Nach dem letzten Microsoft Update-Desaster, welches wohl auf Rootkits zurückzuführen war, sind diese mal wieder in aller Munde.
Bei Rootkits handelt es sich um eine besonders heimtückische Variante von Malware: Sie werden dazu genutzt, Schadsoftware - für den Anwender unsichtbar - im System zu platzieren.
Rootkits sind eine Art Tarnkappe, unter der sich Viren, Würmer oder Trojaner verstecken können. Ein Rootkit muss nicht zwangsläufig ein Indiz für Schadsoftware sein, doch wo es etwas zu verbergen gibt, sollte man misstrauisch zu sein.
Mit ihrem "AntiRootkit Tool" bieten die Entwickler von Avira AntiVir eine wirkungsvolle Waffe gegen Rootkits an:
http://www.free-av.com/de/tools/4/avira ... _tool.html
Das "Avira AntiRootkit Tool" muss nicht installiert werden, man kann es nach dem Entpacken aus einem beliebigen Verzeichnis heraus starten.
Rootkits bekämpfen mit dem "Avira AntiRootkit Tool"
Die Felder sind da, allerdings nicht aktiv.Im unteren Bereich auf der linken Seite steht "Quarantine" und "Quarantine all". Damit müsstest du die Funde unschädlich machen können.
Wenn ich die angezeigten Dateien hier einstelle, könnte da ein Fachmann nähere Auskünfte geben und wie Löschen?
Viele Grüße und bleibt gesund. Rupi
Avira AntiRootkit Tool (1.1.0.1)
========================================================================================================
- Scan started Dienstag, 2. März 2010 - 10:16:26
========================================================================================================
Results:
Embedded nulls : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> offlinekey
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> inittime
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> lasttime
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> keyindex
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag11.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oopm02.00.00.01pro
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag12.00.00.01professional
--------------------------------------------------------------------------------------------------------
Files: 0/98987
Registry items: 31/598854
Processes: 0/44
Scan time: 00:09:53
--------------------------------------------------------------------------------------------------------
Hier das Ergebnis. Leider sagen sie mir nichts. Die Quar. Buttons sind inaktiv.
========================================================================================================
- Scan started Dienstag, 2. März 2010 - 10:16:26
========================================================================================================
Results:
Embedded nulls : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> offlinekey
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> inittime
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> lasttime
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> keyindex
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag11.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oopm02.00.00.01pro
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag12.00.00.01professional
--------------------------------------------------------------------------------------------------------
Files: 0/98987
Registry items: 31/598854
Processes: 0/44
Scan time: 00:09:53
--------------------------------------------------------------------------------------------------------
Hier das Ergebnis. Leider sagen sie mir nichts. Die Quar. Buttons sind inaktiv.
Viele Grüße und bleibt gesund. Rupi
Mit Glück hat das gar nix zu tun, und ich kann nur davor warnen, irgendwelche Einträge vorschnell zu löschen.
Die meisten Virenscanner stellen Einträge ein, die dann von anderen als Rootkit angemeckert werden.
Auch Screensaver oder ähnliche Software werden oftmals fälschlicherweise erkannt.
Im Zweifelsfall hilft nur googeln oder mit anderen Spezialprogrammen, wie z.B. Gmer gegenscannen.
Die meisten Virenscanner stellen Einträge ein, die dann von anderen als Rootkit angemeckert werden.
Auch Screensaver oder ähnliche Software werden oftmals fälschlicherweise erkannt.
Im Zweifelsfall hilft nur googeln oder mit anderen Spezialprogrammen, wie z.B. Gmer gegenscannen.
@ani:
@Erich:
Die ersten 5 scheinen etwas mit einem Videoencoder zu tun zu haben, die letzten 4 mit O&O-Defrag. Ich gehe mal davon aus, dass du diese Programme nutzt. Zu den dazwischenliegenden kann ich nichts sagen, mir erscheinen sie aber harmlos.
