Hallo zusammen
Hab ein Problem und zwar , kann ich mit dem tool ProzessMonitor von Sysinternals feststellen das einige Processe einen Buffer Overflow aufweisen

Ich dachte zuerst an ein exploit, und setzte das komplette System neu auf (Raid Adapter neu , Platte formatiert Windows neu
Jetzt meine Frage , kann z.B. ein KERNEL EXPLOIT das neuinstallieren überleben?
hab bereits nach verschiedenen RootKit-Tool´s gesucht ( Sophos Anti-Rootkit , F-Secure Anti-Rootkit BlackLight ,McAfeeRootKitDetective) , konnte aber nichts finden. ......und so langsam kommt mir das
Leider weiß ich ganz gut , wie einfach die "Herstellung" von Exploit´s ist
Im Allgemeinen , sollte man die miesen RootKit´s .....

Ich würde mich echt freuen wenn jemand ne Idee dazu hat.



PS : Das Problem des Buffer Overflow besteht leider auch nach dem neuinstallieren ..

@Coffee Fan

Zitat:

Jetzt meine Frage , kann z.B. ein KERNEL EXPLOIT das neuinstallieren überleben?

Wenn die Partition gelöscht und neu ausgelegt wurde - nein. Poste mal bitte HJT-Log.

Was genau ist eigentlich ein Exploit
Bin halt doof

hier das Log..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:31, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Tenable\Nessus\nessusd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: Tenable Nessus - Tenable Network Security - C:\Programme\Tenable\Nessus\nessusd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4314 bytes





Danke für deine Zeit,und deine Hilfe

Zitat:

Zitat von inFiniTY

Was genau ist eigentlich ein Exploit
Bin halt doof

hat mit doof nicht´s zu tun.. Exploit´s braucht kein "normaler" User

Exploit´s sind für deinen Rechensklaven das gleiche , was C4 für einen Banktresor ist ...


Ich hoffe das klingt einigermaßen logisch..

Ich bin die Stimme des gepeinigten Apostrophs.

Nicht nur, dass der Arme andauernd für irgendwelche kruden Verunglimpfungen der deutschen Sprache durch un's herhalten muss, nein, wenn du ihn benutzt, bevorzugst du auch noch den Akzent `.

Der Apostroph befindet sich auf der #-Taste, ganz leicht mit Shift zu bedienen.
Bitte mach ihn glücklich und benutzte ihn in Zukunft.

In diesem Fall braucht aber weder der Negationspartikel "nichts" noch die Mehrzahl von exploit "exploits" einen Akzent. Anschauliche Beispiele unter Deppenapostroph

lg myrtille

Zitat:

Zitat von myrtille

Ich bin die Stimme des gepeinigten Apostrophs.

Nicht nur, dass der Arme andauernd für irgendwelche kruden Verunglimpfungen der deutschen Sprache durch un's herhalten muss, nein, wenn du ihn benutzt, bevorzugst du auch noch den Akzent `.

Der Apostroph befindet sich auf der #-Taste, ganz leicht mit Shift zu bedienen.
Bitte mach ihn glücklich und benutzte ihn in Zukunft.

In diesem Fall braucht aber weder der Negationspartikel "nichts" noch die Mehrzahl von exploit "exploits" einen Akzent.

lg myrtille

:aplaus:



Super !! Danke Dir

Kannste mir auch bei meinem eigentlichen Problem Helfen??

Zitat:

Zitat von Coffee Fan

Kannste mir auch bei meinem eigentlichen Problem Helfen??

Och komm schon, ich hab mich schon bei deinem ersten Beitrag zurückgehalten. Du hast mich doch provoziert.

Dein Log ist übrigens soweit sauber.

lg myrtille

Kann mir denn niemand einen Tipp geben..

evt. wie man der Software/Treiber auf die Spur kommt die für den Buffer Overflow verantwortlich ist ?

Zitat:

Hab ein Problem und zwar , kann ich mit dem tool ProzessMonitor von Sysinternals feststellen das einige Processe einen Buffer Overflow aufweisen

Erklär mir das mal, die meisten Programme schmieren bei einem BO ab.
Weiß grad nicht wie Du das meinst. Wenn Du es selber nicht weißt, einfach Precess Explorer nicht mehr verwenden

Bata

Zitat:

Zitat von Coffee Fan

Ich würde mich echt freuen wenn jemand ne Idee dazu hat.

Idee, aber nicht meine : Marks Blog

Ich glaube nicht, dass du ein Problem hast, denn nicht überall, wo "buffer overflow" drauf steht, ist auch ein Pufferüberlauf drin.

Ein Rechtsklick auf den fraglichen Prozeß im Process monitor zeigt dir die Eigenschaften an, inkl. benutzter dlls und stack und zip und zap. Flaschenhals dabei ist meist der Nutzer, der das Zeugs interpretieren muß.

Die vom Prozeß geladenen dlls kann du mittels des Process explorers verifizieren lassen. Solltest du noch immer nicht ruhig schlafen können, hake mal im Forum von Sysinternals bei den Spezls nach (mit präzisen Angaben).

Gruß

Zitat:

Zitat von Coffee Fan

Exploit´s sind für deinen Rechensklaven das gleiche , was C4 für einen Banktresor ist ...

Ok das hab ich jetzt aber kapiert
Unser Mathelehrer erklärt uns Mate auch immer mit C4 und Banktresoren ("Jetzt stellt euch vor, ihr steht in der Bank vorm Tresor und könnt euch nicht ausrechnen wieviel C4 ihr braucht um den Tresor wegzupusten, aber nicht die ganze Stadt":aplaus: :aplaus: :aplaus: )

Zitat:

Zitat von ordell1234

Idee, aber nicht meine : Marks Blog

Ich glaube nicht, dass du ein Problem hast, denn nicht überall, wo "buffer overflow" drauf steht, ist auch ein Pufferüberlauf drin.

Ein Rechtsklick auf den fraglichen Prozeß im Process monitor zeigt dir die Eigenschaften an, inkl. benutzter dlls und stack und zip und zap. Flaschenhals dabei ist meist der Nutzer, der das Zeugs interpretieren muß.

Die vom Prozeß geladenen dlls kann du mittels des Process explorers verifizieren lassen. Solltest du noch immer nicht ruhig schlafen können, hake mal im Forum von Sysinternals bei den Spezls nach (mit präzisen Angaben).

Gruß

Auf meinen ruhigen Schlaf hat das keine Auswirkung, mich hätte eben nur interessiert woher das kommen könnte. Die Lösung :“ aha ,da ist etwas das ich nicht verstehe , also kümmere ich mich nicht mehr darum „ erscheint mir doch etwas dürftig . Aber trotzdem Danke .





Wenigstens konnte ich etwas über die Verwendung des Apostrophs lernen

@ inFiniTY

>>>„Unser Mathelehrer erklärt uns Mate auch immer mit C4 und Banktresoren ("Jetzt stellt euch vor, ihr steht in der Bank vorm Tresor und könnt euch nicht ausrechnen wieviel C4 ihr braucht um den Tresor wegzupusten, aber nicht die ganze Stadt"<<<


Ihr Mathelehrer setzt eben große Hoffnung in Ihre Zukunft .

Und so unrecht hat er ja auch nicht ,mit C4 und einem Tresor muss man vorsichtig sein ....

Zitat:

Zitat von Coffee Fan

mich hätte eben nur interessiert woher das kommen könnte.

Hab ich auf die Bundesgartenschau verlinkt? Hast du überhaupt gelesen? Für mich EOD.