Rootkit-Scanner Anleitungen

[Xeranox]

Lasse Dir auf jeden Fall von einem Team-Mitglied bei der Beseitigung von Rootkits helfen!
Mit den Scans alleine ist es nicht getan!

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Gmer ist geeignet für => NT/W2K/XP/VISTA (nur 32Bit).
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
  anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
  .
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
  Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

=====

Zweiter Lauf mit Gmer

• Starte Gmer erneut.
• Dieses Mal machst Du einen Rechtsklick links in das weiße Feld und wählst im Kontext-Menü "Only non MS files".
• Dann klickst Du auf "Scan" und erlaubst damit Gmer erneut zu scannen.
• Wenn der Scan fertig ist, klickst Du auf den "Copy"-Button, womit der Inhalt ins Clipboard kopiert wird.
• Nun einen Rechtsklick auf den Desktop, wähle "Textdokument", was ein leeres Dokument auf dem Desktop erstellt.
• Öffne das Textdokument per Doppelklick, Rechtsklick im Textfeld und "Einfügen".
• Speichere das Dokument und poste mir den Inhalt hier in den Thread.

=====

-Sollte eine Fehlermeldung auftauchen, nein, oder no wählen.
-Wähle jetzt den Reiter Rootkit/Malware aus.



-1. Klicke nun rechts unten auf Scan.
-2. Nach dem Scan klicke rechts unten auf Copy und poste das Ergebnis in Deinen Thread.

=====

Rootkits mit Gmer löschen

• Alle anderen Scanner gegen Viren, Spyware usw. deaktivieren.
• Es sollte keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• und nichts am Rechner getan werden.

Starte jetzt "Gmer" erneut und verneine ggfs. die Frage nach einem Scan.
Geh auf den Reiter "Services".
Dort sollte das gefundene Rootkit dann rot erscheinen.
Klicke mit der rechten Maustaste darauf und wähle "delete".
Falls eine Sicherheitsabfrage kommt, bejahe sie bitte.
Hier eine visuelle Anleitung.

Lasse nun Gmer erneut scannen.
Alle Scanner wieder einschalten, bevor Du ins Netz gehst!
Poste den letzten Bericht von Gmer.

=====

Gmer deinstallieren

Starte das Skript C:\WINDOWS\gmer_uninstall.cmd durch Doppelklick, lasse es ausführen und starte den Rechner neu.

[Ruby]

Unser Dankeschön an Karl, Speedy und Xeranox für die deutschen Anleitungen

AntiRootkit-Instructions in English

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Sophos scannen lassen

• Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
• Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
• Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
• Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
• Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Gmer scannen lassen

• Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
  (Wichtig: "Show all" darf nicht angehakt sein)
• Starte den Scan mit "Scan".
  Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

AVG Antirootkit scannen lassen

• Lade die Beta Version von AVG Antirootkit runter und speichere es auf deinen Desktop.
• Installiere das Programm. Alle anderen Programme sollen geschlossen sein. Die Installation erfordert einen Neustart des Rechners.
• Starte die antiRootkit.exe aus dem Grisoft Ordner.
• Klicke auf den Button "Search for Rootkits".
• Klicke nach dem Scan auf den Button "Save result to file", gib diesem Logfile eine 1 im Namen bei.
• Klicke auf den Button "Perform in-depth search".
• Mach bitte nichts am Rechner, während des Scans.
• Klicke nach dem Scan auf den Button "Save result to file", gib diesem Logfile eine 2 im Namen bei.
• Finde das avgark.log (Logfile) im Grisoft Ordner, kopiere den Inhalt und poste ihn.

Bitdefender Antirootkit-ß scannen lassen

• Lade das Bitdefender Antirootkit-ß aus dem Netz.
• Gib es in den Ordner c:\programme\bitdefender
• Starte das Programm mit einem Doppelklick auf die Datei bitdefender_antirootkit-BETA2.exe
• Nach der Zustimmung zum Licenzabkommen startest du den Scan, poste das Ergebnis hier im Forum.

Trend Micro scannen lassen

• Lade Rootkit Buster herunter, von hier: http://www.trendmicro.com/download/rbuster.asp.
• Entpacke es mit einem Zip-Programm
  (kostenlose Zip-Tools)
• in einen eigenen Ordner
• Klicke nun auf die RootkitBuster.exe.
• Lass die Häkchen in den Einstellungen.
• Beende jede Tätigkeit an deinem Rechner, schliesse alle Anwendungen, einschliesslich deines Webbrowsers.
• Klicke auf Scan.
• Wenn der Scan zuende ist, wirst du gefragt: 'Do you want to view the lög file?
• Klicke auf 'YES'/'JA'
• Nun poppt ein Texteditor-Fensterchen auf mit dem Logfile des Scans.
• Kopiere den Inhalt des Textes, um ihn im Forum zu posten.

