AntiRootKit-Fund - RootKitVirus oder lebenswichtiges Organ?

[SK-HEINZ]

Hi,
Ich hab mir heute AVD Anti-Rootkit Free daungeladen und auch gleich
laufengelassen.

Resultat: 1 item found
C:\WNDOWS\System32\Drivers\ahchs5vs.SYS

Beim Anklicken von "Remove selected items" kam die Warnmeldung:

The following action can be dangerous. It is only recommended for
expert users. Removal of some files can damage the system and
leave it in an unbootable state.
Are You sure you want to continue? This can cause irreversible changes
to Your computer! (The files will not be removed but renamed.)

Der Grund für meine Suche war übrigens das etwas seltsame Verhalten beim Booten:
Einschalttaste>Bootschirm mit Bootoptionen >aus (mit leisem Klick wie von nem Relais)
Einschalttaste> nix
Einschalttaste>Bootschirm mit Bootoptionen >aus (mit leisem Klick wie von nem Relais)
Einschalttaste> nix
Einschalttaste> nix
Einschalttaste>Bootschirm mit Bootoptionen >aus (mit leisem Klick wie von nem Relais)
Einschalttaste> nix
Einschalttaste> nix
Einschalttaste> nix
Einschalttaste>Bootschirm mit Bootoptionen > F11>aus
Einschalttaste> nix
Einschalttaste> nix
Einschalttaste> nix
Einschalttaste> nix
Einschalttaste>Bootschirm mitBOOToptionen: Booten mit .....>Enter >
Endlich fährt er hoch.
Komisch.

Wie erkenne ich einen Fund als RK-Virus?

(kopfkratz) fragt sich und Euch

SK-1

 

[Bluescreen]

Rootkits zu erkennen ist schwierig. Der Avira Rootkit Detector findet auf meinem system einige Einträge von denen allerdings die meisten offensichtluich falsch sind.


Dein Problem beim Booten sieht aber doch so aus als ob es noch in der BIOS-Phase, also vor Festplattenzugriff liegt. Das kann doch eigentlich dann kein Rootkit sein, oder ?

 

[Summa]

Wo kommt das klicken denn her, vom eingebauten Lautsprecher, Platte, Netzteil?

 

[SK-HEINZ]

Es klickt sehr leise, wie ein Relais-Klicken,- gleichzeitig stoppt dann das (sehr leise) Festplattensäuseln und der Bildschirm wird schwarz.

 

[marv42dp]

Re: AntiRootKit-Fund - RootKitVirus oder lebenswichtiges Org

Es klickt sehr leise, wie ein Relais-Klicken,- gleichzeitig stoppt dann das (sehr leise) Festplattensäuseln und der Bildschirm wird schwarz.

Das kommt definitiv nicht von einem Rootkit, denn das kann in dem Zustand des Rechners noch gar nicht aktiv sein. Klingt eher nach einem instabilen Netzteil.
Nichtsdestotrotz kann die ahchs5vs.SYS durchaus von einem Rootkit sein. Sie kann aber auch ein Treiber für ein vorhandenes Gerät sein.

 

[Polarphox]

Zum klicken kann ich nix sagen....
Aber zum Dateinamen. Das ist ein generierter Name. Also Malware/Virus

 

[SK-HEINZ]

Danke für die Antworten-
wenn's stimmt und ich die Datei entfernen kann, geb ich nochmal ne Rückmeldung .
Wenn nicht, dann nicht.

SK-1

 

[SK-HEINZ]

Jou
es hat geklappt.
Jedenfalls ist mein Netbüchlein rebootet;
war also nix lebenswichtiges.
Wie ein normaler Start funkt, werd ich morgen probieren.

Danke nochmal für die Hilfe

SK-1

 

[marv42dp]

Da es mit hoher Wahrscheinlichkeit Schadsoftware war, solltest Du die Kiste allerdings neu aufsetzen.
Vertrauenswürdig ist sie durch das Entfernen des Treibers jedenfalls noch nicht wieder.

 

[Mr. Roboto]

Na ja...

