Forums Neueste Beiträge
 

OT: Rootkit-Befall

04/12/2014 - 17:17 von Chr. Maercker | Report spam
Hallo,

einer unserer Win7-PCs fiel durch allzu hàufige Versuche auf,
http-Verbindungen mit ...ru aufzubauen.
Der auf dem System installierte Virenscanner McAfee VirusScan Enterprise
startete seit dem Befallsdatum nicht mehr, im Systemlog kamen seitdem
timeouts vom ServiceMgr. Kaspersky TDSSKiller wurde ohne jegliche
Meldung geblockt, HijackThis ließ sich starten.

Driver Table:
Name Startart path\file
BS781202285 Manual \??\C:\Temp\NTFS.sys
ElRawDisk System \??\C:\Windows\system32\drivers\NTFS781202285.sys

C:\Windows\system32\drivers\NTFS781202285.sys 06.11.2014 08:28 31.432
Bytes, aber nur mit Nullen befüllt d.h. null Programmcode

C:\Temp\NTFS.sys ist nicht zu sehen.

Erste Anzeichen der Infektion tragen lt. Systemlog am 06.11.2014 08:16
Uhr auf d.h. wenige Minuten früher als der Verzeichniseintrag des o.g.
Pseudo-Drivers.

Nach Booten mit Linux-CD konnten wir die genannten Befunde lediglich
bestàtigen. Weder Kaspersky noch Avira fanden irknwas.

Ein Byte-Vergleich von NTOSKrnl.exe (x32) und NTFS.sys mit den gleichen
Dateien eines gesunden Systems ergab keinerlei Unterschiede.

Wir haben das betr. Sytem inzwischen neu aufgesetzt, trotzdem im
Nachhinein die Frage:
Lassen sich die genannten Symptome zufàllig einem bekannten Rootkit
zuordnen? Von der Sorte gips ja weit weniger als Trojaner, Viren oder
Würmer.


CU Chr. Maercker.
 

Lesen sie die antworten

#1 Lutz Guettler
04/12/2014 - 17:50 | Warnen spam
Hallo!

Am Thu, 04 Dec 2014 17:17:59 +0100 schrieb Chr. Maercker:

Hallo,

einer unserer Win7-PCs fiel durch allzu hàufige Versuche auf,
http-Verbindungen mit ...ru aufzubauen.
Der auf dem System installierte Virenscanner McAfee VirusScan Enterprise
startete seit dem Befallsdatum nicht mehr, im Systemlog kamen seitdem
timeouts vom ServiceMgr. Kaspersky TDSSKiller wurde ohne jegliche
Meldung geblockt, HijackThis ließ sich starten.

Driver Table:
Name Startart path\file BS781202285 Manual \??\C:


\Temp\NTFS.sys
ElRawDisk System \??\C:\Windows\system32\drivers\NTFS781202285.sys

C:\Windows\system32\drivers\NTFS781202285.sys 06.11.2014 08:28


31.432
Bytes, aber nur mit Nullen befüllt d.h. null Programmcode

C:\Temp\NTFS.sys ist nicht zu sehen.

Erste Anzeichen der Infektion tragen lt. Systemlog am 06.11.2014 08:16
Uhr auf d.h. wenige Minuten früher als der Verzeichniseintrag des o.g.
Pseudo-Drivers.

Nach Booten mit Linux-CD konnten wir die genannten Befunde lediglich
bestàtigen. Weder Kaspersky noch Avira fanden irknwas.

Ein Byte-Vergleich von NTOSKrnl.exe (x32) und NTFS.sys mit den gleichen
Dateien eines gesunden Systems ergab keinerlei Unterschiede.

Wir haben das betr. Sytem inzwischen neu aufgesetzt, trotzdem im
Nachhinein die Frage:
Lassen sich die genannten Symptome zufàllig einem bekannten Rootkit
zuordnen? Von der Sorte gips ja weit weniger als Trojaner, Viren oder
Würmer.



wir haben _gar nix_ gemerkt, bis die VW-Bank das Konto sperrte - zum
Glück ist kein Geld abhanden gekommen.
Ich habe von CD mehrere Virenscanner gestartet, Avira, Kaspersky ...
Nix! :-(
Beim Telefonat mit der Bank wurde uns gesagt, das URL_Zone 2_V02 der
Übeltàter war.
PC neu aufgesetzt.
Empfehlung der Bank: Chrome statt Firefox benutzen!

Gruß, Lutz

Ähnliche fragen