Rootkit-Scanner Anleitungen

[Xeranox]

Lasse Dir auf jeden Fall von einem Team-Mitglied bei der Beseitigung von Rootkits helfen!
Mit den Scans alleine ist es nicht getan!

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig:

• Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
  Alternativ deaktiviere diese gemäß dieser Anleitung.
  
  
• Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
• Alle anderen Programme sollen geschlossen sein.
• Während des Scans nichts am Rechner machen.
• Nach jedem Scan der Rechner neu gestartet werden.
  
  
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und speichere das Programm auf dem Desktop.

• Gmer ist geeignet für => NT/W2K/XP/VISTA/7 (nur 32Bit).
  
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
  
  
  
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  
  Code:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?

• Unbedingt auf "No" klicken und nichts löschen!
  Über den Save-Button das bisherige Resultat als gmer.txt auf dem Desktop speichern.
  
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Entferne den Haken bei:
  
  • IAT/EAT
  • Show all
  • zusätzlichen Laufwerken, also nur die Bootpartition (meistens C:\) anhaken.
  
  
• Starte den Scan durch Drücken des Buttons "Scan".
• Wenn der Scan fertig ist klicke auf "Save" und speichere den Bericht gmer1.txt auf dem Desktop.
  Mit "Ok" wird Gmer beendet.
• Oder füge das Log aus der Zwischenablage direkt in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

[Ruby]

Ab hier nur abarbeiten, wenn Du explizit dazu aufgefordert wirst!

Zweiter Lauf mit Gmer

• Starte Gmer erneut.
• Dieses Mal machst Du einen Rechtsklick links in das weiße Feld und wählst im Kontext-Menü "Only non MS files".
• Dann klickst Du auf "Scan" und erlaubst damit Gmer erneut zu scannen.
• Wenn der Scan fertig ist, klickst Du auf den "Copy"-Button, womit der Inhalt ins Clipboard kopiert wird.
• Nun einen Rechtsklick auf den Desktop, wähle "Textdokument", was ein leeres Dokument auf dem Desktop erstellt.
• Öffne das Textdokument per Doppelklick, Rechtsklick im Textfeld und "Einfügen".
• Speichere das Dokument und poste mir den Inhalt hier in den Thread.

=====

-Sollte eine Fehlermeldung auftauchen, nein, oder no wählen.
-Wähle jetzt den Reiter Rootkit/Malware aus.



-1. Klicke nun rechts unten auf Scan.
-2. Nach dem Scan klicke rechts unten auf Copy und poste das Ergebnis in Deinen Thread.

=====

Rootkits mit Gmer löschen

• Alle anderen Scanner gegen Viren, Spyware usw. deaktivieren.
• Es sollte keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• und nichts am Rechner getan werden.

Starte jetzt "Gmer" erneut und verneine ggfs. die Frage nach einem Scan.
Geh auf den Reiter "Services".
Dort sollte das gefundene Rootkit dann rot erscheinen.
Klicke mit der rechten Maustaste darauf und wähle "delete".
Falls eine Sicherheitsabfrage kommt, bejahe sie bitte.
Hier eine visuelle Anleitung.

Lasse nun Gmer erneut scannen.
Alle Scanner wieder einschalten, bevor Du ins Netz gehst!
Poste den letzten Bericht von Gmer.

=====

Gmer deinstallieren

Einfach das Icon der Gmer.exe vom Desktop löschen.
Heißt nicht gmer.exe, sondern hat einen <Random>-Namen wie beispielsweile fv6yxtij.exe.

[Petra]

Rootkit - Was ist das?

Zunächst eine kurze Erklärung, was Rootkits sind und tun. Rootkits verstecken sich. Die beiden vorrangigen Funktionen von Rootkits sind die ferngesteuerte Bedienung (Backdoor) Deines Rechners und das Ausspähen der auf dem Rechner installierten Software inklusive Passwörtern.

Der Begriff Rootkit setzt sich aus den beiden Wörtern root (die Bezeichnung für einen Benutzer von Unix-Systemen mit Adminitrationsrechten) und kit (engl. Werkzeug) zusammen. Diese Malware-Art ist eine Zusammenstellung von Softwarewerkzeugen, durch welche ein Angreifer mit administrativen Rechten auf ein System zugreifen kann. Rootkits erlauben es dem Angreifer, die administrative Kontrolle über ein System zu übernehmen, wordurch der Angreifer Prozesse auf dem Rechner ausführen und Schadsoftware nachladen kann. Der Angreifer bekommt Zugriff auf Log-Files, kann die Aktivitäten des Anwenders ausspionieren und Änderungen an der Konfiguration des Computers vornehmen.

