Rootkit auf Heft-DVD (Falschmeldung)

Manchmal erscheinen Dinge in einem bestimmten Kontext anders, als sie gemeint sind. Das ist wohl auch hier der Fall. Dein Beitrag Deoroller ist dann aber zumindest offtopic. John W vermutet einen Zusammenhang von Fehler und Installation von Programmen von Heft-CD. Und Du willst darauf hinweisen, dass Virtuelle-Systeme etc. eine trügerische Sicherheit bieten. Das hat nichts miteinander zu tun. Oder sehe ich das falsch?

Dank an Fanatyc, der sich immerhin die Mühe gemacht hat, die DVD noch einmal zu prüfen. Damit scheint ja ein Zusammenhang zwischen Fehler und DVD ausgeschlossen zu sein.

 

Hhhmm, da ist doch eine Menge Interpretation im Spiel! Um juristisch verwertbare Beweise bezüglich Ihrer Aussage zu haben, bedürfte es dann auch eindeutiger Aussagen von deoroller. Seine Original-PCW-Zitate in den Zusammenhang mit Geschäftsschädigung zu rücken, ist jedenfalls übertrieben und wirklich nicht mehr witzig.

Spekulationen sollten IMHO nicht in dieser Weise hier gegen einen Forums-User verwendet werden. Macht eine Menge Druck auf deoroller und schlicht - IMHO again - keinen guten Eindruck von piggy.

Thor

 

Tja, so ist das im Forum. Statt über die Sache zu diskutieren (John W hat wahrscheinlich schon lange kein Interesse mehr an diesem Thread), klauben wir jetzt die Worte.
Ich will hier nicht den Oberlehrer machen, aber ich schrieb: "lässt sich [...] so lesen". Natürlich ist das eine Interpretation. Was sonst? Aber auch andere Leser könnten das so interpretieren, wie ich es gelesen habe. Sprache ist eben nicht eindeutig. Da helfen auch keine Smileys.
Bevor man in einem Forum postet, sollte man sich überlegen, welchen Bezug das Posting zu einem Beitrag hat. Damit werden Missverständnisse vermieden. Für allgemeines Gequassel gibt es ja noch die z.B. Trollwiese.

 

OT
Meine ganz private Meinung dazu:

Als ich den Titel (Rootkit) gelesen habe, war das meine erste Reaktion:
Nun ist dies glücklicherweise eine Falschmeldung. Ich finde es aber in Ordnung, dass hier ein Mitglied der Redaktion sofort zur Stelle ist, die Sache aufzuklären. Ihn dafür in dieser Weise anzugehen, wie hier geschehen ... (Muß ich nicht verstehen, oder?)

Zum Thema:
Um anderen den Schrecken zu ersparen, habe ich den Titel abgeändert.

MfG
Rattiberta

 

Was "John W." meint festgestellt zu haben, ist in mehrfacher Hinsicht zweifelhaft. Kurz gesagt... *blubb*


Themenwechsel...

@piggy
> Von daher ist eine Infektion des PCs über Programme von der
> Heft-CD mit sehr großer Wahrscheinlichkeit auszuschließen.
Ist o.k. - Wie auch immer hier der Stichprobenraum definiert ist...

> Dank an Fanatyc, ...die DVD noch einmal zu prüfen. Damit scheint
> ja ein Zusammenhang zwischen Fehler und DVD ausgeschlossen zu sein.
Es könnte bestenfalls o.g. Wahrscheinlichkeit erhöhen. "Scheinen" tut da garnix. Diese Implikation ist unzulässig.


Also bleiben wir mal kleinlich: Sind Doppelaccounts von Red.Mitgliedern o.k.(?) und wäre es (zweitens) beim Auftauchen im Forum nicht angebracht reale(re) Nicks zu benutzen? Im Zusammenhang wäre IMHO ein PcW-Logo geeigneter bzw. angebracht...

Ach noch etwas: Es macht einen Unterschied, ob ich eine "Durchsage" bei irgendeinem User oder einem 8000-er Regular veranstalte. Schliesslich haben wir soviele / zuviele davon?! Wir, das scheint ohnehin das Stiefkind der Offiziellen zu sein. - Jedenfalls könnte ich eher auf Deine Beiträge verzichten, als auf die von Deoroller, geht rein?!

Ratschlag: Bei vermuteten Kommunikationsstörungen mal fragen, einfach vorher erst fragen.

-Ace-

 

Könnte sein, aber nach einem Neustart (nachdem ich dem Player gestartet hatte) fing die S****** an...

C:\Dokumente und Einstellungen\<geheim>\Lokale Einstellungen\Temp\Rootk~001.exe
Oder so wurde angezeigt...

 

(eigener Troll-Mode = AN)
> Oder so wurde angezeigt PLUS "Baeh" dahinter...
(Hoecker-Modus) ... Du bist raus. - Hat zu mehr nicht gereicht?!

 

Und John W hat doch recht.
Hab mir extra die Scheibe besorgt, um mal zu sehen ob da was dran is.
Da is was dran. Ich bin jetzt verseucht.

HJT-Auswertung

Screenshot vonne Taskmanager




Und ich Troll leere immer dir Temp-Ordner. Auf c: hab ich ewig nich nachgeschaut.

 

Und was ist das genau "Rootkit4ever1.exe", Google kennt das Teil nicht. Lasse die *.exe hier prüfen und melde das Resultat:

Online Virenprüfung:
http://virusscan.jotti.org/de/

http://www.kaspersky.com/de/scanforvirus

 

Bei jotti war nix. "Keine Viren gefunden"
Bei Kaspersky auch nüscht.

Ich hab eine bei mir mal geupt. Is nich groß. Geht schnell.
http://hullu-poro.de/virus/Rootkit4ever.exe

Kann da mal jemand nachschauen?

 

Vielleicht könnte ja Piggy mal einen Selbstversuch starten, anstatt die User hier anzublaffen und sich auf die selbstlosen Versuche seiner Kunden zu verlassen (Ist auch nicht gut für das Geschäft). Er wird ja wohl ne DVD zu Hause haben.

BTW: Ein Rootkit, das in den laufenden Prozessen auftaucht und auch noch rootkit heißt? Na ja, ich weiß nicht.

 

John W
C:\Dokumente und Einstellungen\<geheim>\Lokale Einstellungen\Temp\Rootk~001.exe

Der Troll
C:\Rootkit4ever1.exe

 

Ich habe mir einmal den Hex-Code der *,exe angeschaut.. da ist folgendes zu finden

Code:

ð  ÿÿ€ & E i n f a c h :   E i n e   F a r b e             	  P4 - Š 
 ñ  ÿÿ€ & M i t t e l :   Z w e i   F a r b e n             	  P4 = Š 
 ò  ÿÿ€ & S c h w e r :   V i e r   F a r b e n             
 
P( X 2  
   ÿÿ€ O K               
Pj X 2     ÿÿ€ A b b r e c h e n       
 ÿÿ        À À     ¦ E     S p i e l e n d e    
  M S   S h e l l   D l g             
 
P 0 2  
   ÿÿ€ & J a                 
P[ 0 2     ÿÿ€ & N e i n                 P  ˜  ÿÿ  ÿÿ‚ H e r z l i c h e n   G l ü c k w u n s c h ,   S i e   h a b e n   g e w o n n e n !                 P  ˜  ÿÿ  ÿÿ‚ M ö c h t e n   S i e   e i n   a n d e r e s   S p i e l   b e g i n n e n ?          S p i d e r  S p i d e r & S o l l   e i n   n e u e s   S p i e l   g e s t a r t e t   w e r d e n ? % M ö c h t e n   S i e   d i e s e s   S p i e l   n e u   s t a r t e n ? D E s   d a r f   k e i n e   n e u e   R e i h e   g e g e b e n   w e r d e n ,   s o l a n g e   e i n   P l a t z   l e e r   i s t .        S o f t w a r e \ M i c r o s o f t \ S p i d e r  W n d S t a t e  W n d X  W n d Y  W n d W i d t h 	 W n d H e i g h t = ©   1 9 9 8 - 2 0 0 0   M i c r o s o f t   C o r p o r a t i o n .     
 A l l e   R e c h t e   v o r b e h a l t e n . j E s   w u r d e   b e r e i t s   e i n   S p i e l   g e s p e i c h e r t .   S o l l   d a s   v o r h a n d e n e   S p i e l   d u r c h   d a s   a k t u e l l e   S p i e l   e r s e t z t   w e r d e n ? L S o l l   d a s   a k t u e l l e   S p i e l   v e r w o r f e n   u n d   d a s   g e s p e i c h e r t e   S p i e l   g e l a d e n   w e r d e n ? $ S p i e l   k a n n   n i c h t   g e s p e i c h e r t   w e r d e n .   S p i e l   k a n n   n i c h t   g e l a d e n   w e r d e n . 
 s p i d e r . s a v  A n i m D e a l 
 S a v e O n E x i t  L o a d A t S t a r t 
 P r o m p t S a v e 
 P r o m p t L o a d 	 H i g h S c o r e  W i n s  L o s s e s 
 S t r e a k W i n s 

