WinFuture-Forum.de: Virenfund, Name: Win32:rootkit-gen [rtk] - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Windows XP
  • 2 Seiten +
  • 1
  • 2

Virenfund, Name: Win32:rootkit-gen [rtk] kann der Virus großen Schaden anrichten?


#1 Mitglied ist offline   Daniela Topic 

  • Gruppe: aktive Mitglieder
  • Beiträge: 453
  • Beigetreten: 21. Oktober 07
  • Reputation: 7
  • Geschlecht:unbekannt

geschrieben 21. November 2009 - 11:10

Hallo zusammen,

heute Morgen hat mein Virenprogramm GData InternetSecurety 2010 folgenden Virus gefunden:
Win32:Rootkit-gen [Rtk]
Die betroffene Datei wurde in die Quarantäne verschoben, Name der Datei lautet
Datei: C:\System Volume Information\_restore{Buchstabensalat rausgenommen}\RP310\A0061768.exe
Die Datei wurde in die Quarantäne verschoben.

Nochmal etwas anders dargestellt:Objekt: f55f603a19.exe
Pfad: C:\Dokumente und Einstellungen\danmar\Anwendungsdaten\Macromedia\Common
Status: Datei in Quarantäne verschoben

Ich habe im Internet nachgesehen, aber da gibt es so unterschiedliche Aussagen, also habe ich bei dem tel.
Service von GData InternetSecurety angerufen.
Der Mitarbeiter meinte, in der Quarantäne lassen, überprüfen ob alle Programme funktionieren und dann die befallenen Dateien nach 2 Wochen löschen.
Nun hatte ich im www. gelesen das Kennwörter mit dem Virus (Onlinebanking) ausspioniert werden können.
Also habe ich erstmal die Passwörter & Benutzername geändert, aber von dem Netzwerk-Laptop aus und nicht von dem betroffenen PC aus! Freigaben zwischen dem Netzwerk gibt es nicht, ist nur wegen Wlan (verschlüsselt)
Wer kann mir mehr Informationen zu dem Virus mitteilen und welchen Schaden kann er angerichtet haben?
Für informationen bin ich dankbar! Ich vermute, meine Passwörter bezüglich Foren muss ich auch ändern oder was meint Ihr?

Gruß

Martin

Dieser Beitrag wurde von Daniela Topic bearbeitet: 21. November 2009 - 11:11

0

Anzeige



#2 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 21. November 2009 - 11:58

Beitrag anzeigenZitat (Daniela Topic: 21.11.2009, 12:10)



Nimm eine Linux Live CD, wie zum Beispiel Knoppix.
Mounte die Partition, auf der sich die Windows Seuche befindet
und lade die suspekten Dateien zu Virustotal hoch:
http://www.virustotal.com/de/
Virustotal überprüft die suspekten Dateien mit
ca. 3 Dutzend Virenscanner Engines.
Die suspekten Dateien werden den beteiligten Firmen
zur Verfügung gestellt, so das alle beteiligten Virenscanner Hersteller
die Chance erhalten Virensignaturen zu erstellen, wenn die das für Schadsoftware halten.

Wenn deine Windows-Kiste verseucht ist,
dann geht es hier weiter:
Erklärungen & How To's, Rund um das Thema Sicherheit im Sicherheitsbereich vom Winfuture Forum

Die übliche und einzig seriöse Methode ist wie immer alles
Plattmachen und von zuverlässigen Installationsmedien alles
neu zu installieren. Kompromittierung ist die etwas vornehmere
Nomenklatur, um auszudrücken das die Kiste verseucht ist und platt
gemacht gehört. :D
0

#3 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.041
  • Beigetreten: 14. Juli 07
  • Reputation: 542
  • Geschlecht:unbekannt

geschrieben 21. November 2009 - 11:59

Was Microsoft zu Kompromittierung sagt und wie man sein System wieder sauber bekommt
Microsoft Kompromittierung
Das ganze auf deutsch.
0

#4 Mitglied ist offline   Shensara 

  • Gruppe: Mitglieder
  • Beiträge: 1
  • Beigetreten: 17. November 09
  • Reputation: 0

geschrieben 21. November 2009 - 12:04

Beitrag anzeigenZitat (Samstag: 21.11.2009, 11:59)

Was Microsoft zu Kompromittierung sagt und wie man sein System wieder sauber bekommt
Microsoft Kompromittierung
Das ganze auf deutsch.


