Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit gefunden ?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.09.2007, 01:08   #1
CMD
 
Rootkit gefunden ? - Standard

Rootkit gefunden ?



Hallo,

ich habe heute mehr oder weniger zufällig ein schon länger bestehendes Problem bei meinem PC (Windows MediaCenter Edition) lösen können. Seit einiger Zeit schien "rundll32.exe" nicht mehr korrekt zu funktionieren. Es gab keine dramatischen Abstürze, aber hin und wieder Fehlermeldungen bei bestimmten Aktionen (Erzeugung eines Desktop-Links, Druckerinstallation, Software-Installation ) : "Bei der Ausführung von ... ist eine Ausnahme aufgetreten, der Vorgang wird abgebrochen". Als Ursache war jeweils "rundll32.exe" genannt. Bei der heutigen Druckerinstallation trat der Fehler wieder auf, die Fehlerdetails benannten eine weitere Datei (signhook.dll), nach der ich dann auf meinem System suchte ... und sie im Explorer nicht fand, obwohl sämtliche Dateiattribute dargestellt werden. Mit "Suchen" spürte ich sie dann doch auf und fand sie im Ordner "C:\Program Files\Common Files\Sitecom Shared\PnP Universal Installer"; wie gesagt, im Explorer unsichtbar. Sichtbar ist lediglich "sitecom.dll". Über die Registry fand ich schließlich die dritte im Bunde : DevNotifySvc.exe. Diese wird als Service lokal ausgeführt. Nach einigem "Googlen" entschloß ich mich versuchsweise den Service zu deaktivieren, und siehe da, die Druckerinstallation lief problemlos, Desktop-Links sind auch wieder möglich ! Anschließend beseitigte ich die zugehörigen Registry-Einträge und löschte natürlich die Dateien. Mein Verdacht wegen des Namens "Signhook" der einen Datei und der erkennbaren Interaktion mit wichtigen OS-Programmen war, dass sich hier ein Rootkit als Programm eines namhaften Herstellers tarnt und in Datenströme einklinkt. Wenn ich mich recht erinnere, gabe es ursprünglich auch noch einen Run-Eintrag in der Registry, der den Service beim Booten startete; diesen habe ich schon vor einem halben Jahr beseitigt.

Warum poste ich das hier, wenn ich das Problem selbst gelöst habe ?

Weil mir bei der Durchsicht dieses interessanten Forums auffiel, wieviele Parallelen es in hiesigen Threads gibt. Ich habe schlicht nach "Gemeinsame Dateien / Common Files" gesucht und immer wieder unter respektablen Namen (Symantec, Microsoft) in den HiJackThis-Reports das gleiche Schema gefunden. Die Dateinamen sind nicht identisch, aber es gibt immer einen (unbekannten) Service, der gestartet wird. Sollte die entsprechende Datei auch noch verborgen sein ( eine hieß "DiskCryptMgr" !), selbst wenn der Explorer alles zeigt, würde dies meinen Verdacht noch erhärten.

Hier will jemand "nach Hause telefonieren" oder "die Tür aufhalten", wenn ich mich nicht total vertan habe !!!

Gruss
CMD

P.S: "DevNotifySvc.exe" hat als Sprachangabe "Russisch" in den Eigenschaften.

Alt 04.09.2007, 09:20   #2
BataAlexander
> MalwareDB
 
Rootkit gefunden ? - Standard

Rootkit gefunden ?



ICh glaube Du bist Deiner Paranoia aufgesessen und hast damit die Probleme vlt. erst verursacht.
Zitat:
[...]diesen habe ich schon vor einem halben Jahr beseitigt.
Mich würde interessieren ob alle Deine Netzwerkprodukte noch einwandfrei funktionieren? Sitcam ist hier vlt. aber nur ODM und Du hast Dir irgendeine Hardware unter ganz anderen Namen gekauft, oder sie ist schon auf dem Mainboard drauf.
In dem Ordner Gemeinsame Dateien liegen Dateien, die Software Hersteller dort ablegen, um diese für mehrere hauseigene Programme zu verwenden (bsp. MS Outlook, MS Word o.ä.).
Daher findest Du hier auch die verschiedensten Hersteller.
Wenn Du Dateinen im Explorer nicht findest, sie aber über die Suche erscheinenen, dann hast Du bei der Suche etwas falsch gemacht, sonst wären sie in der Suche auch nicht aufgetaucht. So einfach sind Rootkits nicht zu finden.
Moderne Rootkits hängen sich an Dateien (hooken) diese. Diese sind dann tatsächlich nicht sichtbar.
Das etliche Programme nach Hause telefonieren muss heutzutage akzeptiert werden und sollte bei legaler Software auch kein Problem darstellen.
Falls doch gibt es zwei Lösungen: Software deinstallieren. System nicht mehr ans Netzt hängen.

