Herr Russinovich auch die Dateien meldet. Soll das heißen, dass nicht nur ich dieses Problem hab? :confused:
    Danke für eure Hilfe
     

    Anhänge:

Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen