ZeroAccess Rootkit auf Win XP PC - weitere Rechner befallen? Komplette Neuinstallation geplant..
 

Hallo zusammen,

auf dem Windows Rechner meiner Eltern (Windows XP SP3) wurden vorgestern durch Avira AntiVir verschiedene Trojaner gefunden: TR/Crypt.XPACK.Gen, TR/ATRAPS.Gen und TR/ATRAPS.Gen2. Als ich heute einen System Scan mit Malwarebytes durchführte, sah ich, dass sich auf ihrem Rechner das bekannte ZeroAccess Rootkit befindet. Außerdem stellte ich fest, dass eine Datei namens fastprox.dll abgeändert wurde. Dadurch ergab sich bei mir u.a. der Verdacht, dass am Standard DNS Server herumgepfuscht wurde.

Es geht mir im Folgenden nicht darum, das System als solches zu retten, sondern die wichtigsten Daten davon zu sichern. Meine Eltern werden in Zukunft an einem neueren Notebook arbeiten, auf welchem die gesicherten Daten liegen sollen. Auf diesem Notebook kommt demnächst Ubuntu zum Einsatz.

Bevor ich meine eigentlichen Fragen stelle, möchte ich noch kurz erwähnen, welche weiteren Rechner befallen sein könnten. In unserem Haus gibt es neben dem infizierten Rechner zwei weitere Computer. Ein Macbook Pro, an dem ich arbeite, und das erwähnte "neuere" Notebook, auf welchem Ubuntu installiert werden soll.
Der infizierte Rechner und mein Macbook waren bislang über den gleichen Switch mit einem Router verbunden (kurze Zeit war daran auch das andere Notebook!). Ich habe am infizierten Windows Rechner kein Heimnetzwerk oder ähnliches konfiguriert. In OS X Lion auf dem Macbook war die Firewall teilweise aus-, teilweise eingeschaltet.
Auf dem neueren Notebook befindet sich im Moment noch eine aktuelle Windows 7 Installation, welche zugunsten von Ubuntu gelöscht wird. Die Windows 7 Installation erfolgte über Speichermedien, die, soweit ich weiss, nicht mit dem infizierten PC in Berührung kamen.

Jetzt zu meinen Fragen:

1) Kann das ZeroAccess Rootkit auch unter Mac Schaden anrichten?
2) Welches Antiviren/Anti-Malware Tool sollte ich verwenden, um das Macbook nach Malware abzusuchen? Ich habe gestern einen Scan mit dem frei erhältlichen Sohos Virenschutz für Mac ausgeführt. Dieser Scan war negativ.
3a) Kann ich davon ausgehen, dass mein Mac System clean ist und folglich die Linux-Live CD zur Datensicherung am PC herunterladen?
3b) Oder sollte ich noch zusätzlich mit ClamXav und dem Flashback Tool das System durchsuchen?
4) Auch wenn mein Mac System clean ist, könnte es sein, dass in der Router Konfiguration Änderungen vorgenommen wurden, oder (bspw. Standard DNS Server)?

Zwei "Paranoia" Fragen:
_________________________________________________________________

5) Gab es schon den Fall, dass ein Windows Rechner durch die Installation von Little Snitch auf einem MAC mit Malware infiziert wurde? (Ich muss diesen Zusammenhang ausschließen, da es hier zeitliche Parallelen gab.)
6) Gestern morgen wollte ich mein Macbook Pro hochfahren. Erst nach dem dritten Mal Betätigen des An- und Ausschalters fuhr er hoch. Vielleicht habe ich zu schwach gedrückt. Dennoch die Frage: Kann das Ganze mit einem Rootkit im Zusammenhang stehen oder ist da das Programm Little Snitch schuldig, welches u.a. die Boot Caches in OS X abändert?
_________________________________________________________________

7) Wie sollte ich im Groben vorgehen, um sicherzustellen, dass das "Ubuntu Notebook" nicht infiziert wird und mein Macbook Pro nicht auch befallen ist?

Ich habe mir hier im Forum natürlich schon die Tipps zur Neuinstallation durchgelesen. Es ergaben sich dennoch die aufgeführten Fragen. Bitte lasst mich wissen, wie ich nun vorzugehen habe.


Freundliche Grüße,
Matthias

Hi nochmals,

ich hoffe, dass sich hier noch bis heute Abend bzw. morgen Mittag was tut, da ich die Sache übers Wochenende angehen wollte. Falls ich den Thread im falschen Unterforum gepostet haben sollte, bitte ich diesen zu verschieben.

Ich wäre für jede hilfreiche Antwort dankbar!

