Rootkits, die neue Bedrohung für PCs

Danke

Hi,

Zitat

nix ix, nix löschen. Bleibt gesperrt.
Und nu?

Feix!!!!!

Freue mich, dass es nun endlich auch mal den Oberguru trifft!
Wie hast Du doch mal so schön formuliert?

______Zitat an__________

Datenverlust finde ich geil

______Zitat aus_________

Ist zwar noch nicht so weit, aber die Übermutti hat jetzt wohl endlich mal eine Lektion erteilt bekommen.

Tom

Wenn Du als Admin drin bist, sollte es gehen, mit beschränkten Rechten geht's nicht.
Also : <F8> SecureMode -> login as administrator

Sonst hättest Du ein Problem.

Zu Rootkits allgemein : Das ist ja eher ein Linux-Problem, das neuerdings auf Windows übergesprungen ist.
Allerdings suche ich schon seit langem nach einem passenden Linux-Tool.
Nix bis jetzt, immer die mühselige Suche über die laufenden Prozesse .....

E.Z.

Hallo E.Z.,

also, soviel darf man mir zutrauen, daß ich mit Adminrechten eingeloggt bin.
Das Einzige, was über Adminrechten steht, ist SYSTEM.
Iit der Rechte-Oprtion "jeder" in regedt32 ist SYSTEM aber NICHT enthalten.

Wie gesagt, es sind nur Einträge in der Registry, die auf nichts mehr verweisen, was im System wirklich vorhanden ist, nur interessieren täte es mich.

Es ist eigentlich kein "Problem", nur Interesse.

Aber Roland,

was für eine Frage!

Zitat

nix ix, nix löschen. Bleibt gesperrt. Und nu?

...-Partition löschen und Image neu einspielen,

rät Dir Günter

Hallo Günter,

das von Dir Geratene erkläre mir bitte einmal genauer.

Gern, Roland,

ich darf doch davon ausgehen, daß Du der "Speicherkönig" bist, gelle? :-))

Dann hast Du doch von jeder Partition der HD ein "neuestes" Image?

Mit völliger Neuformatierung ( dieser Ausdruck ist nicht wissenschaftlich, ich weiß das...-) hast Du doch alles weg, was Du nicht löschen kannst, aus welchen Gründen auch immer? Ist doch so, gelle?

..., und dann rüber mit dem Image - alles ist wieder "jungfräulich".

Ich bin mir sicher, daß Du das alles gewußt hast. Nun sage mir doch bitte einmal, warum Du mich fragtest?

Ich grüße Dich
Günter

Hi,

Roland hat sicher gefragt, weil man vor dem Rückspielen eines Images keinerlei Formatierungsarien durchführen muss!

Außerdem könnte es sein (nein, eigentlich nicht bei der Übermutti Roland) dass das Problem schon seit mehreren Monaten besteht und erst jetzt aufgefallen ist.
Dann nützt natürlich auch kein aktuelles Image, sondern nur eine Image-History, die bis in die Zeit vor dem "Problem" zurückreicht.

Gruß vom Sicherheitschef
Tom

Bingo Tom,

und genau deswegen wollte ich von Günter die genaueste (ja, Superlative steigert man nicht mehr) Vorgehensweise dargelegt bekommen.

Lieber Günter, es nutzt gar nix, ein Image aufzuspielen, in dem dieses , sagen wir mal, Symptom, bereits enthalten ist. Danke für die schöne, liebe Anleitung ;-).

Als Beispiel habe ich hier einen von insgesamt 7 Auszügen der Registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1f0d-188a-9400fd62c15f}]

Was beim Export dieses Registry-Zweiges nicht herauskommt:

In der Registry erscheint ein Schlüssel: InprocServer32

Normalerweise ist dort als Wert ein String, der auf eine DLL verweist, enthalten.
Genau diese DLL wäre ja eventuell gefährlich.

Bei mir ist da nix!
Und genau, weil da nix ist, ist das zwar ungefährlich, aber eben auch nicht zu löschen (Nulleintrag).

Rootkitrevealer sagt:

HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1f0d-188a-9400fd62c15f}\InprocServer32* 27.12.2004 16:16 0 bytes Key name contains embedded nulls (*)

Man muß nicht alles verstehen, schön wär's aber schon.

Also, Tom, nix mit Datenverlust, im Gegenteil:
7 nicht löschbare Einträge zu viel.

Vor dem RootkitRevealer kann ich nur warnen !
Wer da einfach hingeht und Schlüssel löscht, kann von vornherein mit Problemen rechnen. Selbst MS hat einige Schlüssel mit Nullen in der Registry, die unbedingt für die Systemstabilität notwendig sind.
Ich weiss, wovon ich rede ( hatte aber ein Image im Hintergrund und die Registry zudem nochmal gesichert ).
E.Z.

Hallo Jungs (E.Z. und Edi),

das war hier NICHT die Frage!

@ Beide:
Image habe ich, IMMER, und immer sehr aktuell.
Registrybackup (im exportierten ASCII-Format) habe ich auch.

@ Edit
Es geht hier auch nicht um ein Rootkit.
Es geht, schlichtweg, um redundante Einträge in der Registry.
Es sind so um die 1k an Informationen, die da nix zu suchen haben, weil überflüssig.
Und es geht um das Interesse, etwas zu löschen, was nicht so einfach zu löschen ist.

Jungs, ganz einfach. Ich will es nur wissen.
Klar, das NICHTwissen bringt mich nicht um, aber der Forscherdrang ist geweckt.

Hallo Edi,

soweit verstanden.

Nein, habe ich nicht.

Aber ich verfolge jetzt zwei andere Wege:

1. RootkitRevealer-Forum

2. Der at-Befehl in Windows.
Der at-Befehl kann in der Eingabeaufforderung gestartet werden, zu einem bestimmbaren Zeitpunkt, mit einem bestimmbaren Parameter (hier dann wiederum die Eingabeaufforderung, damit man auch Eingaben tätigen kann mit dem Schalter /interactive, und dann kann man, innerhalb dieser Umgebung, eine Anwendung starten)

also sieht das so aus:

at [Uhrzeit] /interactive cmd.exe
bei gestartetem Fenster dann darin regedit.exe starten

Vorteil der Sache: alle Anwendungen laufen dann unter SYSTEM, also direkt mit den höchsten Rechten.

Ich werde berichten.

Soll ja nicht heißen, man wäre faul und/oder einfallslos (gelle Tom?)

Hallo,

beide Methoden führten bisher nicht zum Ziel:

der at-Befehl hat auch mit System keine Auswirkungen auf die Registry.

Das Forum bietet keine brauchbaren Lösungen, nur:
Nullbyteeinträge sind harmlos, aber das weiß man ja schon.

Und Regseeker löscht auch nicht.

Mit Müll in der Registry muß man wohl leben wie mit Müll an den Straßenrändern.

Hi,

setze doch bei den Berechtigungen "Jeder" und dann "Vollzugriff".

Das sollte klappen.

Tom

Erde an Tom ->

das hat Erde nicht verstanden (siehe den bisherigen Schrättverlauf)!

Hi,

vielleicht mal ausprobieren

komischerweise habe ich den Schlüssel überhaupt nicht in meiner Registry.

Tom an Erde