Supportnet / Forum / Security/Viren
Hacktool.Rootkit
Frage
Hallo,
ich habe hier einen Rechner auf dem Norton Antivirus sagt, er hätte ein Hacktool.Rootkit gefunden. Kann es aber nicht löschen. Die Norton Internet Security - FW war wohl auch abgeschaltet. Da Norton scheinbar nicht fähig ist, etwas zu machen, habe ich es runtergeschmissen und mit dem freien AntiVir die Platte durchsucht und die betroffenen Dateien gelöscht. Darunter war auch sysmon32.exe, welche beim Systemstart (Win XP Pro) gestartet werden möchte. Irgendwo in der Registry muss dafür ein Eintrag stehen, aber ich finde ihn nicht - jedenfalls keinen Aussagekräftigen.
Desweiteren habe ich hier eine Datei ihbpxakx.exe, die aufs Internet zugreifen möchte, laut ZoneAlarmPro. Die Datei liegt in C:\Windows und ich kann sie weder umbenennen noch löschen, da sie scheinbar verwendet wird.
Ein weiteres Programm möchte ständig die Website www.ysbweb.com öffnen. Die Frage ist nur welches Programm? ysbweb.com bietet scheinbar eine Toolbar für den IE an. Nennt sich ISTsv. Dieses PRogramm konnte ich über die Systemsteuerung identifizieren und löschen. Der Zugriff auf die Website bleibt aber weiterhin bestehen. Die Frage ist WARUM?
Habt ihr noch Tipps für mich?
Ziel ist es, das BS zu reinigen ohne Neuinstallation.
Vielen Dank,
dieKerstin
Antwort 1 von WeSt
Hi,
es ist anzunehmen dass dein Rechner kompromittiert wurde.
Hier würde ich nur noch eine saubere Neuinstallation mit sauberer Software empfehlen. Alle Datein auf deinem PC sind unsicher und sollten auch nicht mehr verwendet werden.
Grüße
es ist anzunehmen dass dein Rechner kompromittiert wurde.
Hier würde ich nur noch eine saubere Neuinstallation mit sauberer Software empfehlen. Alle Datein auf deinem PC sind unsicher und sollten auch nicht mehr verwendet werden.
Grüße
Antwort 2 von dieKerstin
Hallo,
das habe ich (leider) auch schon auf einigen anderen Webseiten gelesen. Was heißt kompromitiert? Gibt es da wirklich überhaupt keine Möglichkeit, nur die infizierten Dateien zu löschen/reparieren? Wozu gibts denn dann die ganzen AntiVirus-Programme, Firewalls und Warner, wenn die eh nix nützen?
Gruß,
Kerstin
das habe ich (leider) auch schon auf einigen anderen Webseiten gelesen. Was heißt kompromitiert? Gibt es da wirklich überhaupt keine Möglichkeit, nur die infizierten Dateien zu löschen/reparieren? Wozu gibts denn dann die ganzen AntiVirus-Programme, Firewalls und Warner, wenn die eh nix nützen?
Gruß,
Kerstin
Antwort 3 von WeSt
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.
Leider weiss ich nicht wie dies in dein System gelangen konnte aber meistens liegt der Fehler auf Anwenderseite.
Grüße
Leider weiss ich nicht wie dies in dein System gelangen konnte aber meistens liegt der Fehler auf Anwenderseite.
Grüße
Antwort 4 von McNish
@diekerstin
Wenn ein System kompromittiert wurde, sollte man genau wissen wie man zu verfahren hat, um den Schaden einzudämmen. Virenscanner bieten zwar als einfache Lösung an, das System zu ,,säubern``, dies kann aber nicht erfolgreich sein, da ein Angreifer (Virus / Wurm / Dialer / Cracker etc.) längst beliebige Systemdateien ersetzt haben könnte (und vermutlich auch hat) und sich so im System festgesetzt hat. Solch einer Reinigung durch einen Virenscanner kann man nur dann vertrauen, wenn man Prüfsummen aller (System-)Dateien hat und diese auch von einem Nachweisbar sauberen Datenträger aus verifizieren kann. Dies ist jedoch sehr selten der Fall, da ein solches Verfahren auf einem Desktop-System kaum zu realisieren ist.
Deshalb sollte man folgendes Vorgehen wählen:
System sofort von allen Netzwerkverbindungen (LAN, Internet etc.) trennen.