Da es mit hoher Wahrscheinlichkeit Schadsoftware war, solltest Du die Kiste allerdings neu aufsetzen.
Vertrauenswürdig ist sie durch das Entfernen des Treibers jedenfalls noch nicht wieder.

Es stimmt schon, daß wenn es ein Virus war, Du davon ausgehen kannst, daß er durch das löschen einer einzigen Datei definitiv noch nicht entfernt ist.
Was ich entschieden anders sehe ist der Rat, Dein System neu aufzusetzen. Man kann ja sein System nicht nach jedem Fehler oder Virusfund neu installieren. Dann könnten wir unsere Rechner auch gleich ausgeschaltet lassen.
Was ich Dir empfehle, ist von einer Linux Rettungs-CD mit Virenscanner zu booten. So etwas ist immer in Zeitschriften wie Chip oder ct' enthalten.
Damit fährst Du hoch, läßt den Virenscanner die neusten Signaturen herunterladen und scannst Deine komplette Platte (am besten mit zwei verschiedenen Programmen). Anschließend läßt Du gnadenlos alles löschen was verdächtig erscheint. Hierbei wäre es allerdings besser, wenn man sich mit seinem System ganz gut auskennt, da man sonst evtl. wirklich eine wichtige Datei über die Wupper gehen lassen kann.

Das Problem, welches Du beim nächsten booten dann noch hast, ist evtl. vorhandene Registryeinträge des Virus' zu löschen (z.B. beim TDSS). Da müßtest Du halt im Netz Details zu den gefundenen Viren erforschen.
Wenn Dir das alles zuviel ist und Du Dein System nicht sonderlich individualisiert hast und auch nicht viel Software installiert hast, dann hat marv42dp schon recht. Dann ist es evtl. einfacher alles neu aufzusetzen (wobei ich das nach wie vor für ein Unding halte - nicht den Tip von marv42dp, sondern die Tatsache daß dies manchmal die beste Möglichkeit sein soll).

 

[SK-HEINZ]

Tja,
dies AVG Anti-RK Free meldet mir jedesmal nach dem Entfernen und
neu Starten beim nächsten Scan den Fund einer
"hidden driver file".
Die heißen nacheinander
alhx939q.SYS
221pzymsSYS
amvjnni9.SYS
a2jri537.SYS

Das ist dann ja wohl der Confickerwurm, der sich bei jedem Start
umbenennt und von AVG wohl erkannt wird, aber nicht entfernt werden kann.

Wenn ich die Datei mit AVG entfernt habe und rebooten will,
blitzt für ne 10tel Sek das Spybotfensterchen auf,
das sonst nach Zulassung der Aktion fragt,
- zu kurz zum Reagieren: das Viech weiß sich wohl zu schützen.

Komisch: nach jedem AVG-Durchlauf (mit Löschung der hidden file)
läuft der Start probemlos, um dann wieder progredierend
Tastendrücke zu fordern: erst 1x, dann2x, dann3x ...;
ansonsten scheint ja alles normal zu laufen.

Das System würde ich ungern komplett neu aufsetzen,
nachdem ich endlich (mit meinem ALDI-AKOYA Netbook!)
REASON, REBIRTH,KORG M1, SAM9 etc mit glatter Performance
ans Schnurren gekriegt habe.
Da ich noch nie neuinstallieren musste, weiß ich nicht,
ob ich alle Freischaltcodes neu anmelden muß, und überhaupt...

Ich danke für die guten Ratschläge
und werde mal gucken, ob und wo es ein Spezialforum
für das Confickerproblem gibt.

SK-1

 

[Polarphox]

Hm...Die Frage ist, was das Ding immer wieder zum vorschein bringt. Manchmal isses da tatschlich zeitlich weniger aufwändig das OS neu aufzusetzten.

 

[marv42dp]

Re: Na ja...

Da es mit hoher Wahrscheinlichkeit Schadsoftware war, solltest Du die Kiste allerdings neu aufsetzen.
Vertrauenswürdig ist sie durch das Entfernen des Treibers jedenfalls noch nicht wieder.

