GEMA Trojaner - kein Systemstart im abgesicherten Modus (WinXP)

**kira** · 16.03.2012, 08:05

Zitat von Tacuwa

wieso ich OpenOffice updaten soll?

Software wie Betriebssysteme, Browser und E-Mail Clients werden laufend weiterentwickelt. Gleichzeitig arbeiten jedoch auch Hacker daran, ständig neue Sicherheitslücken zu finden und auszunutzen. Was heute noch keine Schlupflücke für Viren und Würmer ist, kann morgen bereits zur Gefahr werden, wenn der entsprechende Schädling programmiert wurde. Das führt dazu, dass es relativ häufig zu Meldungen über neue Sicherheitsanfälligkeiten kommt, auch wenn diese noch nicht durch Hacker entdeckt wurden. Denn selbstverständlich suchen auch Sicherheitsspezialisten nach potenziellen Angriffsmöglichkeiten. Updates der Softwareentwickler sorgen dafür, dass der User immer die aktuellste und sicherste Version des Betriebssystems und der installierten Software nutzen kann.

**Tacuwa** · 16.03.2012, 08:59

Das Resultat vom gmer-scan

Code:

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-03-16 01:55:15
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3  rev.
Running: zvoxn3gz.exe; Driver: C:\DOKUME~1\Holger\LOKALE~1\Temp\pgddipob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           redbook.sys                                                                F747A000 166 Bytes  [C7, 45, EC, 00, 00, 00, 00, ...]
.text           redbook.sys                                                                F747A0A7 54 Bytes  [C7, 45, E0, 01, 00, 00, 00, ...]
.text           redbook.sys                                                                F747A0DE 58 Bytes  [B5, 47, F7, 51, 8B, 15, 08, ...]
.text           redbook.sys                                                                F747A11A 17 Bytes  [8B, 4D, 08, C7, 41, 78, 00, ...]
.text           redbook.sys                                                                F747A12E 2 Bytes  [8B, 45]
.text           ...                                                                        
?               C:\WINDOWS\System32\DRIVERS\redbook.sys                                    suspicious PE modification

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\System32\svchost.exe[1344] ntdll.dll!NtProtectVirtualMemory     7C91D6D0 5 Bytes  JMP 01F0000A 
.text           C:\WINDOWS\System32\svchost.exe[1344] ntdll.dll!NtWriteVirtualMemory       7C91DF90 5 Bytes  JMP 01F1000A 
.text           C:\WINDOWS\System32\svchost.exe[1344] ntdll.dll!KiUserExceptionDispatcher  7C91E45C 5 Bytes  JMP 01EF000C 
?               C:\WINDOWS\System32\svchost.exe[1344] C:\WINDOWS\System32\smss.exe         image checksum mismatch; time/date stamp mismatch; 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                    mouclass.sys (Mausklassentreiber/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                     otman5.sys (Open Transaction Manager ®/Columbia Data Products, Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                     otman5.sys (Open Transaction Manager ®/Columbia Data Products, Inc.)

---- Modules - GMER 1.0.15 ----

Module          (noname) (*** hidden *** )                                                 F7546000-F7556000 (65536 bytes)                                       

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                      sector 00: rootkit-like behavior

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\$NtUninstallKB46105$\2339851787                                 0 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305                                 0 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\@                               2048 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\cfg.ini                         169 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\Desktop.ini                     4608 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\L                               0 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\L\nnmhraur                      57728 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\oemid                           63 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\U                               0 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\U\00000001.@                    2048 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\U\00000002.@                    224768 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\U\00000004.@                    1024 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\U\80000000.@                    66560 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\U\80000004.@                    12800 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\U\80000032.@                    96256 bytes
File            C:\WINDOWS\$NtUninstallKB46105$\3506988305\version                         864 bytes

---- EOF - GMER 1.0.15 ----

**kira** · 16.03.2012, 10:59

Punkt 10. bitte nicht vergessen!

**Tacuwa** · 16.03.2012, 23:43

Punkt 10 & 11 werde ich in der Nacht von Samstag auf Sonntag machen,
im Moment keine Zeit.
Mal ganz generell, kannst Du mir eine Empfehlung geben
welche Programme ich für die Zukunft für einen guten Schutz
und zur Vorbeugung installieren sollte.
Gibt es Programme die einen Zugriff auf einen PC in real-time melden?

**kira** · 17.03.2012, 06:33

welche Programme ich für die Zukunft für einen guten Schutz
und zur Vorbeugung installieren sollte.

Vertrauen würde ich einem Virenscanner nie 100%ig. Ich vertraue mir selbst am meisten... :teufel2:
Gibt es sowas wie die beste Waffe? Nein, gibt es nicht! Da 100%ige Sicherheit gibt es leider nicht, man kann nur die Sicherheitsmassnahmen erheblich verstärken. Aber nicht mit jede Menge Schutzprogramme, sondern mit Vorsichtsmaßnahmen. Jede Welt hat ihre Regeln, so auch die virtuelle Welt des Internets, die Einhaltung der "Netiquette" wird da empfohlen!

Das Thema Systemsicherheit betrifft selbstverständlich alle Betriebssysteme - bei MS-Windows entwickelt es sich jedoch zu einem Dauerbrenner: Beinahe täglich werden neue Sicherheitslücken entdeckt, die immer wieder die Endanwender betreffen. Die Firma Microsoft vertritt derzeit die Philosophie, alle ihr bekannt gewordenen Sicherheitsprobleme jeden zweiten Dienstag im Monat zu veröffentlichen. Meistens ist es dann nur mehr eine Frage der Zeit, bis ein Virus, Wurm oder Trojaner im Netz auftaucht, der die Sicherheitslücke für seine Zwecke ausnutzt.

Ausserdem hilft das alles nichts, wenn die heruntergeladene Datei oder Programm ursprunglich infiziert ist, es gibt kein Antivirenprogramm oder Sicherheitstool der Welt, das dir 100 % zentigen Schutz bietet bzw das Eindringen von Trojanern zu verhindern kann!:o
Hier die häufigsten Ursachen - Denk- und Anwendungsfehler im Umgang mit Computern:
Ungepatchte Windows und veraltete Software-Versionen
Öffnen eines infizierten E-Mail-Anhangs
Verseuchte USB-Geräte von ein Guter Freund nützen
auf "unsicheren" Seiten surfen (z.B Warez)
Filesharing-Netzwerk eMule & Co
Cracks & Keygens runterladen

Das klingt philosophisch, vielleicht schon irgendwie ein bisschen kitschig aber es ist die Wahrheit.

Gibt es Programme die einen Zugriff auf einen PC in real-time melden?

Ich persönlich bin ja gegen jede Art von zusätzliches Schutz- und Entfernungsprogramme, weil:
- Belasten das System, da sie Speicher belegen
- ständig im Hintergrund laufen - jede geöffnete Anwendung verbraucht Speicher und Systemressourcen
- durch Malware-Angriffe kann jederzeit ausgeschaltet werden
- 1 Firewall und Antivirenprogramm (richtig konfiguriert) + vor allem beim Surfen auch der gesunde Menschenverstand sollten reichen!
- Maßnahmen bei Befall: mit die gezielte Entfernungsmethode erreicht man mehr ;)
Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen;)