GMER application
Lade:
GMER application gmer.zip
www.gmer.net/files
www.gmer.net
Anweisungen für Sicherheitsforum:
nutze Gmer Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
Beispiel: Rookit gefunden
klicke auf das Bild zum Vergrössern
klicke:
scan
klicke auf das Bild zum Vergrössern
Beispiel:
SYSENTER \??\C:\WINDOWS\system32:lzx32.sys AAFF2A1C
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver
---- Kernel code sections - GMER 1.0.12 ----
.text ntkrnlpa.exe!Kei386EoiHelper + 4E0 8053D558 3 Bytes [ 41, 97, 6B ]
.text tcpip.sys!IPTransmit + 10B7 AAF66CFA 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 24D9 AAF6811C 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 4662 AAF6A2A5 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text wanarp.sys F868B3FD 7 Bytes CALL AAFF47EF \??\C:\WINDOWS\system32:lzx32.sys
---- Services - GMER 1.0.12 ----
Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 -- ROOTKIT !!!
---- Registry - GMER 1.0.12 ----
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386
---- Files - GMER 1.0.12 ----
ADS C:\WINDOWS\Feder.bmp:kxasa
ADS C:\WINDOWS\Fächer.bmp:zysur
ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp
ADS C:\WINDOWS\system32:lzx32.sys -- ROOTKIT !!!
aktive Prozesse
klicke auf das Bild zum Vergrössern
man kann Prozesse beenden mit:
klickt man auf einen bestimmten Prozess, werden die dazugehörigen Dateien sichtbar
klicke auf das Bild zum Vergrössern
aktive Module
klicke auf das Bild zum Vergrössern
Service + Status
klicke auf das Bild zum Vergrössern
Rootkits
klicke auf das Bild zum Vergrössern
abkopieren - > copy
klicke auf das Bild zum Vergrössern
BEISPIEL:
Combofix
2006-12-17 17:55 72,704 --a------ C:\ygvwxm.exe
2006-12-17 17:55 0 --a------ C:\bcxt.exe
2006-12-17 17:53 10,412 --a------ C:\jlvnlljl.exe
2006-12-17 17:51 19,968 --a------ C:\WINDOWS\system32\wineij32.dll
-------
ADSSpy - anwenden
http://virus-protect.org/artikel/tools/ADSSpy.exe
- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents
wenn der scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk (Beispiel)
ADSSpy - Streams
ADS C:\WINDOWS\Feder.bmp:kxasa
ADS C:\WINDOWS\Fächer.bmp:zysur
Link: Rootkitscanner
Link: Rootkitscanner
Link: rootkit in master boot record