Evtl. den gesamten Inhalt der Systemdatenträger sichern, um im Falle eines straf-/ zivilrechtlichen Vorgehens Beweise zu haben. Für die meisten Heimanwender dürfte dies aber nicht nötig sein. Eine Ausnahme bildet der Fall, dass man einen sog. ,,Dialer``installiert hat. Hier sollte man auf jeden Fall eine Vollsicherung durchführen. Falls man vermutet, dass auch schon Kosten angefallen sind, sollte man evtl. sogar den gesamten Rechner als Beweismittel zur nächsten Polizeidienststelle bringen und Anzeige erstatten.
Feststellen welcher Art die Kompromittierung war und auf welchem Wege das System kompromittiert wurde.
Alle evtl. betroffenen Dritten informieren.
Evtl. nötige Patches und Updates herunterladen. Hierzu ist ein sauberer Rechner notwendig, wie z.B. ein anderes System, oder ein Rettungssystem, wie z.B. Knoppix, das von CD lauffähig ist. Die Patches und Updates sollten wenn möglich auf einem schreibgeschützten Datenträger (CD-ROM, Diskette etc.) gespeichert werden, damit sie nicht kompromittiert werden können.
Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern oder sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen.
Alle Datenträger neu formatieren und sämtliche Software von den Originaldatenträgern neu einspielen.
Das letzte, vor der Kompromittierung erstellte, Backup der Daten (nicht die Vollsicherung, die zu Beweiszwecken erstellt wurde!) zurückspielen.
Die genutzte Sicherheitslücke (z.B. durch Einspielen der nötigen Patches) schließen und prüfen, ob es evtl. weitere, ähnliche Lücken gibt und diese ebenfalls schließen.
Erst jetzt das System wieder an die Netzwerke anbinden.
Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen.
Dieses Verfahren wird auch von Mircosoft, CERT und den entsprechenden Abschnitten des ,,Users´ Security Handbook``der IETF (RFC 2504, Abschnitt 6.2) als Maßnahme zur Beseitigung einer Kompromittierung empfohlen.
Dass es wirklich nicht ausreichend ist, nur das Schadprogramm allein durch einen Virenscanner entfernen zu lassen, hat der Wurm Sobig - in all seinen Varianten - gezeigt. Er installierte unbemerkt (auch von Antivirus-Herstellern) ein Trojanisches Pferd und zusätzlich eine modifizierte Version des WinGate Proxies, der u.a. von Spam-Versendern zur Verschleierung ihrer Identität oder als quasi anonyme Ausgangsbasis für Angriffe auf andere Systeme mißbraucht wird. Nähere Informationen zu diesem Vorfall finden sich unter http://www.lurhq.com/sobig.html und http://www.lurhq.com/sobig-e.html.
Gruss Marion McNish
Wenn ein System kompromittiert wurde, sollte man genau wissen wie man zu verfahren hat, um den Schaden einzudämmen. Virenscanner bieten zwar als einfache Lösung an, das System zu ,,säubern``, dies kann aber nicht erfolgreich sein, da ein Angreifer (Virus / Wurm / Dialer / Cracker etc.) längst beliebige Systemdateien ersetzt haben könnte (und vermutlich auch hat) und sich so im System festgesetzt hat. Solch einer Reinigung durch einen Virenscanner kann man nur dann vertrauen, wenn man Prüfsummen aller (System-)Dateien hat und diese auch von einem Nachweisbar sauberen Datenträger aus verifizieren kann. Dies ist jedoch sehr selten der Fall, da ein solches Verfahren auf einem Desktop-System kaum zu realisieren ist.
Deshalb sollte man folgendes Vorgehen wählen:
System sofort von allen Netzwerkverbindungen (LAN, Internet etc.) trennen.
Evtl. den gesamten Inhalt der Systemdatenträger sichern, um im Falle eines straf-/ zivilrechtlichen Vorgehens Beweise zu haben. Für die meisten Heimanwender dürfte dies aber nicht nötig sein. Eine Ausnahme bildet der Fall, dass man einen sog. ,,Dialer``installiert hat. Hier sollte man auf jeden Fall eine Vollsicherung durchführen. Falls man vermutet, dass auch schon Kosten angefallen sind, sollte man evtl. sogar den gesamten Rechner als Beweismittel zur nächsten Polizeidienststelle bringen und Anzeige erstatten.
Feststellen welcher Art die Kompromittierung war und auf welchem Wege das System kompromittiert wurde.
Alle evtl. betroffenen Dritten informieren.