Ist ein Rootkit erst einmal aktiv, kann es aus dem laufenden System heraus schwierig bis unmöglich sein, die dazugehörigen Prozesse und Dateien ausfindig zu machen, da sich das Rootkit versteckt und im Hintergrund lügt, dass sich die Balken biegen - ein solches System ist nicht mehr vertrauenswürdig. Daher finden 'normale' Antivirus-Programme nichts und melden "Alles okay" - aber der Schein trügt.

Wie kommt ein Rootkit auf den Rechner? Rootkits können sich nicht selbstständig ausbreiten, denn sie sind nur eine Komponente von dem, was wir Blended Threat (Misch/Mehrfachbedrohung) nennen - eine schädigende Software, die eine Kombination von Attacken gegen unterschiedliche Schwachstellen eines Systems beinhaltet. Blended Threats bestehen typischerweise aus drei Komponenten: einem Dropper, einem Loader und dem Rootkit. Der Dropper ist der Code, der die Rootkit-Installation startet. Um das Dropper-Programm zu aktivieren, bedarf es menschlicher Hilfe, z. B. in Form von Klicken auf einen bösartigen E-Mail-Link, das Klicken auf einen Link, der in einem Messenger gepostet wird oder das Öffnen eines infizierten PDF-Dokumentes oder eines infizierten Bildschirmschoners. Auch vermeintlichen Foto- oder Musikdateien sind eine Gefahrenquelle. Daher am besten Datei-Endungen einblenden, das verringert dieses Risiko.

Einmal initiiert setzt der Dropper das Loader-Programm ein und löscht sich dann selbst. Wenn der Loader erstmal aktiv ist, verursacht er einen Buffer-Overflow (Puffer-Überlauf - Überlastung des Speichers), der den Rootkit dann in den Speicher lädt.

Es sollte nicht unerwähnt bleiben, dass es nicht nur schädliche Rootkits gibt, sondern durchaus auch Legitime, die z. B. in Kopierschutz-Systemen Verwendung finden und schlussendlich ist jede VNC-Software ein Rootkit.

[Petra]

Rootkit-Suche mit Avira AntiRootkit

Was sind Rootkits?

Wichtig:

• Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
  Alternativ deaktiviere diese gemäß dieser Anleitung.
  
  
• Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
• Alle anderen Programme sollen geschlossen sein.
• Während des Scans nichts am Rechner machen.
• Nach jedem Scan der Rechner neu gestartet werden.
  
  
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.

• Du solltest jetzt antivir_rootkit.zip auf Deinem Desktop finden.
• Entpacke das Archiv auf Deinen Desktop (antivir_rootkit.zip kannst Du jetzt manuell löschen).
• Doppelklick auf die avirarkd.exe => OK.
• Klicke auf Start scan.
• Wenn der Suchlauf beendet ist, klicke auf View report und kopiere das Log hier in den Thread.

[Petra]

Rootkit mit AVZ Antiviral-Toolkit entfernen

Was sind Rootkits?

Wichtig:

• Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
  Alternativ deaktiviere diese gemäß dieser Anleitung.
  
  
• Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
• Alle anderen Programme sollen geschlossen sein.
• Während des Scans nichts am Rechner machen.
• Nach jedem Scan der Rechner neu gestartet werden.
  
  
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Aktualisiere die Signaturen:
  Im Menü => File => Database Update => Start-Button drücken => OK
• Im Menü => AVZPM
• Dort auf "Install extended monitoring driver" drücken => OK
• AVZ wird nun einen Neustart verlangen, also neustarten, ggfs. selbst neu starten.
• AVZ wieder starten, setze Häkchen vor die Laufwerke, die gescannt werden sollen.
• Setze ein Häkchen rechts vor "Enable malware removal mode:"
• Setze ein Häkchen vor "Copy suspicious files to Quarantine".
  .
  
  .
• Drücke auf den Button "Start", um den Suchlauf zu starten.
• Geduld, der Suchlauf kann eine Weile dauern.
• Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
• Poste das Logfile hier in den Thread.

Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.

=====

AVZ4 Antiviral-Toolkit deinstallieren

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Im Menü => File => Standard Scripts => Nr.6 wählen (Delete all AVZ drivers and registry keys)
  und auf den Button "Execute selected scripts" drücken und mit Yes bestätigen => OK
• Programmfenster schließen.
• Den Ordner avz4 vom Desktop löschen und den Papierkorb leeren.