Panda Anti-Rootkit scannen lassen

• Lade das Panda Anti-Rootkit herunter.
• Lade z.B. das IZArc herunter, wenn du ein Pack-Programm brauchst, das rar Archive erkennt
  (Screenshots und Introduction to Panda Anti-Rootkit)
• Entpacke das AntiRootkit.rar in einen von dir neu erstellten Ordner unter C:\Programme\Panda Antirootkit
  (Das Tool wird automatisch geuploadet.)
• Schliesse alle Anwendungen, schliesse den Webbrowser, klicke alle Fensterchen dicht.
• Beende alle Wächterprogramme und On-Demand-Scanner.
• Mache bitte nichts am Rechner.
• Starte das Programm mit einem Doppelklick auf die Datei PAVARK.exe
• Nach der Zustimmung zum Licenzabkommen startest du den Scan.
• Bitte das Programm nicht unterbrechen.
• Mach bitte Screenshots vom Ergebnis.
• Nach dem Scan hast du die Möglichkeit, die möglicherweise entdeckten Dateien an Panda zur Analzse zu senden, eine Möglichkeit, von der du Gebrauch machen solltest.

Zeige uns bitte den/die Screenshots vom Panda Anti-Rootkit Scan.

Scanner wieder einschalten, bevor Du ins Netz gehst!

Im Forum: nun alle Logs posten.

Unser Dank gilt den Herstellern dieser AntiRootkit Scanner.
Diese Programme sind aus unserem Forenalltag nicht mehr hinwegzudenken.

Hinweis: einen neuen Ordner erstellen: Windows Tutorial

***

Die Entfernung von Rootkits
sollte unter fachmännischer Anleitung vorgenommen werden,
denn NICHT alle Einträge,
die von den Programmen angegeben werden,
sind Rootkits

***

Zur Beachtung empfohlen:
Rootkit News

***

Lese Tipp:

Antirootkit.com

[Petra]

Rootkit - Was ist das?

Zunächst eine kurze Erklärung, was Rootkits sind und tun. Rootkits verstecken sich. Die beiden vorrangigen Funktionen von Rootkits sind die ferngesteuerte Bedienung (Backdoor) Deines Rechners und das Ausspähen der auf dem Rechner installierten Software inklusive Passwörtern. Rootkits erlauben es dem Angreifer, die administrative Kontrolle über Deinen Rechner zu übernehmen, wordurch der Angreifer Prozesse auf Deinem Rechner ausführen und Schadsoftware nachladen kann, er Zugriff auf Log-Files bekommt, Deine Aktivitäten ausspionieren und Änderungen an der Konfiguration des Computers vornehmen kann.

Ist ein Rootkit erst einmal aktiv, so kann es aus dem laufenden System heraus schwierig bis unmöglich sein, die dazugehörigen Prozesse und Dateien ausfindig zu machen, weil das Rootkit im Hintergrund lügt, dass sich die Balken biegen - ein solches System ist nicht mehr vertrauenswürdig. Daher finden 'normale' Antivirus-Programme nichts und melden "Alles okay" - aber der Schein trügt.

Wie kommt ein Rootkit auf den Rechner? Rootkits können sich nicht selbstständig ausbreiten, denn sie sind nur eine Komponente von dem, was wir Blended Threat (Misch/Mehrfachbedrohung) nennen - eine schädigende Software, die eine Kombination von Attacken gegen unterschiedliche Schwachstellen eines Systems beinhaltet. Blended Threats bestehen typischerweise aus drei Komponenten: einem Dropper, einem Loader und dem Rootkit. Der Dropper ist der Code, der die Rootkit-Installation startet. Um das Dropper-Programm zu aktivieren, bedarf es menschlicher Hilfe, z. B. in Form von Klicken auf einen bösartigen E-Mail-Link, das Klicken auf einen Link, der in einem Messenger gepostet wird oder das Öffnen eines infizierten PDF-Dokumentes oder eines infizierten Bildschirmschoners. Auch vermeintlichen Foto- oder Musikdateien sind eine Gefahrenquelle. Daher am besten Datei-Endungen einblenden, das verringert dieses Risiko.

Einmal initiiert setzt der Dropper das Loader-Programm ein und löscht sich dann selbst. Wenn der Loader erstmal aktiv ist, verursacht er einen Buffer-Overflow (Puffer-Überlauf - Überlastung des Speichers), der den Rootkit dann in den Speicher lädt.

Es sollte nicht unerwähnt bleiben, dass es nicht nur schädliche Rootkits gibt, sondern durchaus auch Legitime, die z. B. in Kopierschutz-Systemen Verwendung finden und schlussendlich ist jede VNC-Software ein Rootkit.

[Petra]

Rootkit-Suche mit Avira AntiRootkit

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.