Evtl. nötige Patches und Updates herunterladen. Hierzu ist ein sauberer Rechner notwendig, wie z.B. ein anderes System, oder ein Rettungssystem, wie z.B. Knoppix, das von CD lauffähig ist. Die Patches und Updates sollten wenn möglich auf einem schreibgeschützten Datenträger (CD-ROM, Diskette etc.) gespeichert werden, damit sie nicht kompromittiert werden können.
Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern oder sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen.
Alle Datenträger neu formatieren und sämtliche Software von den Originaldatenträgern neu einspielen.
Das letzte, vor der Kompromittierung erstellte, Backup der Daten (nicht die Vollsicherung, die zu Beweiszwecken erstellt wurde!) zurückspielen.
Die genutzte Sicherheitslücke (z.B. durch Einspielen der nötigen Patches) schließen und prüfen, ob es evtl. weitere, ähnliche Lücken gibt und diese ebenfalls schließen.
Erst jetzt das System wieder an die Netzwerke anbinden.
Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen.
Dieses Verfahren wird auch von Mircosoft, CERT und den entsprechenden Abschnitten des ,,Users´ Security Handbook``der IETF (RFC 2504, Abschnitt 6.2) als Maßnahme zur Beseitigung einer Kompromittierung empfohlen.
Dass es wirklich nicht ausreichend ist, nur das Schadprogramm allein durch einen Virenscanner entfernen zu lassen, hat der Wurm Sobig - in all seinen Varianten - gezeigt. Er installierte unbemerkt (auch von Antivirus-Herstellern) ein Trojanisches Pferd und zusätzlich eine modifizierte Version des WinGate Proxies, der u.a. von Spam-Versendern zur Verschleierung ihrer Identität oder als quasi anonyme Ausgangsbasis für Angriffe auf andere Systeme mißbraucht wird. Nähere Informationen zu diesem Vorfall finden sich unter http://www.lurhq.com/sobig.html und http://www.lurhq.com/sobig-e.html.
Gruss Marion McNish
Antwort 5 von WeSt
Jep wie meine Vorrednerin schon sagte. Hier kann man sich nicht mehr auf eine Säuberung durch einen Virenscanner verlassen. Hier muss entweder ein sauberes Image eingespielt oder ein neues OS aufgesetzt werden.
Wirkliche Sicherheit bietet auch Zonealam nicht. Eine wirklich wirksame Firewall muss vor dem zu schützenden System und nicht auf dem betreffenden System installiert sein. Ich empfehle immer eine Hardwarefirewall. Zonealarm lässt sich mit wenig Wissen aushebeln.
Grüße
Wirkliche Sicherheit bietet auch Zonealam nicht. Eine wirklich wirksame Firewall muss vor dem zu schützenden System und nicht auf dem betreffenden System installiert sein. Ich empfehle immer eine Hardwarefirewall. Zonealarm lässt sich mit wenig Wissen aushebeln.
Grüße
Antwort 6 von dieKerstin
Hallo,
danke für eure aufmunternden Worte ;-( Hab noch einiges versucht, bin nun aber selbst zum Schluss gekommen, dass der Rechner platt gemacht werden muss. Jedenfalls die Systempartition.
Sagt, wie siehts mit der Datenpartition aus? Dort liegen nur Daten, keine Systemdateien. Kann ich die lassen oder muss die auch weg? Wäre aber eigentlich schon schön, wenn ich die Daten behalten könnte.
Ich hatte das System vor einiger Zeit ja eingerichtet mit FW und AntiVir-Software. Leider hat der Nutzer (nicht ich) beides wieder runtergeschmissen und nun hat er den Salat. Habt ihr noch Tipps zur Sicherung? ZoneAlarm, AntiVir, 0900Warner, ...?
Norton konnte den Virus leider nicht aufhalten, wie ich feststellen musste.
Gruß,
dieKerstin
danke für eure aufmunternden Worte ;-( Hab noch einiges versucht, bin nun aber selbst zum Schluss gekommen, dass der Rechner platt gemacht werden muss. Jedenfalls die Systempartition.
Sagt, wie siehts mit der Datenpartition aus? Dort liegen nur Daten, keine Systemdateien. Kann ich die lassen oder muss die auch weg? Wäre aber eigentlich schon schön, wenn ich die Daten behalten könnte.
Ich hatte das System vor einiger Zeit ja eingerichtet mit FW und AntiVir-Software. Leider hat der Nutzer (nicht ich) beides wieder runtergeschmissen und nun hat er den Salat. Habt ihr noch Tipps zur Sicherung? ZoneAlarm, AntiVir, 0900Warner, ...?