Es stimmt schon, daß wenn es ein Virus war, Du davon ausgehen kannst, daß er durch das löschen einer einzigen Datei definitiv noch nicht entfernt ist.
Was ich entschieden anders sehe ist der Rat, Dein System neu aufzusetzen. Man kann ja sein System nicht nach jedem Fehler oder Virusfund neu installieren.

Man kann nicht nur, man muss!
Es gibt keinen weniger aufwändigen Weg das System wieder vertrauenswürdig zu machen, erst recht wenn die Malware sich, wie in diesem Fall, in Verzeichnisse pflanzen konnte, in die sie ohne Administratorrechte nicht reinkommt.

Dann könnten wir unsere Rechner auch gleich ausgeschaltet lassen.

Man kann es auch übertreiben.

Was ich Dir empfehle, ist von einer Linux Rettungs-CD mit Virenscanner zu booten. So etwas ist immer in Zeitschriften wie Chip oder ct' enthalten.
Damit fährst Du hoch, läßt den Virenscanner die neusten Signaturen herunterladen und scannst Deine komplette Platte (am besten mit zwei verschiedenen Programmen).

Ein Virenscanner kann relativ zuverlässig einschätzen, ob Malware anwesend ist, er kann aber nicht (nie, niemals, wirklich nicht!) zuverlässig die Abwesenheit von Malware attestieren.

Anschließend läßt Du gnadenlos alles löschen was verdächtig erscheint.

Was Du nicht siehst, erregt keinen Verdacht.

Hierbei wäre es allerdings besser, wenn man sich mit seinem System ganz gut auskennt, da man sonst evtl. wirklich eine wichtige Datei über die Wupper gehen lassen kann.

Und wie schätzt man ein, ob etwas verdächtig ist? Welche Kriterien? Und woher weiß ich, ob unverdächtige Dateien nicht verändert wurden?
Dafür brauche ich Prüfsummen aller Dateien eines sauberen Systems. Möglichst aktuell.

Der Aufwand für eine zuverlässige forensische Analyse und anschliessende Entfernung des Schädlings ist immer ganz erheblich höher, als eine Neuinstallation. Erst recht, wenn das für die Analyse und Entfernung notwendige Wissen gar nicht vorhanden ist.

 

[Mr. Roboto]

Re: AntiRootKit-Fund - RootKitVirus oder lebenswichtiges Org

Tja,

Wenn ich die Datei mit AVG entfernt habe und rebooten will,
blitzt für ne 10tel Sek das Spybotfensterchen auf,
das sonst nach Zulassung der Aktion fragt,
- zu kurz zum Reagieren: das Viech weiß sich wohl zu schützen.

Komisch: nach jedem AVG-Durchlauf (mit Löschung der hidden file)
läuft der Start probemlos, um dann wieder progredierend
Tastendrücke zu fordern: erst 1x, dann2x, dann3x ...;
ansonsten scheint ja alles normal zu laufen.

Das Problem ist, daß Du niemals einen Virus untersuchen und entfernen lassen kannst indem Du das OS benutzt, auf dem der Virus ist. Das ging noch nie richtig zuverlässig. Da muss schon ein on-access Scanner mitlaufen. Und zwar vom ersten Tag an.
Ich würde also wirklich empfehlen, von eine Linux Rettungs CD zu booten und zu scannen.
Im Gegensatz zu marv42dp bin ich nach wie vor der Meinung, daß man sein System nicht jedesmal neu aufsetzen muß. Natürlich hat er Recht, wenn er mein, daß kein Virenscanner immer alle Viren findet. Daher ruhig mit zwei oder drei verschiedenen prüfen. Gibt zwar auch keine absolute Sicherheit aber so ist nun einmal das Leben.
Wenn Du neu aufsetzt, hast Du evtl. ruckzuck wieder einen Virus drauf.
Oberstes Gebot: regelmäßig Daten sichern. Da sicherst Du zwar auch immer schön den Virus mit, aber Deine wichtigen Daten halt auch. Niemals nur ein vollständiges Backup vorhalten!

