[Daniela Topic]

Hallo zusammen,

heute Morgen hat mein Virenprogramm GData InternetSecurety 2010 folgenden Virus gefunden:
Win32:Rootkit-gen [Rtk]
Die betroffene Datei wurde in die Quarantäne verschoben, Name der Datei lautet
Datei: C:\System Volume Information\_restore{Buchstabensalat rausgenommen}\RP310\A0061768.exe
Die Datei wurde in die Quarantäne verschoben.

Nochmal etwas anders dargestellt:Objekt: f55f603a19.exe
Pfad: C:\Dokumente und Einstellungen\danmar\Anwendungsdaten\Macromedia\Common
Status: Datei in Quarantäne verschoben

Ich habe im Internet nachgesehen, aber da gibt es so unterschiedliche Aussagen, also habe ich bei dem tel.
Service von GData InternetSecurety angerufen.
Der Mitarbeiter meinte, in der Quarantäne lassen, überprüfen ob alle Programme funktionieren und dann die befallenen Dateien nach 2 Wochen löschen.
Nun hatte ich im www. gelesen das Kennwörter mit dem Virus (Onlinebanking) ausspioniert werden können.
Also habe ich erstmal die Passwörter & Benutzername geändert, aber von dem Netzwerk-Laptop aus und nicht von dem betroffenen PC aus! Freigaben zwischen dem Netzwerk gibt es nicht, ist nur wegen Wlan (verschlüsselt)
Wer kann mir mehr Informationen zu dem Virus mitteilen und welchen Schaden kann er angerichtet haben?
Für informationen bin ich dankbar! Ich vermute, meine Passwörter bezüglich Foren muss ich auch ändern oder was meint Ihr?

Gruß

Martin

Dieser Beitrag wurde von Daniela Topic bearbeitet: 21. November 2009 - 11:11

[Internetkopfgeldjäger]

Zitat (Daniela Topic: 21.11.2009, 12:10)

Nimm eine Linux Live CD, wie zum Beispiel Knoppix.
Mounte die Partition, auf der sich die Windows Seuche befindet
und lade die suspekten Dateien zu Virustotal hoch:
http://www.virustotal.com/de/
Virustotal überprüft die suspekten Dateien mit
ca. 3 Dutzend Virenscanner Engines.
Die suspekten Dateien werden den beteiligten Firmen
zur Verfügung gestellt, so das alle beteiligten Virenscanner Hersteller
die Chance erhalten Virensignaturen zu erstellen, wenn die das für Schadsoftware halten.

Wenn deine Windows-Kiste verseucht ist,
dann geht es hier weiter:
Erklärungen & How To's, Rund um das Thema Sicherheit im Sicherheitsbereich vom Winfuture Forum

Die übliche und einzig seriöse Methode ist wie immer alles
Plattmachen und von zuverlässigen Installationsmedien alles
neu zu installieren. Kompromittierung ist die etwas vornehmere
Nomenklatur, um auszudrücken das die Kiste verseucht ist und platt
gemacht gehört.

[Samstag]

Was Microsoft zu Kompromittierung sagt und wie man sein System wieder sauber bekommt
Microsoft Kompromittierung
Das ganze auf deutsch.

[Shensara]

Zitat (Samstag: 21.11.2009, 11:59)

Was Microsoft zu Kompromittierung sagt und wie man sein System wieder sauber bekommt
Microsoft Kompromittierung
Das ganze auf deutsch.

Vielen Dank für die Hilfe, hatte das gleiche Problem

Dieser Beitrag wurde von Shensara bearbeitet: 21. November 2009 - 12:04

[Daniela Topic]

erstmal danke für Euer schnelles Feedback!
Nun, die betroffene Datei liegt ja bereits verschlüsselt in der Quarantäne,
also müsste ich die zurückholen. Dabei ist mir dann aber auch nicht ganz wohl!
Das es so schlimm ist habe ich nicht vermutet, ich habe jedoch auch über GData
die Möglichkeit die betroffenen Ordner per Email-Versand überprüfen zu lassen.
Wenn ich Internetkopfgeldjäger richtig verstehe, triffst du nicht konkret die Aussage
das es sich hierbei um eine echten Virus handelt, sondern dass übergeprüft werden
muss ob es ein Schadvirus ist!

Verstehe ich Dich richtig?

[Internetkopfgeldjäger]

Zitat (Daniela Topic: 21.11.2009, 13:40)

Die Aussage zuverlässig zu treffen, ob das eine Schadsoftware ist,
oder nicht, nur auf Grund des Forenpostings, das ist unmöglich.
Ein Dateiname ist ja auch bloß Schall und Rauch.
Offensichtlich verändert sich der Dateiname auch noch.
Virustotal bietet den großen Vorteil, das man sich da nicht nur
auf einen einzigen Virenscanner verlässt, sondern das da gleich
ca. 3 Dutzend Virenscanner suspekte Dateien überprüfen.