Norton konnte den Virus leider nicht aufhalten, wie ich feststellen musste.
Gruß,
dieKerstin
Antwort 7 von WeSt
Leider können auch deine Datenpartitionen korrupt sein.
Nichts was sich auf diesem PC befindet darf als sauber betrachtet werden. Deswegen sollte man auch von Zeit zu Zeit Backups anfertigen. Das vergisst du nach diesem Vorfall aber nie wieder ;-)
Grüße
Nichts was sich auf diesem PC befindet darf als sauber betrachtet werden. Deswegen sollte man auch von Zeit zu Zeit Backups anfertigen. Das vergisst du nach diesem Vorfall aber nie wieder ;-)
Grüße
Antwort 8 von dieKerstin
Inwiefern soll meine Datenpartition korrupt sein? Dort sind keinerlei Systemdateien gespeichert. Und bisher wurde auch kein Virus auf der Datenpartition vom AntiVir gefunden, welches ich mehrmals habe rüberlaufen lassen.
Deshalb habe ich ja eine Datenpartition. Außerdem, wenn ich regelmäßig ein Backup machen, würde das ja heißen, ich würde den Virus mit backuppen, wenn ich ihn nicht bemerke. Also nützt das auch nix.
Deshalb habe ich ja eine Datenpartition. Außerdem, wenn ich regelmäßig ein Backup machen, würde das ja heißen, ich würde den Virus mit backuppen, wenn ich ihn nicht bemerke. Also nützt das auch nix.
Antwort 9 von RTFM
Falsch, denn Du kannst Daten auch unter einem anderen OS weiterverwenden.
Antwort 10 von WeSt
Morgen,
durchlesen und verstehen:
http://www.winfuture-forum.de/index.php?showtopic=10251
PS.: Selbstverständlich mach ein Backup nur dann Sinn wenn du ein sauberes Backup erstellst.
Grüße
durchlesen und verstehen:
http://www.winfuture-forum.de/index.php?showtopic=10251
PS.: Selbstverständlich mach ein Backup nur dann Sinn wenn du ein sauberes Backup erstellst.
Grüße
Antwort 11 von guest1
nun macht die Kerstin doch nicht ganz verrückt ...
mein Vorschlag wäre, das System tatsächlich neu aufzusetzen, die Datenpartition weiter zu nutzen, den Rechner allerdings "etwas" genauer zu beobachten.
Wenn sich in der Datenpartition etwas versteckt haben sollte, wird es früher oder später versuchen da wieder ´rauszukommen. Das dürfte man dann beim Scannen eines zuvor neu aufgesetzten Systems merken.
Zur Sicherheit trenne den Rechner bis auf weiteres physikalisch vom Netz (Stecker ziehen), wenn Du nicht damit arbeitest. Auch solltes Du ALLEN Programmen den Internetzugriff nur fallweise erlauben. Keine Dauerfreigaben wie sonst z.B. für den InternetExplorer üblich !
mein Vorschlag wäre, das System tatsächlich neu aufzusetzen, die Datenpartition weiter zu nutzen, den Rechner allerdings "etwas" genauer zu beobachten.
Wenn sich in der Datenpartition etwas versteckt haben sollte, wird es früher oder später versuchen da wieder ´rauszukommen. Das dürfte man dann beim Scannen eines zuvor neu aufgesetzten Systems merken.
Zur Sicherheit trenne den Rechner bis auf weiteres physikalisch vom Netz (Stecker ziehen), wenn Du nicht damit arbeitest. Auch solltes Du ALLEN Programmen den Internetzugriff nur fallweise erlauben. Keine Dauerfreigaben wie sonst z.B. für den InternetExplorer üblich !
Antwort 12 von uwei
Mojn,
Speziell was ISTsv(oder war es nicht ISTsvc) angeht.
Holt man sich z.B. schnell mal, wenn man diverse Cracks benutzt und da mal auf eine gewisse start.exe klickt. Dann bekommt man gleich ein ganzes Paket an feinen Sachen installiert.
IST z.B. wird zwar, wenn überhaupt von Spybot entfernt, aber anschließend sofort wieder installiert. Grund ist eine exe im Systemstart, die in system32 sitzt.
Deaktiviere die Systemwiederherstellung, entferne alle Häkchen im Systemstart(msconfig -6), starte im abgesicherten Modus, lasse alle relevanten Tools nacheinander ihre Arbeit tun(z.B. Virenscanner, Spybot, AdAware, Hijackthis).