Viele Grüße,
Matthias

Hi nochmals,

ich hoffe, dass sich hier noch bis heute Abend bzw. morgen Mittag was tut, da ich die Sache übers Wochenende angehen wollte. Falls ich den Thread im falschen Unterforum gepostet haben sollte, bitte ich diesen zu verschieben.

Ich wäre für jede hilfreiche Antwort dankbar!

Viele Grüße,
Matthias

Hi nochmals,

ich hoffe, dass sich hier noch bis heute Abend bzw. morgen Mittag was tut, da ich die Sache übers Wochenende angehen wollte. Falls ich den Thread im falschen Unterforum gepostet haben sollte, bitte ich diesen zu verschieben.

Ich wäre für jede hilfreiche Antwort dankbar!

Viele Grüße,
Matthias

ZAccess gibt es AFAIK nur für Windows

Wozu einen Scanner für den Mac? Es gibt zwar einige Schädlinge, aber die reelle Gefahr ist unter Mac und Linux deutlich geringer als unter Windows
Aber wenn du unbedingt willst, dann nimm sowas zB für den Mac => http://www.chip.de/downloads/avast-F..._49167793.html

Ja sicher kannst du das mit deinem Mac machen :wtf:

vllt ja vllt auch nein - warum prüfst du das nicht selbst einfach im Router? :wtf:

Kann ich so leider nicht beantworten, hast du da genauere Infos?
Was genau soll litlle Snitch sein, seh ich das richtig, dass das so eine Art Desktop-Firewall für den Mac ist? Wenn ja was will man damit auf dem Mac? :balla:
Und inwiefern soll so eine Installation auf dem Mac einen anderen Windows-PC infizieren können? :confused:

Das solltest du hier mal besser im Linux/Unix/Mac Bereich nochmal fragen
Ich bin leider kein Mac-User und kenn mich damit wenig bis garnicht aus, Linux kann ich aber gut helfen

Dass dein Linux befallen ist, halte ich für extrem unwahrscheinlich. Ebenso dein Mac aber falls du Paranoia hast kannst du ja mit einem Scanner deiner Wahl beim Mac rübergehen, obwohl ich das eher als Zeitverschwendung betrachte.

@cosinus: Danke für die Antwort.

Ich habe mein Problem gestern in einem anderen Forum geschildert. Im Anschluss habe ich Da GuRu per PM benachrichtigt, dass er diesen Thread hier sperren bzw. löschen soll. Das hat bisher leider nicht geklappt :).

Wie soll ich denn nun weiter vorgehen? Ich wollte kein Crossposting betreiben. Ich weiss eure Hilfe zu schätzen. Nur brauchte ich irgendeinen Input, weil ich mit dem Problem ganz allein nicht klar kam.


Gruß,
Matthias


P.S.: Ich würde gerne noch die MAC-spezifischen Fragen im Unterforum posten. Ist das noch gestattet?

Na toll danke für das Crossposting :pfui:
Wenn man diese Unsitte schon macht, dann postet man das nicht privat einem Admin sondern hier öffentlich, dass man sich woanders helfen lassen möchte :stirn:

Nichtmal den Link zu deinem anderen Thema hast du gepostet :(

@cosinus:
Da ich meinen Beitrag weder "richtig" bearbeiten, noch eine Antwort auf meinen eigenen Beitrag schreiben konnte, dachte ich eben, dass die beste Lösung wäre, einen Admin zu kontaktieren...Ich entschuldige mich hiermit für das Crossposting!

Hier ist der Link zum Thread im anderen Forum: hxxp://forum.chip.de/viren-trojaner-wuermer/zeroaccess-rootkit-gefunden-neuinstallation-geplant-1669392-page3.html

Aber selbstverständlich kannst du hier antworten schreiben :wtf:
Und du hast eine Stunde Zeit für das Editieren deines Beitrages
Aber danke, dass du nun den Link gepostet hast :daumenhoc

Verzeih meine Reaktion, bei Crosspostings reagier ich immer etwas allergisch :o

Alles Klar. Kein Ding. Das mit dem Editieren macht Sinn. Antworten schreiben geht nur, wenn zwischen zwei Posts des ein und desselben Mitglieds ein anderes Mitglied gepostet hat, oder? (der erste Beitrag von mir ist mehr oder weniger von mir selbst beantwortet worden...)

Hm, also nach meinem Kenntnisstand kannst du schon direkt auf dein Eröffnungsposting antworten, nur wird diese Antwort dann ins Eröffnungsposting gepackt. Vllt hat Cheffi ja auch wieder was verändert ;) wer weiß :D

Zum Schluss will ich auch in diesem Thread ein Dankeschön loswerden. Vielen Dank für deine Beiträge, cosinus!