[Daniela Topic]

wie werden denn eigentlich durch Viren Passwörter oder Benutzernamen abgegriffen!
Geschieht das beim einloggen oder wie hat man sich soetwas vorzustellen?

Martin

[Stefan_der_held]

Das geschieht anhand von sogenannten "Keyloggern"... Das heißt: Was du eingibst wird dort erstmal zwischengespeichert.

"Optimal" wird natürlich dabei nach Standardformularelementen gescant.

Ganz wichtig: Wenn du dich dafür interessierst, solltest du dich mal schlau machen wo der Unterschied zwischen:

Malware, Virus, Trojaner, Keylogger, Rootkit etc

ist

Manche hängen zusammen, manche wiederum nicht.

Gruß,

Stefan

[DanielDuesentrieb]

Zitat

Geschieht das beim einloggen oder wie hat man sich so etwas vorzustellen?

Si. Soweit ich weiß, loggt der all das, was du in diverse Felder eingibst und schick das gleich weiter an einen Rechner, mit dem der Hacker dann dein Konto nutzen kann.

[DK2000]

Ist doch nicht schwer sowas.

Das Teil ist einen Keylogger, welcher jeden Tastenanschlag irgendwo aufzeichnet und bei Gelegenheit an eine feste Adresse oder einem IRC Channel sendet. Der Empfänger muss dann nur noch das ganze Auswerten und hat dann eigentlich alles, was Du so eingetippt hast, vor sich stehen.

Böses Teil.

[Daniela Topic]

Danke für Euer Feedback,

ich habe heute den Win32:Rootkit-gen [Rtk] auf meinem Rechner gefunden.
Die befallenen Dateien sind bereits wie bereits von mir unter Windows XP Rubrik
beschrieben verschlüsselt in der Quarantäne.

Bedeutet über den PC nie mehr online Banking oder Einkaufen!
So ein MIST, aber danke für die guten Hineise.

Grüße

[Alfred E. Neumann]

Hallo,
als erstes solltest du von einem sauberen Rechner aus deine Zugangsdaten, Passwörter usw. ändern. Von dem befallenen Rechner aus solltest du natärlich erst wieder shoppen oder banken, wenn er wieder sauber ist.
Bei einem solchen Befall ist es am sichersten, das System neu aufzusetzen. Die Wartezeiten während der Neuinstallation solltest du damit verbringen, über dein Surfverhalten nachzudenken, irgendwie ist der Mist ja auf deinen rechner gekommen.

[Daniela Topic]

das System neu aufzusetzen, bedeutet alles muss von den Festplatten gelöscht-formatiert werden? Programme, Ordner, Betriebssystem alles neu drauf installieren da bin ja ewig mit beschaftigt.

Surfverhalten überdenken ist gut, wo kommt der Mist her, GData Firewall hat den Virus ja durchgelassen.

[Twisty]

Daniela Topic sagte:

Surfverhalten überdenken ist gut, wo kommt der Mist her, GData Firewall hat den Virus ja durchgelassen.

Die Firewall schützt dich nicht vor dem Ausführen suspekter Programme. Und sie blockt auch nicht Malware, die in den laufenden Verbindungen Daten einschleust (auch “covert channel” genannt).

[Stefan_der_held]

Zitat (Daniela Topic: 21.11.2009, 16:23)

das System neu aufzusetzen, bedeutet alles muss von den Festplatten gelöscht-formatiert werden?

nebenbei noch möglichst nach dem Installieren die bisher verwendeten PWs für sicherheitskritische bereiche (Banking whatever) ändern.

Zitat

Programme, Ordner, Betriebssystem alles neu drauf installieren da bin ja ewig mit beschaftigt.

Da wirst du aber leider nicht umherkommen. Einmal in den sauren Apfel beißen und beim nächsten mal besser machen.

leider kann man nur auf diese weise - besonders bei Rootkits - wirklich sicher gehen den Schädling entsorgt zu haben.

Das dumme ist nämlich, dass ein Rootkit nicht auf "Dateiebene" sondern auf "Dateisystemebene" arbeitet. Das heißt: es hat zugriff auf alle Dateien die sich auf dem betroffenen Laufwerk befinden.

Zitat

Surfverhalten überdenken ist gut, wo kommt der Mist her, GData Firewall hat den Virus ja durchgelassen.

wie schon beschrieben: Eine Firewall interessiert es idR nicht was aufs internet zugreift oder umgekehrt... es interessiert nur ob der Datenstrom verdächtig ist (vergleich DoS oder DDoS angriffe). Ansonsten wird nur geschaut: Kommunikation über Port XYZ erlaubt oder nicht.


Schaue einfach mal ins Sicherheitsforum hier und lasse die Texte auf dich wirken. Dort findest du auch das ein-oder-andere howto wie du es beim nächsten mal besser machen kannst.

BTW: der Schädling muss nicht unbedingt übers Internet gekommen sein. Es reichen gecrackte Softwareprodukte mitunter aus.

Gruß.

Stefan