Ergebnis 1 bis 6 von 6

Rootkit H8SRT

Erstellt von phimax, 10.01.2010, 21:54 Uhr · 5 Antworten · 1.513 Aufrufe

  1. #1
    Avatar von phimax

    Registriert seit
    03.12.2002
    Beiträge
    14.274

    Rootkit H8SRT

    Nur mal so...

    Heute rief mich ein Freund an und fragte, ob ich mal sein Notbook anschauen könne. Irgendwas stimmt da nicht...

    Da er eher als DAU bezeichnet werden kann, das Teil selten nutzt und Norton 'Vollschutz' installiert hat, dachte ich an 'Fehlbedienung' und nahm nur meinen normalen USB Stick mit den Standardanwendungen mit.

    Er erzählte, es fing kurz vor Weihnachten an. Fehlermeldung von Norton und dann nicht mehr aufrufbar. Fehlermeldung beim starten (MSASCUI.exe), das Sicherheitscenter deaktiviert, ein Klick auf Einschalten bringt (reproduzierbar) einen Bluescreen, keine Internetzugriff mit Browsern mehr.

    Hm, also wohl doch 'Infektion'.
    Also erstmal Norton (da Lizenz am ablaufen) deinstalliert und die üblichen Reste mit entsprechedem Tool (von der Symyntec Supportseite) entfernt. Neusart jetzt schon spürbar schneller. Internetzugriff mit Browsern wieder möglich. IE7 Startet ständig von selbst...

    Jetzt mußte Anti-Schadware her - nur es konnte keine wirklich installiert werden. AV verschiedener Anbieter (der von MS brachte Bluescreen), Sysbot & Dingens, nix lief. OK, Avira Notfall CD runtergeladen... Brennprogramme finden keinen Brenner

    Letztlich brachte mich ein Thread im Trojaner-Board auf ein Rootkit (H8SRT). Dort einen Link zu einer Datei geklickt (revenger oder so), einfach ohne Skript gestartet, Rootkit soweit entfernt, sodas ein installiertes Antivir pötzlich lief und noch ein paar Reste fand und entfernte. Spybot lief nun auch und fand noch ein paar Kleinigkeiten.

    Vistas SP2 und IE8 installiert, den Defender und die Benutzersteuerung aktiviert. Ich hoffe, jetzt ist erstmal wieder Ruhe...


    P.S. Das war mein Erstkontakt mit einem Rootkit. Find es recht interessant, wie (einmal installiert/infiziert) 'Gegenmaßnahmen' ausgehebelt werden. AV etc. lassen sich nicht mehr starten, Zugriff auf Internet und sogar auf Brenner funktionieren nicht mehr.

    OK, booten mit einer aktuellen AV Notfall CD sollte schnelle Abhilfe schaffen, doch wenn die CD fehlt, wird's etwas schwieriger

  2.  
    Anzeige
  3. #2
    Avatar von phimax

    Registriert seit
    03.12.2002
    Beiträge
    14.274

    Re: Rootkit H8SRT

    Achso, eine Frage noch:
    Wo/Wie 'fängt' man sich ein Rootkit trotz AV-Software eigentlich ein?

  4. #3
    Avatar von ChangLek

    Registriert seit
    01.06.2004
    Beiträge
    4.161

    Re: Rootkit H8SRT

    ....... in der Zeit, in welcher der Rechner hochfährt bis sich die AV-Anwendung aktiviert hat.......

  5. #4
    Avatar von phimax

    Registriert seit
    03.12.2002
    Beiträge
    14.274

    Re: Rootkit H8SRT

    Hier steht etwas über die Funktionsweise.

    Nur wie bzw. wo infiziert man sich damit? Internet?
    Sony hatte das ja mal ganz 'offiziell' gemacht...

  6. #5
    Avatar von tomtom24

    Registriert seit
    09.03.2006
    Beiträge
    4.421

    Re: Rootkit H8SRT

    Geh mal zu Hijack This und erstell ein Protokoll. Dann lade das hoch und hol Dir die Expertenmeinungen ein.

    Was auch noch gut ist, ist ComboFix, gleichzeitig aber gefaehrlich. Da solltest Du schon wissen was Du tust.

    Ausserdem habe ich ein extrem gutes Trojaner Programm gefunden (das findet noch, wo die meisten AV-Programme die Fluegel strecken): Trojan Remover

    Anschliessend dann noch die Kiste mit Ashampoo Win Optimizer optimieren und gut ist

  7. #6
    Avatar von Rooy

    Registriert seit
    26.04.2004
    Beiträge
    1.117

    Re: Rootkit H8SRT

    Na Super, das selbe Problem hatte ich letztes Wochenende zu lösen!
    Das Teil wird nicht mal mit einem Linux Scanner lokalisiert!
    Das Problem war im Abgesicherten Modus liefen die Removal Tools nicht und normal ist der Desktop nach ein paar Sekunden eingefroren!
    Nach Stundenlangem durchforsten der Registry und allem trallalla habe ich dann im Abgesicherten Modus ca. 100 GB Daten gesichert und neu Installiert!
    Es ist eine Update Datei flash9 trallalla die durch ein link oder Klick auf einer Videodatei runtergeladen wird!
    Im nachhinein sollte man alles was Adobe betrifft in der Reg löschen, das ist nicht wenig :-)
    H8SRT.sys, Win32:Rootuit-Gen, TRJ/Spyform.BQ / Adobe_Flash9.exe Update das waren die kleinen ....... :-)

    Rooy

Ähnliche Themen

  1. Rootkit verursacht Windows-XP-Bluescreens
    Von Doc-Bryce im Forum Computer-Board
    Antworten: 11
    Letzter Beitrag: 16.02.10, 13:17