Gmer
Rootkit Finder

GMER application - Rootkit Finder

GMER funktioniert unter: Windows NT/W2K/XP/VISTA



Lade: GMER application gmer.zip oder exe von :
http://www.gmer.net und falls es mit der "exe" Probleme gibt, benenne sie um
(z.B: in test.exe)



weiter Anweisungen für Sicherheitsforum

Starte »Gmer« und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "Rootkit" gehen, wiederum die Frage mit "nein" beantworten, scannen lassen und mit Hilfe von "copy" den Bericht eventuell in den Thread [im Sicherheitsforum] einfügen.

weiter Beispiel: Rookit gefunden

klicke auf das Bild zum Vergrössern
gmer Rookit gefunden

klicke: scan

klicke auf das Bild zum Vergrössern
gmer klicke scan

weiter Beispiel Scanreport
SYSENTER \??\C:\WINDOWS\system32:lzx32.sys AAFF2A1C
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver
---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!Kei386EoiHelper + 4E0 8053D558 3 Bytes [ 41, 97, 6B ]
.text tcpip.sys!IPTransmit + 10B7 AAF66CFA 6 Bytes 
CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 24D9 AAF6811C 6 Bytes 
CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text tcpip.sys!IPTransmit + 4662 AAF6A2A5 6 Bytes 
CALL AAFF47E5 \??\C:\WINDOWS\system32:lzx32.sys
.text wanarp.sys F868B3FD 7 Bytes CALL AAFF47EF \??\
C:\WINDOWS\system32:lzx32.sys

---- Services - GMER 1.0.12 ----

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) 
[SYSTEM] pe386 -- ROOTKIT !!!

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386 

Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386 ---- Files - GMER 1.0.12 ---- ADS C:\WINDOWS\Feder.bmp:kxasa ADS C:\WINDOWS\Fächer.bmp:zysur ADS C:\WINDOWS\Kaffeetasse.bmp:cbmnrp ADS C:\WINDOWS\system32:lzx32.sys -- ROOTKIT !!!

aktive Prozesse

klicke auf das Bild zum Vergrössern
aktive Prozesse

man kann Prozesse beenden mit:

man kann Prozesse beenden mit

klickt man auf einen bestimmten Prozess, werden die dazugehörigen Dateien sichtbar
klicke auf das Bild zum Vergrössern
aktive Prozesse

aktive Module

klicke auf das Bild zum Vergrössern
aktive Prozesse

Service + Status

Falls ein Service zu einem Rootkit/Virus gehört, kann man ihn mittels "Delete the service" entfernen (Rechtsklick auf den betreffenden Service + Delete)
klicke auf das Bild zum Vergrössern
Service + Status

Rootkits

klicke auf das Bild zum Vergrössern
Service + Status

abkopieren » copy

klicke auf das Bild zum Vergrössern
Service + Status



andere Anwendungen (Rootkit-Entfernung)

weiter Combofix Combofix

Beispiel:
2006-12-17 17:55 72,704 --a------ C:\ygvwxm.exe
2006-12-17 17:55 0 --a------ C:\bcxt.exe
2006-12-17 17:53 10,412 --a------ C:\jlvnlljl.exe
2006-12-17 17:51 19,968 --a------ C:\WINDOWS\system32\wineij32.dll

weiter ADSSpy - anwenden ADSSpy.exe

- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der Scan beendet ist, klicke mit der rechten Maustaste auf das Fenster:
Save scan results to disk (Beispiel)

ADSSpy - Streams
ADS C:\WINDOWS\Feder.bmp:kxasa
ADS C:\WINDOWS\Fächer.bmp:zysur




Rootkitscanner Link: Rootkitscanner
Rootkitscanner Link: Rootkit-Analyse
rootkit in master boot record Link: rootkit in master boot record


-Windows Systemsoftware-
Windows Systemsoftware
-Sicherheitssoftware-
Sicherheitssoftware
-Virendiagnostik Tools-
Tools Utilities Virendiagnostik
-Online-Virus-Scanner-
Online-Virus-Scanner
-Desktop Firewall Windows-
Desktop Firewall
virus-protect.org
startseite Valid HTML 4.01 Transitional Ranking-Hits