Vielen Dank für die Hilfe, hatte das gleiche Problem :D

Dieser Beitrag wurde von Shensara bearbeitet: 21. November 2009 - 12:04

0

#5 Mitglied ist offline   Daniela Topic 

  • Gruppe: aktive Mitglieder
  • Beiträge: 453
  • Beigetreten: 21. Oktober 07
  • Reputation: 7
  • Geschlecht:unbekannt

geschrieben 21. November 2009 - 12:40

erstmal danke für Euer schnelles Feedback!
Nun, die betroffene Datei liegt ja bereits verschlüsselt in der Quarantäne,
also müsste ich die zurückholen. Dabei ist mir dann aber auch nicht ganz wohl!
Das es so schlimm ist habe ich nicht vermutet, ich habe jedoch auch über GData
die Möglichkeit die betroffenen Ordner per Email-Versand überprüfen zu lassen.
Wenn ich Internetkopfgeldjäger richtig verstehe, triffst du nicht konkret die Aussage
das es sich hierbei um eine echten Virus handelt, sondern dass übergeprüft werden
muss ob es ein Schadvirus ist!

Verstehe ich Dich richtig?
0

#6 Mitglied ist offline   Internetkopfgeldjäger 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.718
  • Beigetreten: 29. Januar 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Interessen::-)

geschrieben 21. November 2009 - 12:51

Beitrag anzeigenZitat (Daniela Topic: 21.11.2009, 13:40)



Die Aussage zuverlässig zu treffen, ob das eine Schadsoftware ist,
oder nicht, nur auf Grund des Forenpostings, das ist unmöglich.
Ein Dateiname ist ja auch bloß Schall und Rauch.
Offensichtlich verändert sich der Dateiname auch noch.
Virustotal bietet den großen Vorteil, das man sich da nicht nur
auf einen einzigen Virenscanner verlässt, sondern das da gleich
ca. 3 Dutzend Virenscanner suspekte Dateien überprüfen.
0

#7 Mitglied ist offline   Daniela Topic 

  • Gruppe: aktive Mitglieder
  • Beiträge: 453
  • Beigetreten: 21. Oktober 07
  • Reputation: 7
  • Geschlecht:unbekannt

geschrieben 21. November 2009 - 14:33

wie werden denn eigentlich durch Viren Passwörter oder Benutzernamen abgegriffen!
Geschieht das beim einloggen oder wie hat man sich soetwas vorzustellen?

Martin
0

#8 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.349
  • Beigetreten: 08. April 06
  • Reputation: 891
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 21. November 2009 - 15:36

Das geschieht anhand von sogenannten "Keyloggern"... Das heißt: Was du eingibst wird dort erstmal zwischengespeichert.

"Optimal" wird natürlich dabei nach Standardformularelementen gescant.

Ganz wichtig: Wenn du dich dafür interessierst, solltest du dich mal schlau machen wo der Unterschied zwischen:

Malware, Virus, Trojaner, Keylogger, Rootkit etc

ist :(

Manche hängen zusammen, manche wiederum nicht.

Gruß,

Stefan
0

#9 Mitglied ist offline   DanielDuesentrieb 

  • Gruppe: aktive Mitglieder
  • Beiträge: 9.344
  • Beigetreten: 15. Januar 06
  • Reputation: 274
  • Geschlecht:Männlich
  • Wohnort:Troisdorf

geschrieben 21. November 2009 - 15:37

Zitat

Geschieht das beim einloggen oder wie hat man sich so etwas vorzustellen?
Si. Soweit ich weiß, loggt der all das, was du in diverse Felder eingibst und schick das gleich weiter an einen Rechner, mit dem der Hacker dann dein Konto nutzen kann.
0

#10 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.809
  • Beigetreten: 19. August 04
  • Reputation: 1.435
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 21. November 2009 - 15:39

Ist doch nicht schwer sowas.

Das Teil ist einen Keylogger, welcher jeden Tastenanschlag irgendwo aufzeichnet und bei Gelegenheit an eine feste Adresse oder einem IRC Channel sendet. Der Empfänger muss dann nur noch das ganze Auswerten und hat dann eigentlich alles, was Du so eingetippt hast, vor sich stehen.

