Gmer
|
Werbung
GMER application - Rootkit FinderGMER runs only on Windows NT/W2K/XP/VISTALade: GMER application gmer.zip oder exe von : http://www.gmer.net und falls es mit der exe Probleme gibt, benenne sie um (z.b: in test.exe) 
Anweisungen für Sicherheitsforum:
nutze Gmer Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
Beispiel: Rookit gefunden
klicke auf das Bild zum Vergrössern 
klicke: scan klicke auf das Bild zum Vergrössern 
Beispiel Scanreport
SYSENTER \??\C:\WINDOWS\system32:lzx32.sys AAFF2A1C Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.12 ---- .text ntkrnlpa.exe!Kei386EoiHelper + 4E0 8053D558 3 Bytes [ 41, 97, 6B ] .text tcpip.sys!IPTransmit + 10B7 AAF66CFA 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text tcpip.sys!IPTransmit + 24D9 AAF6811C 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text tcpip.sys!IPTransmit + 4662 AAF6A2A5 6 Bytes CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys .text wanarp.sys F868B3FD 7 Bytes CALL AAFF47EF \??\ C:\WINDOWS\system32:lzx32.sys ---- Services - GMER 1.0.12 ---- Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 -- ROOTKIT !!! ---- Registry - GMER 1.0.12 ---- Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386 aktive Prozesse klicke auf das Bild zum Vergrössern 
man kann Prozesse beenden mit: 
klickt man auf einen bestimmten Prozess, werden die dazugehörigen Dateien sichtbar klicke auf das Bild zum Vergrössern 
aktive Module klicke auf das Bild zum Vergrössern 
Service + Status Falls ein Service zu einem Rootkit/Virus gehört, kann man ihn mittels "Delete the service" entfernen (Rechtsklick auf den betreffenden Service + Delete) klicke auf das Bild zum Vergrössern 
Rootkits klicke auf das Bild zum Vergrössern 
abkopieren -> copy klicke auf das Bild zum Vergrössern 
andere Anwendungen (Rootkit-Entfernung)
Combofix
«« Combofix Beispiel: 2006-12-17 17:55 72,704 --a------ C:\ygvwxm.exe 2006-12-17 17:55 0 --a------ C:\bcxt.exe 2006-12-17 17:53 10,412 --a------ C:\jlvnlljl.exe 2006-12-17 17:51 19,968 --a------ C:\WINDOWS\system32\wineij32.dll
ADSSpy - anwenden
«« ADSSpy.exe - Quick scan - Ignore system info data streams - Calculate MD5 checksums of streams' contents wenn der Scan beendet ist, klicke mit der rechten Maustaste auf das Fenster: Save scan results to disk (Beispiel) ADSSpy - Streams ADS C:\WINDOWS\Feder.bmp:kxasa ADS C:\WINDOWS\Fächer.bmp:zysur 
Link: Rootkitscanner
Link: Rootkitscanner
Link: rootkit in master boot record
TuneUp 
System warten PC-Probleme beheben Leistung steigern
Windows anpassen optimale Leistung
gleich kaufen oder: kostenlose Testversion (30 Tage) laden Kaspersky PURE
Das ultimative Schutzpaket für Ihren PC
Kaspersky PURE ist das ultimative Schutzpaket für Ihren PC. Es geht weit über den Schutz bisheriger Internet-Security-Pakete hinaus. Sie erhalten damit ein Höchstmaß an Immunität vor den unterschiedlichsten Internet-Bedrohungen. Kaspersky PURE sichert die einwandfreie Funktion Ihres Computers und schützt Ihre digitalen Daten. So müssen Sie sich keine Sorgen mehr um Ihre PC-Sicherheit machen. |