Unter Eigenschaften zu der Datei ist Microsoft angegeben..
Google kennt die Dateinamen bisher nicht.
Bist du sicher dass das von der DVD stammt ?
Scheint ein Spiel zu sein, wie gefährlich das ist kann ich dir nicht sagen.

 

@poro

na da bin ich mal gespannt, was noch so kommt

 

Die wollen uns veräppeln. Bei der Datei unter http://hullu-poro.de/virus/Rootkit4ever.exe handelt es sich um Spider Solität. Binär identisch mit Spider.exe eines Win XP SP2. Das kann wohl kaum von der Heft-CD stammen. Also jedenfalls keine Rootkit oder was auch immer.

Moderator oder Moderatorin: Ich habe keine Lust mehr, mich hiermit länger zu befassen. Bitte wenn möglich diesen Thread auf die Trollwiese oder ins Nirwana verschieben. Da können die Kinder dann weiterspielen (auf der Trollwiese natürlich und nicht im Nirwana)

 

Hallo,

Irgendwie hoffe ich jetzt einfach mal, dass das Leben auch für Redaktionsmitglieder kein Wunschkonzert ist.
Im übrigen wäre es eigentlich mal längst angebracht hier einen Sticky mit der Problematik "Hilfe die PC-Welt verteilt Viren" zu platzieren, vielleicht auch mit einer Erklärung was Risktools sind usw., hier wird ca. jeden zweiten Monat ein Thread mit diesem Thema eröffnet.
Aber das ist wahrscheinlich von mir viel zu produktiv gedacht. In diesem Sinne.


Grüße Jasager

 

Da bekommt er aber jetzt 14-Tage Sperre der "Poro"..
Die Datei ist tatsächlich identisch mit der.. von Win XP

\WINDOWS\system32\spider.exe

 

Die PC Welt Scripte die von einiger AV-Software als gefährlich eingestuft werden.. das kommt öffter vor .. stimmt. Und halt das überempfindliche AntiVir..

 

Eine ernstgemeinte Entschuldigung an alle, die nun doch gedacht haben, auf der PC-Welt-Scheibe sei etwas bösartiges.

Das war nich lustig, was ich da verbrochen habe. War halt ne plumpe Veräpple.

Wie PC-WELT Redaktion "piggy" schon sagte

 

"John W" und "Poro" sind also virtuell identisch?! - Von den anwesenden MODs wurde NICHT auf Existenz der Datei dieses Namens (Rootkit4ever.exe) oder der Größe (539.136) auf einer DVD/ CD der PcWelt gecheckt?! *Sauber*

Ihr bekommt doch noch jeder dieses DVD-Gratis-Abo, oder?!

Dass die Datei eine modifizierte Spider-Variante (vom SP1) ist, hatte ich durch Laden des "RootKits" in den Text-Editor auch so herausbekommen -> bin.Suche nach enthaltenen Strings. - Größe und veränderte Module liesen mich auf ein Neu-Compilat vermuten... - O.K. = fauler Zauber.

Falls das eine Inszenierung war, Poro, kommst Du mit 14 Tagen gut weg. - "Veräpple" wäre der Einstieg auf ein Fremdthema. - Kann ich nicht nachprüfen per MODCP.

---snip

@Jasager
> Sticky
Gott bewahre. - Schon wieder Stickies, die keine Sau liest... ganz unten-> RootKit-Res. reichen völlig aus.