Starte normal, führe alle Scans erneut aus.
Prüfe erneut den Systemstart, eventuell ist trotzdem noch Handarbeit angesagt durch Entfernen von Registryeinträgen bzw. system32 Dateien.
Wenn das nicht fruchtet, mach eine Neuinstallation.
Ein Formatieren der Systempartition dürfte völlig reichen. Wenn deine Daten auf einer anderen Partition sind, sollte dies kein Problem sein.
Speziell was ISTsv(oder war es nicht ISTsvc) angeht.
Holt man sich z.B. schnell mal, wenn man diverse Cracks benutzt und da mal auf eine gewisse start.exe klickt. Dann bekommt man gleich ein ganzes Paket an feinen Sachen installiert.
IST z.B. wird zwar, wenn überhaupt von Spybot entfernt, aber anschließend sofort wieder installiert. Grund ist eine exe im Systemstart, die in system32 sitzt.
Deaktiviere die Systemwiederherstellung, entferne alle Häkchen im Systemstart(msconfig -6), starte im abgesicherten Modus, lasse alle relevanten Tools nacheinander ihre Arbeit tun(z.B. Virenscanner, Spybot, AdAware, Hijackthis).
Starte normal, führe alle Scans erneut aus.
Prüfe erneut den Systemstart, eventuell ist trotzdem noch Handarbeit angesagt durch Entfernen von Registryeinträgen bzw. system32 Dateien.
Wenn das nicht fruchtet, mach eine Neuinstallation.
Ein Formatieren der Systempartition dürfte völlig reichen. Wenn deine Daten auf einer anderen Partition sind, sollte dies kein Problem sein.
Antwort 13 von dieKerstin
Hallo,
danke Euch.
Genau das hatte ich auch vor. Systempartition platt gemacht und diesmal scharf beobachtet wieder aufgesetzt. Leider is der spätere Anwender doch zu schlau und deinstalliert diverse Sicherheitsvorrichtungen und dann passiert halt sowas (IST war z.b. auch installiert). Bin mal gespannt, wie lange es diesmal hält.
Gruß,
dieKerstin
danke Euch.
Genau das hatte ich auch vor. Systempartition platt gemacht und diesmal scharf beobachtet wieder aufgesetzt. Leider is der spätere Anwender doch zu schlau und deinstalliert diverse Sicherheitsvorrichtungen und dann passiert halt sowas (IST war z.b. auch installiert). Bin mal gespannt, wie lange es diesmal hält.
Gruß,
dieKerstin
Antwort 14 von Das_Urmel
Verpasse dem benutzer einen eingeschränkten Account, dann kann er das nicht mehr.
Antwort 15 von uwei
Tja, wenn er sich das Zeug gleich wieder holt, ist ja Hopfen und Malz verloren, sag ich mal.
Eingeschränkter Benutzeraccount ist gut.
Installier ihm besser noch ein Imageprogramm, mach eins von der Systempartition nach der Installiererei und Einstellerei und gut ist. Das Zurückspielen darf er dann jeweils selbst erledigen, vielleicht lernt er dann ja was, irgendwann.
Eingeschränkter Benutzeraccount ist gut.
Installier ihm besser noch ein Imageprogramm, mach eins von der Systempartition nach der Installiererei und Einstellerei und gut ist. Das Zurückspielen darf er dann jeweils selbst erledigen, vielleicht lernt er dann ja was, irgendwann.
Antwort 16 von dieKerstin
Hallo,
an den eingeschränkten Nutzer hab ich auch schon gedacht. Aber das Problem ist ja dann, dass der überhaupt nix installieren darf. Ich kann doch den Besitzer nicht aus seinem Rechner aussperren!? Außerdem soll der Besitzer/Nutzer ja auch vieles selber machen können.
Nungut. Neuinstallation erfolgt. Jetz bin ich mal gespannt, wie lange das hält.
Gruß,
dieKerstin
an den eingeschränkten Nutzer hab ich auch schon gedacht. Aber das Problem ist ja dann, dass der überhaupt nix installieren darf. Ich kann doch den Besitzer nicht aus seinem Rechner aussperren!? Außerdem soll der Besitzer/Nutzer ja auch vieles selber machen können.
Nungut. Neuinstallation erfolgt. Jetz bin ich mal gespannt, wie lange das hält.
Gruß,
dieKerstin