• Du solltest jetzt antivir_rootkit.zip auf Deinem Desktop finden.
• Entpacke das Archiv auf Deinen Desktop (antivir_rootkit.zip kannst Du jetzt manuell löschen).
• Doppelklick auf die avirarkd.exe => OK.
• Klicke auf Start scan.
• Wenn der Suchlauf beendet ist, klicke auf View report und kopiere das Log hier in den Thread.

[Petra]

Rootkit mit AVZ Antiviral-Toolkit entfernen

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen.

Bitte lade AVZ4 herunter und entpacke es auf den Desktop.
Dort sollte sich nun der Ordner avz4 befinden.

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Aktualisiere die Signaturen:
  Im Menü => File => Database Update => Start-Button drücken => OK
• Im Menü => AVZPM
• Dort auf "Install extended monitoring driver" drücken => OK
• AVZ wird nun einen Neustart verlangen, also neustarten, ggfs. selbst neu starten.
• AVZ wieder starten, setze Häkchen vor die Laufwerke, die gescannt werden sollen.
• Setze ein Häkchen rechts vor "Enable malware removal mode:"
• Setze ein Häkchen vor "Copy suspicious files to Quarantine".
  .
  
  .
• Drücke auf den Button "Start", um den Suchlauf zu starten.
• Geduld, der Suchlauf kann eine Weile dauern.
• Wenn der Suchlauf beendet ist (Scanning finished), drücke rechts auf auf das Diskettensymbol, um das Logfile als Text-Datei zu speichern.
• Poste das Logfile hier in den Thread.

Eine ausführliche und bebilderte Anleitung findest Du bei virus-protect.org.

=====

AVZ4 Antiviral-Toolkit deinstallieren

• Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
• Im Menü => File => Standard Scripts => Nr.6 wählen (Delete all AVZ drivers and registry keys)
  und auf den Button "Execute selected scripts" drücken und mit Yes bestätigen => OK
• Programmfenster schließen.
• Den Ordner avz4 vom Desktop löschen und den Papierkorb leeren.

[Petra]

Rootkit-Suche mit Radix von usec.at

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade radix_installer_trial.zip von usec.at herunter.

• Entpacke das Archiv in einen eigenen Ordner und starte das Programm durch Doppelklick auf die radixgui.exe.
• Ändere keine Einstellungen und klicke auf Check, um die Suche zu starten.
• Wenn der Scan beendet ist, klicke rechts unten auf Save Log, um das Logfile zu speichern.
• Speichere das Logfile als radix.txt in dem Radix-Ordner.
• Schließe das Programm-Fenster von Radix.
• Poste das Logfile in Deinen Thread.

Achtung: Radix hat viele Einstellungsmöglichkeiten, einige davon können ernste und dauerhafte Schäden an Deinem Rechner verursachen, wenn sie nicht sachgerecht angewendet werden. Bitte keine Experimente und den Scan nur mit den Standard-Einstellungen durchführen!

[Petra]

Rootkit-Suche mit Rootkit Buster

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Rootkit Buster von TrendMicro herunter.

• Das Programm ist geeignet für Windows 2000, 2003, XP und Vista (kein Vista 64 Bit).
• Entpacke es mit einem Zip-Programm
• Klicke nun auf die RootkitBuster.exe.
• Lasse die Häkchen in den Einstellungen.
• Beende jede Tätigkeit an Deinem Rechner, schließe alle Anwendungen, einschließlich des Webbrowsers.
• Klicke auf Scan.
• Wenn der Scan fertig ist, wirst Du gefragt: "Do you want to view the log file?"
• Klicke auf 'YES'/'JA'
• Nun poppt ein Texteditor-Fenster mit dem Logfile des Scans auf.
• Kopiere den Inhalt der Logdatei hier in den Thread.

[Petra]

Rootkit-Suche mit Catchme

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Catchme runter auf den Desktop.

• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in Deine Antwort ein.

[Petra]

Rootkit-Suche mit RootRepeal

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
  .
  Drivers
  Files
  Processes
  SSDT
  Stealth Objects
  Hidden Services
  Shadow SSDT
  .
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

[Petra]

Rustock.b Rootkit-Infektion aufspüren


Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Downloade Rustbfix von ejvindh und speichere es auf dem Desktop.

• Mache einen Doppelklick auf die rustbfix.exe, um sie zu starten.
• Wenn eine Rustock.b Infektion gefunden wird, ist es notwendig, dass der Rechner neu gestartet wird.
• Das Neustarten des Rechners kann etwas länger dauern als sonst.
• Es kann auch sein, dass der Rechner zweimal neugestartet werden muss.
• Nach den Neustarts des Rechners öffnen sich zwei Berichte:
• %root%\avenger.txt und %root%\rustbfix\pelog.txt.
• Poste den Inhalt beider Berichte.