Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

Verfolgung starten Optionen

Rootkit, ungültige Zertifikate, Avast

Martin 17 / 18 Antworten / Baumansicht Nickles

Hallo,

ich hatte vor einigen Tagen das folgende Problem:

- wenn ich Google oder Alternate besuchen wollte, wurde mir mitgeteilt: "Diesem Zertifikat wird nicht vertraut etc."

- trotz der Warnung bestätigte ich, dass ich das Risiko kenne und konnte somit auf beide Seiten zugreifen

- plötzlich kam keine Internetverbindung mehr zustande und beim erneuten Installieren des LAN-Treibers wurde gemeldet, dass der

Controller nicht vorhanden sei

- irgendwann kam ich auf die Idee den PC mit Avast zu scannen

- der Scan meldete plötzlich einen Rootkit auf dem PC; den Rootkit ließ ich beseitigen

- danach konnte ich den LAN-Treiber neu installieren

- die Warnungen bei Google und Alternate bezüglich des Zertifikats sind auch verschwunden

Was denkt Ihr über die Geschichte?

bei Antwort benachrichtigen
Max Payne Martin 17 „Rootkit, ungültige Zertifikate, Avast“
Optionen
Was denkt Ihr über die Geschichte?

Gegenfrage: Hältst Du das System, so wie es jetzt ist, für vertrauenswürdig?

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Martin 17 Max Payne „Gegenfrage: Hältst Du das System, so wie es jetzt ist, für ...“
Optionen

Ich benutze einen anderen PC und einen anderen Zugang.

Ich arbeite viel mit Acronis, aber die alten Images werde ich löschen.

Aber ich halte auch den neuen PC nicht für vertrauenswürdig und werde wohl nicht um eine vollständige Neuinstallation mit einem anderen Betriebssystem herumkommen.

Momentan benutze ich Windows 7.

bei Antwort benachrichtigen
gelöscht_305164 Max Payne „Gegenfrage: Hältst Du das System, so wie es jetzt ist, für ...“
Optionen

Wenn eine Maschine merkwürdig läuft, wird der Schaden repariert. Wenn man ihn denn lokalisieren kann.

In diesem Fall wird selbstverständlich das System neu gemacht.

Das mache ich mit meinen Luxen auch so.

bei Antwort benachrichtigen
nemesis² Martin 17 „Rootkit, ungültige Zertifikate, Avast“
Optionen

Was für ein Rootkit?

Ohne genau zu wissen, was wirklich (aktiv) drauf war, ist es schwer abzuschätzen, ob die Kiste wieder vertrauenswürdig ist bzw. wird. Ok, ich hatte damals auch ziemlich radikal durchgegriffen und so nur mühsam herausbekommen, was es gewesen sein muss.

Erst wenn man genau weiß, was drauf war, kann man abschätzen, wie weit man - vorsorglich - säubern sollte.

Der Virenscanner muss das Rootkit nicht wirklich und ggf. auch nicht vollständig entfernt haben. Und wenn, dann sollte das von einer Boot-CD etc. erfolgen.

Wenn du von Boot-CD den MBR löschst und sämtliche Partitionen neu erstellst, dann Win wieder installierst bzw. ein - garantiert sauberes - altes Image zurückspielst, sind normalerweise so ziemlich alle Rootkits tot.

Vorher macht man natürlich Backup.

Wenn man unbedingt die Datenpartitionen unberührt lassen will/muss, reicht es normalerweise auch, nur den Bootcode im MBR + Bootsektoren der restlichen Partitionen vorsorglich zu "erneuern".

Es bleibt die Frage, wie es draufgekommen ist.

Normalereweise bleiben die auf dem Rechner, auf dem sie "installiert" wurden. In seltenen Fällen ist aber auch eine unbemerkte Infektion weiterer Platten möglich (deshalb sollte man genau wissen, was drauf war).

Die alten Images würde ich nicht gleich löschen, sondern mal nach Malwar scannen lassen. Vielleicht findest du so eine Infektionsquelle.

PS: Falls du noch kein vernüntiges Backup samt Versionierung und nach der 3,2,1-Regel hast, ist das ein Grund mal darüber nachzudenken.

bei Antwort benachrichtigen
gelöscht_305164 nemesis² „Was für ein Rootkit? Ohne genau zu wissen, was wirklich aktiv ...“
Optionen
Der Virenscanner muss das Rootkit nicht wirklich und ggf. auch nicht vollständig entfernt haben.

Das ist doch mal eine Aussage.

In seltenen Fällen ist aber auch eine unbemerkte Infektion weiterer Platten möglich

Peinlich.

Vielleicht findest du so eine Infektionsquelle.

Jetze hört es auf!

Ottonormaluser zieht sich so ein Ding über eine Mehl, Stick vom besten Kumpel o.s. Viel Spaß beim Suchen. Das Suchen kommt nämlich vor dem Finden.

bei Antwort benachrichtigen
Martin 17 nemesis² „Was für ein Rootkit? Ohne genau zu wissen, was wirklich aktiv ...“
Optionen

Ich konnte das alte Image wiederherstellen, dank Acronis.

Es zeigt das selbe Verhalten, wenn ich Google oder Alternate (Versandhändler für Elektronik) aufrufen möchte.

Ich benutze "startpage.com" als Suchmaschine.

"Dieser Verbindung wird nicht vertraut

Sie haben Firefox angewiesen, eine gesicherte Verbindung zu www.google.com aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.

Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.
Was sollte ich tun?