[Petra]

Rootkit-Suche mit Radix von usec.at

Was sind Rootkits?

Wichtig:

• Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
  Alternativ deaktiviere diese gemäß dieser Anleitung.
  
  
• Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
• Alle anderen Programme sollen geschlossen sein.
• Während des Scans nichts am Rechner machen.
• Nach jedem Scan der Rechner neu gestartet werden.
  
  
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade radix_installer_trial.zip von usec.at herunter.

• Entpacke das Archiv in einen eigenen Ordner und starte das Programm durch Doppelklick auf die radixgui.exe.
• Ändere keine Einstellungen und klicke auf Check, um die Suche zu starten.
• Wenn der Scan beendet ist, klicke rechts unten auf Save Log, um das Logfile zu speichern.
• Speichere das Logfile als radix.txt in dem Radix-Ordner.
• Schließe das Programm-Fenster von Radix.
• Poste das Logfile in Deinen Thread.

Achtung: Radix hat viele Einstellungsmöglichkeiten, einige davon können ernste und dauerhafte Schäden an Deinem Rechner verursachen, wenn sie nicht sachgerecht angewendet werden. Bitte keine Experimente und den Scan nur mit den Standard-Einstellungen durchführen!

[Petra]

Rootkit-Suche mit Rootkit Buster

Was sind Rootkits?

Wichtig:

• Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
  Alternativ deaktiviere diese gemäß dieser Anleitung.
  
  
• Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
• Alle anderen Programme sollen geschlossen sein.
• Während des Scans nichts am Rechner machen.
• Nach jedem Scan der Rechner neu gestartet werden.
  
  
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Rootkit Buster von TrendMicro herunter.

• Das Programm ist geeignet für Windows 2000, 2003, XP und Vista und Windows 7 (keine 64-Bit-Systeme).
• Entpacke es mit einem Zip-Programm
• Klicke nun auf die RootkitBuster.exe.
• Lasse die Häkchen in den Einstellungen.
• Beende jede Tätigkeit an Deinem Rechner, schließe alle Anwendungen, einschließlich des Webbrowsers.
• Klicke auf Scan.
• Wenn der Scan fertig ist, wirst Du gefragt: "Do you want to view the log file?"
• Klicke auf 'YES'/'JA'
• Nun poppt ein Texteditor-Fenster mit dem Logfile des Scans auf.
• Kopiere den Inhalt der Logdatei hier in den Thread.

[Petra]

Rootkit-Suche mit Catchme

Was sind Rootkits?

Wichtig:

• Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
  Alternativ deaktiviere diese gemäß dieser Anleitung.
  
  
• Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
• Alle anderen Programme sollen geschlossen sein.
• Während des Scans nichts am Rechner machen.
• Nach jedem Scan der Rechner neu gestartet werden.
  
  
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Catchme runter auf den Desktop.

• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in Deine Antwort ein.

[Petra]

Rootkit-Suche mit RootRepeal

Was sind Rootkits?

Wichtig:

• Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
  Alternativ deaktiviere diese gemäß dieser Anleitung.
  
  
• Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
• Alle anderen Programme sollen geschlossen sein.
• Während des Scans nichts am Rechner machen.
• Nach jedem Scan der Rechner neu gestartet werden.
  
  
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

[Petra]

Rustock.b Rootkit-Infektion aufspüren

Was sind Rootkits?

Wichtig:

• Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
  Alternativ deaktiviere diese gemäß dieser Anleitung.
  
  
• Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
• Alle anderen Programme sollen geschlossen sein.
• Während des Scans nichts am Rechner machen.
• Nach jedem Scan der Rechner neu gestartet werden.
  
  
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Downloade Rustbfix von ejvindh und speichere es auf dem Desktop.

• Mache einen Doppelklick auf die rustbfix.exe, um sie zu starten.
• Wenn eine Rustock.b Infektion gefunden wird, ist es notwendig, dass der Rechner neu gestartet wird.
• Das Neustarten des Rechners kann etwas länger dauern als sonst.
• Es kann auch sein, dass der Rechner zweimal neugestartet werden muss.
• Nach den Neustarts des Rechners öffnen sich zwei Berichte:
• %root%\avenger.txt und %root%\rustbfix\pelog.txt.
• Poste den Inhalt beider Berichte.