Netz-Treff

Nachricht aus dem Archiv

cosinus schrieb am 08.June.2009, 14:14:50 in der Kategorie pc.security

Rootkit mit wechselndem Namen

Moin zusammen,

ich hab hier auf einem Windows-Rechner (SP3, IE7) über ein RSIT-Log wahrscheinlich ein Rootkit gefunden. Jetzt ist die Frage, die sich mir stellt: Ist das bösartig?
Kennt jmd den Treiber und kann vllt Entwarnung geben? Kann es sein, dass das durch die Daemon-Tools installiert wird?

Über keinen Dateimanager kommt man an diese Datei ran, aber man kann über Copy&Paste des kompletten Pfades direkt sie z.B. bei Virustotal auswerten. Über den Firefox bin ich auch rangekommen: Direkten Pfad zur Datei, die angeblich per Rootkit versteckt ist, in die Adresszeile kopiert, danach konnte ich sie mir \"runterladen\" - hab ich getan, auf den Desktop.

Über Eigenschaften, version wird mir das angezeigt:

Dateiversion:   5.1.2600.5512
Beschreibung:   IDE/ATAPI Port Driver
Copyright:      © Microsoft Corporation. All rights reserved.

Angeblich von Microsoft?? :surprised: :confused: :kratz:

Weitere Eigenschaften:
Bei jedem Windows-Start ändert der Lurch wohl seinen Namen! Denn: Über den Avenger wollte ich den Treiber und die Datei löschen. Doch das scheint irgendwie nicht zu klappen, beim nächsten Windows-Login startet der Rechner automatisch neu (fühlt sich wie ein Absturz an), der nächste Start geht sauber durch und man kann wieder arbeiten.
Avenger konnte die Datei und den treiber nicht löschen, da angeblich nicht vorhanden, allerdings enthüllt ein neues RSIT-Log zum gleichen Rootkit einen anderen Namen, sowohl für den Treiber als auch den Dateinamen.

Weitere Infos:

File size: 96512 bytes
MD5   : 9f3a2f5aa6875c72bf062c712cfa2674
SHA1  : a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9

Wenn Interesse besteht, kann ich diese Datei gerne zur Verfügung stellen (Markus vllt?).

Rootkit mit wechselndem Namen cosinus - 08.June.2009, 14:14:50 - (pc.security)
- Rootkit mit wechselndem Namen Markus - 18.June.2009, 02:35:53
  - Rootkit mit wechselndem Namen Markus - 18.June.2009, 02:41:48
    - Rootkit mit wechselndem Namen cosinus - 18.June.2009, 14:07:21
      - Rootkit mit wechselndem Namen Markus - 18.June.2009, 15:48:21
        Rootkit mit wechselndem Namen cosinus - 18.June.2009, 16:00:31
- OT: Rootkit Johann [Gast] - 08.June.2009, 21:47:45
  - OT: Rootkit cosinus - 08.June.2009, 21:50:57
    - OT: Rootkit Johann [Gast] - 08.June.2009, 21:57:45
      - OT: Rootkit cosinus - 08.June.2009, 22:10:20
        OT: Rootkit Johann [Gast] - 11.June.2009, 15:55:41
        OT: Rootkit Johann [Gast] - 11.June.2009, 17:01:03
        OT: Rootkit cosinus - 11.June.2009, 18:24:57
        OT: Rootkit Johann [Gast] - 11.June.2009, 19:50:37
        OT: Rootkit cosinus - 11.June.2009, 19:59:50
        OT: Rootkit Johann [Gast] - 11.June.2009, 20:29:24
        OT: Rootkit cosinus - 11.June.2009, 20:34:19
        OT: Rootkit Johann [Gast] - 11.June.2009, 20:48:36
        OT: Rootkit cosinus - 11.June.2009, 20:56:10
        OT: Rootkit Johann [Gast] - 11.June.2009, 20:59:55
        OT: Rootkit cosinus - 11.June.2009, 21:08:55
        OT: Rootkit Johann [Gast] - 11.June.2009, 21:11:29
        OT: Rootkit cosinus - 11.June.2009, 21:04:53
        OT: Rootkit Johann [Gast] - 11.June.2009, 21:09:28
        OT: Rootkit cosinus - 11.June.2009, 21:15:06
        OT: Rootkit Johann [Gast] - 11.June.2009, 21:22:37
        OT: Rootkit Johann [Gast] - 08.June.2009, 22:15:52
        OT: Rausch ausgeschlafen? Oder pennste noch (schon wieder ;-) ) cosinus - 10.June.2009, 00:14:36
        OT: Rausch ausgeschlafen? Oder pennste noch (schon wieder ;-) ) Johann [Gast] - 10.June.2009, 01:09:22
        OT: Rootkit cosinus - 08.June.2009, 22:30:12
- Ist das die atapi.sys ? cosinus - 08.June.2009, 14:55:32
  - Ist das die atapi.sys ? RoyMurphy - 08.June.2009, 15:27:37
    - Ist das die atapi.sys ? cosinus - 08.June.2009, 16:55:23
      - Ist das die atapi.sys ? Hackertomm - 08.June.2009, 20:06:32
        Ist das die atapi.sys ? cosinus - 08.June.2009, 20:11:34
        Ist das die atapi.sys ? Hackertomm - 08.June.2009, 20:26:14
        Ist das die atapi.sys ? cosinus - 08.June.2009, 20:35:53
        Ist das die atapi.sys ? Hackertomm - 08.June.2009, 20:57:11
        Ist das die atapi.sys ? Jeff Clay - 08.June.2009, 20:47:20
        Ist das die atapi.sys ? cosinus - 08.June.2009, 20:52:32
        Ist das die atapi.sys ? Jeff Clay - 08.June.2009, 21:05:20
        Ist das die atapi.sys ? cosinus - 08.June.2009, 21:28:22
      - Ist das die atapi.sys ? RoyMurphy - 08.June.2009, 18:17:04
        Ist das die atapi.sys ? cosinus - 08.June.2009, 20:09:31
        RSIT-Logfile - Nachtrag RoyMurphy - 08.June.2009, 23:24:16
        RSIT-Logfile - Nachtrag cosinus - 09.June.2009, 10:37:55
        RSIT-Logfile - Nachtrag RoyMurphy - 09.June.2009, 14:17:36
        RSIT-Logfile - Nachtrag cosinus - 09.June.2009, 14:34:35
        RSIT-Logfile - Nachtrag RoyMurphy - 09.June.2009, 15:14:22
        RSIT-Logfile - Nachtrag cosinus - 09.June.2009, 16:35:44
        RSIT-Logfile - Nachtrag RoyMurphy - 09.June.2009, 17:23:59
        RSIT-Logfile - Nachtrag cosinus - 09.June.2009, 16:27:36
        Ist das die atapi.sys ? RoyMurphy - 08.June.2009, 22:52:50
        Ist das die atapi.sys ? cosinus - 09.June.2009, 09:43:12