Wenn Dir immer noch alles komisch vorkommt, kannst Du hier noch ein HijackThis Logfile posten.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Bata
__________________


Alt 04.09.2007, 22:13   #3
CMD
 
Rootkit gefunden ? - Standard

Rootkit gefunden ?



Hallo BataAlexander,

Zitat:
Zitat von BataAlexander Beitrag anzeigen
ICh glaube Du bist Deiner Paranoia aufgesessen ...
Leiden wir nicht alle als Online-User etwas unter Verfolgungswahn und das bei den heutigen Web-Schnüffelmethoden nicht ganz zu unrecht ?

Zitat:
Zitat von BataAlexander Beitrag anzeigen
Mich würde interessieren ob alle Deine Netzwerkprodukte noch einwandfrei funktionieren? Sitcam ist hier vlt. aber nur ODM und Du hast Dir irgendeine Hardware unter ganz anderen Namen gekauft, oder sie ist schon auf dem Mainboard drauf.
Da der neu gekaufte Rechner komplett bestückt war und fehlerfrei funktionierte, scheidet das Motherboard als Quelle für Sitecom-Produkte aus. Das einzige Sitecom-Produkt, das ich an diesem Gerät nutze, ist ein USB-to-Serial-Kabel zum Betrieb eines älteren Chipkartenlesers. Das habe ich kurze Zeit nach dem Rechner erworben. Der CKL funktioniert nach wie vor einwandfrei.

Zitat:
Zitat von BataAlexander Beitrag anzeigen
Wenn Du Dateinen im Explorer nicht findest, sie aber über die Suche erscheinenen, dann hast Du bei der Suche etwas falsch gemacht ...
... wohl eher bei den Explorer-Einstellungen. Aber nein, das ist immer das erste, was ich mache, wenn ich einen PC in die Finger kriege : alles zeigen im Explorer !

So ganz harmlos scheint das Problem denn doch nicht :
DevNotifySvc.exe Windows Prozess - Was ist das?
Ein Programm, das sich zu verstecken sucht, ist mir immer suspekt !

Aber ich muß Dir recht geben, wenn ich den Autostart des Services nicht gelöscht hätte, wäre mein Problem vermutlich nicht aufgetreten, weil der Prozeß dann ungestört sein Unwesen vor mir hätte verbergen können.

Ich bedanke mich für Deinen Kommentar und die Erläuterungen; wie gesagt, mein Problem ist behoben.

Bis zum nächsten Trojaner
Gruß
CMD
__________________

Antwort

Themen zu Rootkit gefunden ?
abgebrochen, abstürze, booten, datei, dll, explorer, gen, google, hijack, ide, immer wieder, lokal, microsoft, nicht mehr, ordner, problem, registry, rootkit, rundll, rundll32.exe, russisch, schloß, suche, symantec, system, träge, verdacht, windows, zufällig



Ähnliche Themen: Rootkit gefunden ?


  1. avast hat Rootkit gefunden
    Log-Analyse und Auswertung - 21.11.2013 (34)
  2. Rootkit gefunden.
    Log-Analyse und Auswertung - 21.05.2013 (11)
  3. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  4. TR/Rootkit.Gen gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.05.2011 (13)
  5. GMER hat Rootkit gefunden!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (1)
  6. Rootkit mit Gmer gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.03.2010 (5)
  7. TR/ Rootkit.L gefunden
    Log-Analyse und Auswertung - 04.02.2010 (1)
  8. Rootkit gefunden!
    Plagegeister aller Art und deren Bekämpfung - 19.01.2010 (15)
  9. Rootkit gefunden. Was tun?
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (1)
  10. Rootkit gefunden
    Mülltonne - 21.08.2009 (2)
  11. Rootkit Agent ODG gefunden
    Plagegeister aller Art und deren Bekämpfung - 05.08.2009 (24)
  12. 'TR/Rootkit.Gen' [trojan] gefunden - HJT- Log
    Log-Analyse und Auswertung - 13.08.2008 (2)
  13. win32:Rootkit-gen [Rtk] gefunden
    Log-Analyse und Auswertung - 11.06.2008 (6)
  14. Rootkit gefunden - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 21.04.2008 (5)
  15. Rootkit gefunden.
    Plagegeister aller Art und deren Bekämpfung - 31.12.2007 (0)
  16. Rootkit gefunden.
    Mülltonne - 31.12.2007 (0)
  17. NAV hat ein Rootkit --> 33gt.0xe gefunden...
    Plagegeister aller Art und deren Bekämpfung - 18.03.2005 (10)

Zum Thema Rootkit gefunden ? - Hallo, ich habe heute mehr oder weniger zufällig ein schon länger bestehendes Problem bei meinem PC (Windows MediaCenter Edition) lösen können. Seit einiger Zeit schien "rundll32.exe" nicht mehr korrekt zu - Rootkit gefunden ?...
Archiv
Du betrachtest: Rootkit gefunden ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.