Gmer - Rootkit Scanner


startStartseite | gastbuchGästebuch | kontaktKontakt | protecusProtecus.de Forum | virus weltkarteVirus Weltkarte |
Gmer - Rootkit Scanner


gmer rootkit scanner


Topics

Social Bookmarks:
Social Bookmark Button



GMER application


Lade: GMER application gmer.zip




www.gmer.net/files
www.gmer.net


gmer Anweisungen für Sicherheitsforum:

nutze Gmer Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.






Beispiel: Rookit gefunden

klicke auf das Bild zum Vergrössern
gmer Rookit gefunden


klicke: scan

klicke auf das Bild zum Vergrössern
gmer klicke scan


Beispiel: 
SYSENTER \??\C:\WINDOWS\system32:lzx32.sys AAFF2A1C
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver
---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!Kei386EoiHelper + 4E0 8053D558 3 Bytes [ 41, 97, 6B ]
.text tcpip.sys!IPTransmit + 10B7 AAF66CFA 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 24D9 AAF6811C 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 4662 AAF6A2A5 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text wanarp.sys F868B3FD 7 Bytes CALL AAFF47EF \??\C:\WINDOWS\system32:lzx32.sys

---- Services - GMER 1.0.12 ----

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 -- ROOTKIT !!!

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386 


Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386 

---- Files - GMER 1.0.12 ----

ADS C:\WINDOWS\Feder.bmp:kxasa
ADS C:\WINDOWS\Fächer.bmp:zysur
ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp
ADS C:\WINDOWS\system32:lzx32.sys -- ROOTKIT !!!


aktive Prozesse

klicke auf das Bild zum Vergrössern
aktive Prozesse


man kann Prozesse beenden mit:
man kann Prozesse beenden mit

klickt man auf einen bestimmten Prozess, werden die dazugehörigen Dateien sichtbar

klicke auf das Bild zum Vergrössern
aktive Prozesse


aktive Module

klicke auf das Bild zum Vergrössern
aktive Prozesse


Service + Status

klicke auf das Bild zum Vergrössern
Service + Status


Rootkits

klicke auf das Bild zum Vergrössern
Service + Status


abkopieren - > copy

klicke auf das Bild zum Vergrössern
Service + Status



gmer BEISPIEL:

gmer Combofix

2006-12-17 17:55 72,704 --a------ C:\ygvwxm.exe
2006-12-17 17:55 0 --a------ C:\bcxt.exe
2006-12-17 17:53 10,412 --a------ C:\jlvnlljl.exe
2006-12-17 17:51 19,968 --a------ C:\WINDOWS\system32\wineij32.dll

-------

gmer ADSSpy - anwenden
http://virus-protect.org/artikel/tools/ADSSpy.exe

- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk (Beispiel)
ADSSpy - Streams
ADS C:\WINDOWS\Feder.bmp:kxasa
ADS C:\WINDOWS\Fächer.bmp:zysur


Rootkitscanner Link: Rootkitscanner
Rootkitscanner Link: Rootkitscanner
rootkit in master boot record Link: rootkit in master boot record















Valid HTML 4.01 Ranking-Hits