Win98SE > tödlicher Trojaner Angriff

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6559

04.03.2005 - 11:46

@ colossus: sehr interessant, aber lassen sich solche Core-Verschmutzer nicht durch ein einfaches Ersetzen der betroffenen Sysfiles durch saubere Dateien eines externen Mediums wie einer Boot-Cd aushebeln ?
Ich hatte dieses Problem bereits vor einigen Jahren unter Windows ME und hab die infizierten files explorer.exe und rundll32.exe mit versionsidenten, aber virenfreien Dateien ersetzt und der spukt war vorbei.

Bearbeitet von mr.nice. am 04.03.2005, 11:48

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19771

04.03.2005 - 11:48

Kommt wohl drauf an ...

Gibt ja genügend Programme/Verschmutzer die mehrteilig sind, d.h. die beide gleichzeitig entfernt werden müssen, geht aber nicht weil die Dienste laufen usw. ....

Bei 08/15-Viren reicht ein ersetzen sicher ...

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12144

04.03.2005 - 11:54

Zitat von mr.nice.
@ colossus: sehr interessant, aber lassen sich solche Core-Verschmutzer nicht durch ein einfaches Ersetzen der betroffenen Sysfiles durch saubere Dateien eines externen Mediums wie einer Boot-Cd aushebeln ?
Ich hatte dieses Problem bereits vor einigen Jahren unter Windows ME und hab die infizierten files explorer.exe und rundll32.exe mit versionsidenten, aber virenfreien Dateien ersetzt und der spukt war vorbei.

Ja, das waere natuerlich moeglich, nur setzt das erst einmal voraus, dass man bemerkt, dass da "etwas nicht stimmt". Und wenn das Ding lediglich froehlich personenbezogene Daten sammelt und dann und wann uebers Netz an Cracker X senden, kann es gut sein, dass du dich in Sicherheit wiegst, in der Zwischenzeit aber Stueck fuer Stueck deine (Online-)Identitaet verlierst. Winternals hat kuerzlich ein Tool vorgestellt, das solche Kernel-Rootkits unter WinNT aufspueren soll... aber mal sehen, wuerde mich wundern, koennte man da nicht auch auszen herumrennen...

Bin jedenfalls schon gespannt, was da alles auf euch zukommen wird

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6559

04.03.2005 - 12:01

Ja da wirds dann wirklich duster, wenn mehrere systemnahe Prozesse befallen sind und schadhaften Code ausführen, oder Anwendungen die diesen ausführen, ständig starten.
Zur „Qualitätssicherung“ zaubern kryptische Registry-Einträge im Falle der Eleminierung den „Hasen“ quasi in Echtzeit wieder aus dem Hut mit Hilfe von schreibgeschützten, infizierten Systemwiederherstellungsdateien. -> WÜRG

Bearbeitet von mr.nice. am 04.03.2005, 12:09

meisel

Little Overclocker

Registered: Dec 2001
Location: Wien
Posts: 123

07.03.2005 - 08:14

... für solche Fälle ne Imagesicherung. Sobalds komisch wird, das Restore, lieber einmal mehr als einmal zuwenig ...

mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6559	04.03.2005 - 11:46 @ colossus: sehr interessant, aber lassen sich solche Core-Verschmutzer nicht durch ein einfaches Ersetzen der betroffenen Sysfiles durch saubere Dateien eines externen Mediums wie einer Boot-Cd aushebeln ? Ich hatte dieses Problem bereits vor einigen Jahren unter Windows ME und hab die infizierten files explorer.exe und rundll32.exe mit versionsidenten, aber virenfreien Dateien ersetzt und der spukt war vorbei. Bearbeitet von mr.nice. am 04.03.2005, 11:48
HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19771	04.03.2005 - 11:48 Kommt wohl drauf an ... Gibt ja genügend Programme/Verschmutzer die mehrteilig sind, d.h. die beide gleichzeitig entfernt werden müssen, geht aber nicht weil die Dienste laufen usw. .... Bei 08/15-Viren reicht ein ersetzen sicher ...
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12144	04.03.2005 - 11:54 Zitat von mr.nice. @ colossus: sehr interessant, aber lassen sich solche Core-Verschmutzer nicht durch ein einfaches Ersetzen der betroffenen Sysfiles durch saubere Dateien eines externen Mediums wie einer Boot-Cd aushebeln ? Ich hatte dieses Problem bereits vor einigen Jahren unter Windows ME und hab die infizierten files explorer.exe und rundll32.exe mit versionsidenten, aber virenfreien Dateien ersetzt und der spukt war vorbei. Ja, das waere natuerlich moeglich, nur setzt das erst einmal voraus, dass man bemerkt, dass da "etwas nicht stimmt". Und wenn das Ding lediglich froehlich personenbezogene Daten sammelt und dann und wann uebers Netz an Cracker X senden, kann es gut sein, dass du dich in Sicherheit wiegst, in der Zwischenzeit aber Stueck fuer Stueck deine (Online-)Identitaet verlierst. Winternals hat kuerzlich ein Tool vorgestellt, das solche Kernel-Rootkits unter WinNT aufspueren soll... aber mal sehen, wuerde mich wundern, koennte man da nicht auch auszen herumrennen... Bin jedenfalls schon gespannt, was da alles auf euch zukommen wird
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6559	04.03.2005 - 12:01 Ja da wirds dann wirklich duster, wenn mehrere systemnahe Prozesse befallen sind und schadhaften Code ausführen, oder Anwendungen die diesen ausführen, ständig starten. Zur „Qualitätssicherung“ zaubern kryptische Registry-Einträge im Falle der Eleminierung den „Hasen“ quasi in Echtzeit wieder aus dem Hut mit Hilfe von schreibgeschützten, infizierten Systemwiederherstellungsdateien. -> WÜRG Bearbeitet von mr.nice. am 04.03.2005, 12:09
meisel Little Overclocker Registered: Dec 2001 Location: Wien Posts: 123	07.03.2005 - 08:14 ... für solche Fälle ne Imagesicherung. Sobalds komisch wird, das Restore, lieber einmal mehr als einmal zuwenig ...

Forum Index > Software > Windows

mr.nice.

HaBa

COLOSSUS

mr.nice.

meisel