Ach ja, ich gehe mal davon aus, daß Du schon einen permanenten Virenschutz installiert hast, oder? Und zwar einen mit einer aktivierten On-Access Funktion. Alles andere wäre heutzutage extrem fahrlässig. Da kannst Du Dein System dann täglich neu aufsetzen und hast Abends schon wieder Viren drauf.

Mit verdächtig einschätzen meinte ich natürlich das, was Dir vom Scanner angezeigt wurde. Deine persönlich Meinung ist hier nicht gefragt

 

[Neo]

Darum lobe ich mir Imagesoftware (wenn sie denn mal funktioniert), da hat man in 15 Minuten sein System wieder aufgesetzt ohne aufwendige Neuinstallation. Und wenn diese Imagesoftware auch irgendwann in ferner Zukunft mit Satalaufwerken umgehen kann, funktioniert das auch zufriedenstellend. Ich hätte auch keine Lust bei jedem was der Virenscanner als Bedrohung ansieht, alles neu zu installieren, da kann man tatsächlich besser die Kiste auslassen, oder Apple kaufen

 

[marv42dp]

Re: AntiRootKit-Fund - RootKitVirus oder lebenswichtiges Org

Da muss schon ein on-access Scanner mitlaufen. Und zwar vom ersten Tag an.

On-Access-Scanning ist ziemlich nutzlos, und teilweise sogar kontraproduktiv (Stichwort: Risikokompensation).

Ach ja, ich gehe mal davon aus, daß Du schon einen permanenten Virenschutz installiert hast, oder? Und zwar einen mit einer aktivierten On-Access Funktion. Alles andere wäre heutzutage extrem fahrlässig. Da kannst Du Dein System dann täglich neu aufsetzen und hast Abends schon wieder Viren drauf.

Nö. Definitiv nicht. Wer glaubt, dass ein On-Access-Scanner zuverlässig vor Viren schützen kann, ist genau der Kandidat für regelmässige Neuinstallationen.
Wer dagegen ohne Adminrechte arbeitet, und ausführbare Dateien vor dem Öffnen 3-4 Tage "abhängen" lässt und dann on demand scannt, hat kaum was zu befürchten - und braucht gar keinen ressourcenfressenden On-Access-Scanner laufen zu lassen.

 

[SK-HEINZ]

Je nun, das ALDI-Dings wurde ja mit nem Systembackup ausgeliefert.
Blöderweise hab ich aber inzwischen kein neues backup angelegt.
D.h., ich hätte dann den ganzen MÜHSAM entfernten Aldikram (ALDI-Nord FOTO Service,
Aldi Fotonochwas und nochwas, OnlineBankkram, Aldis Lieblingslinksammlung,
Internet"Optimierung", mehrere Benutzerkonten, aktive Webcam, WLAN,
BULLGuard für dann evtl. 69 Euro etc pp wieder im Weg.
Mein trickreich auf Trab gebrachtes Multimusikinstrument wäre erstmal verwüstet.
Wie gesagt, bis auf den StartBug läufts ja meistens ganz gut,-
(manchmal aber auch nur mit einem Prozessorkern halb so schnell,-
nach eben etwas hakeligem Neustart ists dann wieder OK.)

Aber jetzt ists infiziert und ich mag ihm nicht mehr gern die Hand geben.

Natürlich hab ich aktive Virenscanner:
-Avira Antivir,(aktualisiert sich in kurzen Intervallen,
bremst ganz im Gegensatz zu Norton das System nicht spürbar
und hat fürs Fangen auch gute Noten gekriegt.)
-Spybot Search&Destroy sucht nicht virenartige Malware.
-CClean vernichtet nicht von meinen Programmen erzeugte Dateien ,Reste und fremde Endungen
und beschleunigt auch immer ein bißchen.

In der Netzwelt bin ich eher vorsichtig, mißtrauisch und zurückhaltend beim Klicken.

Es ist ja wohl eben ein RootKitVirus, d.h. es sitzt sozusagen unter dem Einschaltknopf
und wird aktiv vor allen anderen Startvorgängen.

Jetzt werd ich mal zum Bahnhof laufen und die Comp-Zeitschriften durchstöbern nach einer LINUX-CD.
Linux ist mir was völlig fremdes unbekanntes.

SK-1