Malware Befall

Psytrance24

New member
15. Jan. 2012
1.539
20
0
25
Schweiz
Ich hatte Probleme mit einem Sprachupdate von Microsoft .NET Framework 3.5

ich konnte das Teil einfach nicht installieren, und jedesmal kam Update dass ein wichtiges Update installiert werden muss. Nach x-maligem DeInstallieren und Wiederinstallieren, was keine Abhilfe brach. Hab ich mir dann ein Repair Tool für alle .NET Programme heruntergeladen und ausgeführt. Ich befürchte durch dieses Programm ist mein PC nun mit Malware befallen. Ausserdem gab es zu der Zeit auch mehrere Sicherheitsupdates wegen diesem Microsoft .NET zeugs...

Hier habe ich einen Screen von AVG, es findet diverse Rootkits in dieser Datei, aber ich bin sie noch nicht losgeworden, wie werde ich diese Scheisse am besten los?

Ausserdem ist mir aufgefallen dass mein Speicherplatz plötzlich um 50 GB schwankte... und habe das Verzeichnis inetpub auf meiner Platte gefunden dass sich nicht löschen liess (das hab ich geschafft in dem ich Windowsfunktionen deaktivierte)

rootkits.png


Hier drin hat's ja anscheinend ein paar Informatik Kenner, ist das eine künstliche Admin Schleife die mir da injected wurde, oder ist es noch schlimmer?

 
Hab das rausbekommen, war eine Systemdatei vom Anti Malware Tool Spyware Terminator... wieder mal ein Wolf im Schafspelz - gibt es auch sonst schon genug oft auf der Welt...

 
Arbeitest du mit Administratorenrechte auf deiner Kiste?
Nur wenn es ein Programm erfordert.Habe dann mal den Ordner inetpub genauer angeschaut, dort wurden spezielle Rechte an einen trusted user vergeben und dann noch alle Rechte für einen Ersteller-User... das kam mir dann schon verdächtig vor. Hab den Ordner nur löschen können, indem ich Windows Funktionen für .NET deaktivierte. Sonst bekam ich das nicht raus, weil ich die erforderlichen Rechte laut Windows nicht hatte, auch mit Admin Zeugs.Aber es scheint das ganze Malware Zeugs hab ich wegbekommen, jedenfalls macht es momentan den Eindruck :roll:
 
Die Rootkit Meldungen von oben kamen von Spyware Terminator... vielleicht waren es auch falsche Fehlermeldungen von AVG, who knows...

 
Ich denke auch es sind ca. 50% der Rechner befallen, die wenigsten merken was...
Mit Windows PCs sind es 100% Das groesste Stueck Malware wird ja schon mit dem Rechner ausgeliefert. :banana: :mrgreen:
 
Mit Windows PCs sind es 100% Das groesste Stueck Malware wird ja schon mit dem Rechner ausgeliefert. :banana: :mrgreen:
Hab was aufgelesen weil die bei .NET mehrere Sicherheitslücken hatten, kamen dann prompt vor ein Tagen etwa 5 Sicherheitsupdates wegen Microsoft.NET Framework...@mysterionDas ist doch das gleiche wie netstat oder? einfach schöner und wahrscheinlich mehr Möglichkeiten. Hatte als ich geschaut habe, maximal 30 Verbindungen :roll:
 
Bei netstat gibts glaub ich eine continuous Option. Da musst Du halt einfach immer draufschauen. Wireshark zeichnet auf und Du kannsts zB am naechsten Tag auswerten. Und vorallem filtern, die Verbindungen die OK sind nicht mehr anzeigen lassen.

 
Wie wäre die Installation eines richtigen Betriebsystems statt sich mit 30 Malware Typen rumschlagen? :D
Für das ist es zu spät. Und auch die Tipps die man im Internet lesen muss, sofort formatieren alle Passwörter neu machen usw... ja geht's denn noch? wer tut sich das wirklich an? Und sowieso ein falsches Programm ausgeführt und du hast die Schädlinge wieder auf der PlatteDas Progi läuft, zeichnet aber alles auf oder? (mehr als netstat)... wie merke ich am besten, wenn da jemand zugriff hat der nicht zugriff haben sollte? die 30 Verbindungen waren mit x-Internet Fenstern.
 
192.168.1.XXX und 127.0.0.1 sind immer die Adressen des eigenen PC's oder wie muss man das verstehen? also die 127 zeigt netstat...?

 
192.168 ist dein LAN, das ist was auf Deiner Seite des Routers/Modems ist (im Gegensatz zu WAN, das ist das was auf der "Internet-Seite" des Routers ist). 127.0.0.1 ist dein PC (loopback), welcher mit sich selbst ueber den TCP Stack kommuniziert, kannst Du grundsaetzlich rausfiltern.

 
sofort formatieren alle Passwörter neu machen usw... ja geht's denn noch? wer tut sich das wirklich an?
Wahrscheinlich zuwenige. Die meisten Server oder Zugaenge werden nicht direkt gehackt, sondern ueber infizierte Clients. Server sind meist sehr sicher, es nuetzt aber nichts, wenn man auf deinem PC all die Zugaenge auslesen kann.
Das Progi läuft, zeichnet aber alles auf oder?
Ja, definitiv alles. Auch deine Email-Passwoerter, Facebook-Cookies etc. Die Daten aus Wireshark sollten daher auch nicht in falsche Haende geraten :mrgreen: Du kannst das auch auf deiner wlan-Karte oder dem Bluetooth-Stack laufen lassen... Da wird dann auch der WEP Schluessel oder der WPA Handshake aufgezeichnet.
wie merke ich am besten, wenn da jemand zugriff hat der nicht zugriff haben sollte?
Jedes Paket studieren, ob die root/target Destination was mit dir zu tun hat. Duerfte aufwaendig werden.EDIT: Wenn Du weisst, dass kein Fremder in Deinem Netzwerk ist (schau nach den vergebenen IPs im Router), kannst Du ARP auch rausfiltern.
 
Bekommt man noch Angst von dem Zeugs
Ja, Du siehst vielleicht mehr als Dir lieb ist. Aber der andere sieht das ja auch. Der muss naemlich nicht mal auf deinem PC sein, es reicht schon wenn er in Dein Netzwerk kommt (zB ueber WLAN), dann kann er problemlos das alles auch sehen was Du dir gerade anschaust :mrgreen:Mit entsprechenden Cookies braucht er dann nichtmal Dein Passwort fuer Email etc, es reicht wenn er die Cookies bei sich in seinen Browser einspeist.
 
Kannst du kurz sagen was die Farben zu bedeuten haben? oder soll ich mir einfach das User Manual lesen? Grün -> gute Daten Rot -> gefährliche Daten oder so ähnlich?

 
Nein, damit hat es nichts zu tun. Musst es Dir anschauen im manual, die Farben haben oft geaendert in letzter Zeit. Kannst sie auch selber definieren.Wireshark wird Dir nicht sagen koennen, ob das gute oder boese Daten sind (er weiss ja nicht, was Du/das System machen wollen/duerfen). Er zeichnet nur auf. Analysieren musst Du sie selber.