Am besten du führst zusätzlich einen Scan mit HijackThis durch. Kopiere das HJT-Logfile in die dafür vorgesehene Box und lasse es auswerten. Anschließend alles fixen, was evtl. als "böse" markiert ist.
Was denn, dass der Scan bei mir 0 Einträge gefunden hat? Das empfinde ich schon als Glück.anisella hat geschrieben:Mit Glück hat das gar nix zu tun
@Erich:
Daher kann es durchaus sein, dass die gefundenen Schlüssel sich nicht löschen lassen, weil sie als ungefährlich bzw. benötigt eingestuft wurden.AVIRA hat geschrieben:Avira AntiVir Rootkit-Schutz erkennt aktive Rootkits. Allerdings gibt es darunter auch Rootkits, die legal in Programmen eingesetzt werden. Sie werden vom Avira AntiVir Rootkitschutz ebenfalls gemeldet. Bitte beachten Sie, dass das Entfernen von gemeldeten Rootkits auf eigene Gefahr erfolgt und zu Fehlern in Programmen führen kann.
Die ersten 5 scheinen etwas mit einem Videoencoder zu tun zu haben, die letzten 4 mit O&O-Defrag. Ich gehe mal davon aus, dass du diese Programme nutzt. Zu den dazwischenliegenden kann ich nichts sagen, mir erscheinen sie aber harmlos.
Am besten du führst zusätzlich einen Scan mit HijackThis durch. Kopiere das HJT-Logfile in die dafür vorgesehene Box und lasse es auswerten. Anschließend alles fixen, was evtl. als "böse" markiert ist.
Na gut, wenn du `s jetzt genau wissen willst : jemand mit deinem Kenntnisstand sollte wissen, daß die Tatsache, daß EIN Scanner nichts findet noch lange nicht bedeuted, daß einSystem komplett sauber ist.
Das wäre ein bißchen zu einfach , und ich meine "Programmierer", die über das Script Kiddie Stadium hinaus sind.
Das wäre ein bißchen zu einfach , und ich meine "Programmierer", die über das Script Kiddie Stadium hinaus sind.
Denkst du allen Ernstes, ich arbeite mit nur einem Scanner? 
Du willst mir anscheinend leider immer noch nicht sagen, wieso ein negativer Befund in Bezug auf Rootkits kein Glück sein soll, oder aber du hast möglicherweise den Zusammenhang, in dem ich das geäußert habe, nicht verstanden.
Ich find`s aber klasse, dass:
Und nein, ich lasse mich nicht weiter provozieren.
Du willst mir anscheinend leider immer noch nicht sagen, wieso ein negativer Befund in Bezug auf Rootkits kein Glück sein soll, oder aber du hast möglicherweise den Zusammenhang, in dem ich das geäußert habe, nicht verstanden.
Ich find`s aber klasse, dass:
, denn Einsicht ist bekanntermaßen der erste Schritt zur Besserung.anisella hat geschrieben:Na gut, dann halte ich mich mal an deine Signatur, die paßt in diesem Falle ja wie die Faust aufs Auge..........
Und nein, ich lasse mich nicht weiter provozieren.
Da fällt mir (als Scriptkiddie) folgendes Zitat von Dijkstra spontan ein:
Wie Merlin schon meinte ... um die ersten und um die letzten Einträge würde ich mir auf keinen Fall Sorgen machen. Bei den anderen Einträgen müsstest du im Registry-Editor nachschauen, um welche DLL-Einträge es sich handelt. Aber die Chance, dass es sich um eine Schadsoftware handelt, würde ich eher als gering einstufen.
@RupprechtTesting shows the presence, not the absence of bugs
Wie Merlin schon meinte ... um die ersten und um die letzten Einträge würde ich mir auf keinen Fall Sorgen machen. Bei den anderen Einträgen müsstest du im Registry-Editor nachschauen, um welche DLL-Einträge es sich handelt. Aber die Chance, dass es sich um eine Schadsoftware handelt, würde ich eher als gering einstufen.