Böses Teil.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#11 Mitglied ist offline   Daniela Topic 

  • Gruppe: aktive Mitglieder
  • Beiträge: 453
  • Beigetreten: 21. Oktober 07
  • Reputation: 7
  • Geschlecht:unbekannt

geschrieben 21. November 2009 - 15:53

Danke für Euer Feedback,

ich habe heute den Win32:Rootkit-gen [Rtk] auf meinem Rechner gefunden.
Die befallenen Dateien sind bereits wie bereits von mir unter Windows XP Rubrik
beschrieben verschlüsselt in der Quarantäne.

Bedeutet über den PC nie mehr online Banking oder Einkaufen!
So ein MIST, aber danke für die guten Hineise.

Grüße
0

#12 Mitglied ist offline   Alfred E. Neumann 

  • Gruppe: aktive Mitglieder
  • Beiträge: 103
  • Beigetreten: 02. Juli 08
  • Reputation: 0

geschrieben 21. November 2009 - 16:03

Hallo,
als erstes solltest du von einem sauberen Rechner aus deine Zugangsdaten, Passwörter usw. ändern. Von dem befallenen Rechner aus solltest du natärlich erst wieder shoppen oder banken, wenn er wieder sauber ist.
Bei einem solchen Befall ist es am sichersten, das System neu aufzusetzen. Die Wartezeiten während der Neuinstallation solltest du damit verbringen, über dein Surfverhalten nachzudenken, irgendwie ist der Mist ja auf deinen rechner gekommen.
0

#13 Mitglied ist offline   Daniela Topic 

  • Gruppe: aktive Mitglieder
  • Beiträge: 453
  • Beigetreten: 21. Oktober 07
  • Reputation: 7
  • Geschlecht:unbekannt

geschrieben 21. November 2009 - 16:23

das System neu aufzusetzen, bedeutet alles muss von den Festplatten gelöscht-formatiert werden? Programme, Ordner, Betriebssystem alles neu drauf installieren da bin ja ewig mit beschaftigt.

Surfverhalten überdenken ist gut, wo kommt der Mist her, GData Firewall hat den Virus ja durchgelassen.
0

#14 Mitglied ist offline   Twisty 

  • Gruppe: aktive Mitglieder
  • Beiträge: 83
  • Beigetreten: 10. April 09
  • Reputation: 0

geschrieben 21. November 2009 - 16:46

Daniela Topic sagte:

Surfverhalten überdenken ist gut, wo kommt der Mist her, GData Firewall hat den Virus ja durchgelassen.

Die Firewall schützt dich nicht vor dem Ausführen suspekter Programme. Und sie blockt auch nicht Malware, die in den laufenden Verbindungen Daten einschleust (auch “covert channel” genannt).
0

#15 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.349
  • Beigetreten: 08. April 06
  • Reputation: 891
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 21. November 2009 - 17:47

Beitrag anzeigenZitat (Daniela Topic: 21.11.2009, 16:23)

das System neu aufzusetzen, bedeutet alles muss von den Festplatten gelöscht-formatiert werden?


nebenbei noch möglichst nach dem Installieren die bisher verwendeten PWs für sicherheitskritische bereiche (Banking whatever) ändern.

Zitat

Programme, Ordner, Betriebssystem alles neu drauf installieren da bin ja ewig mit beschaftigt.


Da wirst du aber leider nicht umherkommen. Einmal in den sauren Apfel beißen und beim nächsten mal besser machen.

leider kann man nur auf diese weise - besonders bei Rootkits - wirklich sicher gehen den Schädling entsorgt zu haben.

Das dumme ist nämlich, dass ein Rootkit nicht auf "Dateiebene" sondern auf "Dateisystemebene" arbeitet. Das heißt: es hat zugriff auf alle Dateien die sich auf dem betroffenen Laufwerk befinden.

Zitat

Surfverhalten überdenken ist gut, wo kommt der Mist her, GData Firewall hat den Virus ja durchgelassen.


wie schon beschrieben: Eine Firewall interessiert es idR nicht was aufs internet zugreift oder umgekehrt... es interessiert nur ob der Datenstrom verdächtig ist (vergleich DoS oder DDoS angriffe). Ansonsten wird nur geschaut: Kommunikation über Port XYZ erlaubt oder nicht.


Schaue einfach mal ins Sicherheitsforum hier und lasse die Texte auf dich wirken. Dort findest du auch das ein-oder-andere howto wie du es beim nächsten mal besser machen kannst.

BTW: der Schädling muss nicht unbedingt übers Internet gekommen sein. Es reichen gecrackte Softwareprodukte mitunter aus.

Gruß.

Stefan
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0