Gmer
Rootkit Finder

Werbung

GMER application - Rootkit Finder

GMER runs only on Windows NT/W2K/XP/VISTA




Lade: GMER application gmer.zip oder exe von : http://www.gmer.net und falls es mit der exe Probleme gibt, benenne sie um (z.b: in test.exe)

gmer Anweisungen für Sicherheitsforum:
nutze Gmer Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

gmer Beispiel: Rookit gefunden

klicke auf das Bild zum Vergrössern
gmer Rookit gefunden

klicke: scan

klicke auf das Bild zum Vergrössern
gmer klicke scan


gmer Beispiel Scanreport

SYSENTER \??\C:\WINDOWS\system32:lzx32.sys AAFF2A1C
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver
---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!Kei386EoiHelper + 4E0 8053D558 3 Bytes [ 41, 97, 6B ]
.text tcpip.sys!IPTransmit + 10B7 AAF66CFA 6 Bytes 
CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 24D9 AAF6811C 6 Bytes 
CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 4662 AAF6A2A5 6 Bytes 
CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text wanarp.sys F868B3FD 7 Bytes CALL AAFF47EF \??\
C:\WINDOWS\system32:lzx32.sys

---- Services - GMER 1.0.12 ----

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) 
[SYSTEM] pe386 -- ROOTKIT !!!

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386 

Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386 ---- Files - GMER 1.0.12 ---- ADS C:\WINDOWS\Feder.bmp:kxasa ADS C:\WINDOWS\Fächer.bmp:zysur ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp ADS C:\WINDOWS\system32:lzx32.sys -- ROOTKIT !!!

aktive Prozesse

klicke auf das Bild zum Vergrössern
aktive Prozesse

man kann Prozesse beenden mit:

man kann Prozesse beenden mit

klickt man auf einen bestimmten Prozess, werden die dazugehörigen Dateien sichtbar
klicke auf das Bild zum Vergrössern
aktive Prozesse

aktive Module

klicke auf das Bild zum Vergrössern
aktive Prozesse

Service + Status

Falls ein Service zu einem Rootkit/Virus gehört, kann man ihn mittels "Delete the service" entfernen (Rechtsklick auf den betreffenden Service + Delete)
klicke auf das Bild zum Vergrössern
Service + Status

Rootkits

klicke auf das Bild zum Vergrössern
Service + Status

abkopieren -> copy

klicke auf das Bild zum Vergrössern
Service + Status



andere Anwendungen (Rootkit-Entfernung)

gmer Combofix

«« Combofix

Beispiel:
2006-12-17 17:55 72,704 --a------ C:\ygvwxm.exe
2006-12-17 17:55 0 --a------ C:\bcxt.exe
2006-12-17 17:53 10,412 --a------ C:\jlvnlljl.exe
2006-12-17 17:51 19,968 --a------ C:\WINDOWS\system32\wineij32.dll

gmer ADSSpy - anwenden

«« ADSSpy.exe


- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der Scan beendet ist, klicke mit der rechten Maustaste auf das Fenster:
Save scan results to disk (Beispiel)

ADSSpy - Streams
ADS C:\WINDOWS\Feder.bmp:kxasa
ADS C:\WINDOWS\Fächer.bmp:zysur




Rootkitscanner Link: Rootkitscanner
Rootkitscanner Link: Rootkitscanner
rootkit in master boot record Link: rootkit in master boot record


TuneUp
TuneUp Utilities 2010 - Jetzt testen
weiter System warten PC-Probleme beheben Leistung steigern Windows anpassen optimale Leistung
gleich kaufen oder: kostenlose Testversion (30 Tage) laden

Kaspersky PURE

weiter Das ultimative Schutzpaket für Ihren PC
Kaspersky PURE ist das ultimative Schutzpaket für Ihren PC. Es geht weit über den Schutz bisheriger Internet-Security-Pakete hinaus. Sie erhalten damit ein Höchstmaß an Immunität vor den unterschiedlichsten Internet-Bedrohungen. Kaspersky PURE sichert die einwandfreie Funktion Ihres Computers und schützt Ihre digitalen Daten. So müssen Sie sich keine Sorgen mehr um Ihre PC-Sicherheit machen.






virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits antispam