Habe ich ein bösartiges Rootkit eingefangen?

Hallo,

seit 2 Jahren arbeite ich ohne größere Probleme mit einem DELL Inspiron 8600 Notebook (80 GB, 4 Partitionen). Hauptsächlich Office-Anwendungen und Internet mit nur geringen Downloads.

Das System ist abgesichert durch F-Secure Anti-Virus und Internet Security. Alles, einschließlich WIN XP Home auf dem akt. Stand und zusätzlich überwacht mit den TuneUp Utilities.

Ab Ende Okt. 05 habe ich aufgrund eines c't Artikels auch noch O&O Defrag regelmäßig eingesetzt.

Am 22. Feb. wollte ich den Fragmentierungsgrad überprüfen (zuletzt am 21.). Analyse oder auch Fragmentieren verliefen in einer Zeitschleife ohne jedes Ergebnis und mußten abgebrochen werden. Eine Neuinstallation von O&O Defrag brachte keine Änderung. Zeitgleich stellte ich fest, das MS-Outlook ca. um den Faktor 5 langsamer arbeitet. Alle anderen (auch Office-) Programme laufen scheinbar wie gewohnt. Daraufhin habe ich Rootkit Revealer bemüht, der mir folgendes Ergebnis zeigte:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 14.10.2005 11:04 0 bytes Key name contains embedded nulls (*)

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 22.02.2006 19:46 64.00 KB Visible in Windows API, but not in MFT or directory index

Das erste Ergebnis kannte ich schon von einem Scan vor dem Einsatz von O&O. Ich denke harmlos. Das zweite ist neu! Eine Suche nach tmp.edb verlief wie erwartet ergebnislos.

Am 25. Feb. habe ich Rootkit Revealer erneut eingesetzt und nach dem Scan nur noch das 1. (alte) Ergebnis vorgefunden. Die Suche nach tmp.edb förderte den Aufenthalt in WINDOWS\SYSTEM32\CatRoot2 zutage (CatRoot gibt es auch).

Eine Umbenennung von tmp.edb und ein erneuter Scan brachten das 2. Ergebnis zurück.

Habe ich es hier mit einem Vertreter "Nicht entdecken durch nicht verstecken" zu tun?

An dieser Stelle bin ich mit meinem Latein am Ende.

- Ist es tatsächlich ein bösartiges Rootkit?
- wenn ja, wie werde ich das Alien los?
- gibt es andere Erklärungen zu den beschriebenen Vorgängen?

Ich freue mich über jede Antwort/Hilfe.

Grüße aus Oldenburg
Gerd

 

Hallo,

sieht eher so aus als hätte deine Festplatte Probleme (zum Beispiel defekte Sektoren). Überprüfe die Platte mit einem Diagnose-Tool des Herstellers. Das Problem mit O&O hatte ich selbst zumindest schon bei einer Festplatte mit defekten Sektoren. Du könntest einmal versuchen über das Windows-Tool zu defragmentieren, eventuell bleibt das nicht hängen.

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\...
Hier liegen Informationen über die Windows-Updates (Update-Installationen von Windows)... DataStore.edb. Wenn da TEMP-Dateien auftauchen wurde eventuell ein Update abgebrochen oder nicht vollständig durchgeführt. Möglich auch dass genau hier Speicherstellen (Sektoren der HDD defekt sind)

 

Hallo,
klingt für mich alles nicht nach einem Rootkit. Habe jetzt keine sehr große Erfahrung mit dem interpretieren von RootkitRevealer Logs, aber die Meldung könnte auch zu stande kommen durch eine Veränderung die während dem Scan von dem System vorgenommen wurde (Rootkitrevealer scannt ja auf verschiedenen Ebenen und berichtet dann die Unterschiede die es entdeckt hat).
Ich glaube auch das Catroot2 ein Ordner ist in den Protokolldateien geschrieben werden wenn Probleme auftreten, veilleicht passiert das genau während Rootkitrevealer scannt.

Wenn es eins wäre würde das die Formatierung des Systems bedeuten, im englischen so schön umschrieben mit "a rootkit means nuke your machine", der Ansicht ist übrigens auch der Windows Programme Manager, siehe hier.
Aber wie schon oben gesagt, betrifft dich ja höchstwahrscheinlich nicht.


Grüße Jasager

 

Hallo Wolfgang 77 und Jasager,

danke für die schnellen Antworten. Ich habe auch schon in die von euch angedeuteten Richtungen gedacht, da der Lüfter seitdem von Beginn an im 30'-Takt an- und abschaltet.

Windows Defrag arbeitet ohne Probleme. Zu einem Festplatten Herstellertool muß ich mich erst noch schlau machen.

Hatte aber schon O&O Drive LED eingesetzt, das den kurzen Selbsttest mit ok. beendet, den ausführlichen aber nach über 1h kurz vor Ablauf ohne Ergebnis beendet.

Grüße, Gerd