Falls Sie für gewöhnlich keine Probleme mit dieser Website haben, könnte dieser Fehler bedeuten, dass jemand die Website fälscht. Sie sollten in dem Fall nicht fortfahren."

So lautet die Meldung.

Ich könte jetzt bestätigen, dass ich das Risiko kenne u.s.w......

Übrigens, ich habe Kaspersky Internet Security installiert!

Ich mach mal gerade einen Scan....

bei Antwort benachrichtigen
gelöscht_305164 Martin 17 „Ich konnte das alte Image wiederherstellen, dank Acronis. Es zeigt ...“
Optionen
Übrigens, ich habe Kaspersky Internet Security installiert!

Genial.

Kaspersky hat Probleme.

Gurgel mal.

bei Antwort benachrichtigen
Martin 17 gelöscht_305164 „Genial. Kaspersky hat Probleme. Gurgel mal.“
Optionen

Ok, ich werde jetzt McAfee runterladen und das System scannen.

Danach installiere ich Bitdefender Internet Security und scanne noch einmal.

Hard work!

bei Antwort benachrichtigen
Martin 17 Nachtrag zu: „Ok, ich werde jetzt McAfee runterladen und das System scannen. ...“
Optionen

MacAfee, Null Punkte.

Jetzt kommt Bitdefender.

Ich habe die Ausnahmeregeln noch nicht bestätigt und es läuft nur eine HD.

bei Antwort benachrichtigen
Martin 17 Nachtrag zu: „MacAfee, Null Punkte. Jetzt kommt Bitdefender. Ich habe die ...“
Optionen

Was soll ich sagen?

Plötzlich sind alle Warnhinweise bezüglich ungültiger Zertifikate verschwunden.

Als hätte jemand mitgelesen! und den Rootkit abgeschaltet.

Ich bin mehr als überrascht!

Nochmals, es gab keinerlei Hinweise auf Viren oder Rootkits durch die Virenscanner.

bei Antwort benachrichtigen
giana0212 Martin 17 „Was soll ich sagen? Plötzlich sind alle Warnhinweise bezüglich ...“
Optionen

Eine Scanner-CD erstellen und booten. Von da scannen.

Also so eine hier:

http://www.nickles.de/forum/viren-spyware-datenschutz/2015/ct-desinfect-2015-erschienen-539126150.html

Sollte CDs gibt es auch zum Download, z.B. bei Kaspersky, G-Data, Avira.

http://support.kaspersky.com/de/4162

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
Martin 17 giana0212 „Eine Scanner-CD erstellen und booten. Von da scannen. Also so eine ...“
Optionen

Deinen Ratschlag werde ich morgen durchführen.

Jetzt bin ich einfach zu müde, um noch weitere Aktionen durchzuführen.

Vielen Dank für die Mühe.

bei Antwort benachrichtigen
Martin 17 Nachtrag zu: „Was soll ich sagen? Plötzlich sind alle Warnhinweise bezüglich ...“
Optionen

Jetzt habe ich Avast Internet Sec. installiert.

Alle Warnhinweise auf abgelaufene Zertifikate sind plötzlich verschwunden.

Alles weg, als hätte jemand online mitgelesen!!!

Ich installiere morgen das unsichere Image noch einmal.

Mal sehen, was dann passiert.

bei Antwort benachrichtigen
Martin 17 Nachtrag zu: „Ich konnte das alte Image wiederherstellen, dank Acronis. Es zeigt ...“
Optionen

Der Scan mit Kaspersky zeigte keine Infektion.

Was sollte ich jetzt tun?

Soll ich wieder die Ausnahmeregeln bestätigen?

Es läuft jetzt nur noch Laufwerk C: mit Win7, alle anderen HDs wurden deaktiviert.

bei Antwort benachrichtigen
shrek3 Martin 17 „Ich konnte das alte Image wiederherstellen, dank Acronis. Es zeigt ...“
Optionen
"Dieser Verbindung wird nicht vertraut

Stimmt denn die Systemzeit auf dem Rechner?
Schau doch mal rechts unten in der Taskleiste und korrigiere sie ggf.

Sollte das bei dir der Fall sein, ist die BIOS-Batterie leer. Tausche die Batterie und rufe anschließend das BIOS auf, um die Systemzeit zu aktualisieren.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Martin 17 shrek3 „Stimmt denn die Systemzeit auf dem Rechner? Schau doch mal rechts ...“
Optionen

Als das Problem auftrat, tauschte ich sofort die BIOS-Batterie.

Die alte Batterie hatte noch ca. 3 Volt, die neue natürlich 3,3 Volt.

Außerdem habe ich die CMOS-Clock-Einstellungen gelöscht und danach ein uraltes BIOS aufgespielt, welches ich danach mit dem neuesten BIOS überschrieb.

Asus Z87a mit Intel 4670K.

Danke für den Hinweis.

bei Antwort benachrichtigen
Martin 17 Nachtrag zu: „Rootkit, ungültige Zertifikate, Avast“
Optionen

Keine Probleme mit Bitdefender, schärfste Einstellungen.

bei Antwort benachrichtigen
Martin 17 Nachtrag zu: „Rootkit, ungültige Zertifikate, Avast“
Optionen

Liebe Freunde vom nickles-blog,

vielen Dank für eure Hinweise und Hilfestellungen, aber jetzt bin ich müde und gehe in die Falle.

Schlaft gut, bis morgen.

Martin 17

bei Antwort benachrichtigen