Rootkits bekämpfen mit dem "Avira AntiRootkit Tool"

Antworten
Merlin
Beiträge: 4567
Registriert: 31.08.2006, 23:08

Beitrag von Merlin »

Nach dem letzten Microsoft Update-Desaster, welches wohl auf Rootkits zurückzuführen war, sind diese mal wieder in aller Munde.

Bei Rootkits handelt es sich um eine besonders heimtückische Variante von Malware: Sie werden dazu genutzt, Schadsoftware - für den Anwender unsichtbar - im System zu platzieren.
Rootkits sind eine Art Tarnkappe, unter der sich Viren, Würmer oder Trojaner verstecken können. Ein Rootkit muss nicht zwangsläufig ein Indiz für Schadsoftware sein, doch wo es etwas zu verbergen gibt, sollte man misstrauisch zu sein.

Mit ihrem "AntiRootkit Tool" bieten die Entwickler von Avira AntiVir eine wirkungsvolle Waffe gegen Rootkits an:

http://www.free-av.com/de/tools/4/avira ... _tool.html

Das "Avira AntiRootkit Tool" muss nicht installiert werden, man kann es nach dem Entpacken aus einem beliebigen Verzeichnis heraus starten.



Benutzeravatar
Rupprecht
Beiträge: 1108
Registriert: 21.03.2007, 07:36

Beitrag von Rupprecht »

Hab das Avira AntiRootkit Tool mal gestartet. Hat mir auch 31 Einträge angezeigt. Leider kann ich mit den gezeigten Einträgen nichts anfangen. Es fehlt auch die Möglichkeit gemeldete Einträge zu entfernen.
Viele Grüße und bleibt gesund. Rupi
Merlin
Beiträge: 4567
Registriert: 31.08.2006, 23:08

Beitrag von Merlin »

Hallo erich,

da hatte ich mehr Glück. 0 Einträge. :grin:

Im unteren Bereich auf der linken Seite steht "Quarantine" und "Quarantine all". Damit müsstest du die Funde unschädlich machen können.

Benutzeravatar
Rupprecht
Beiträge: 1108
Registriert: 21.03.2007, 07:36

Beitrag von Rupprecht »

Im unteren Bereich auf der linken Seite steht "Quarantine" und "Quarantine all". Damit müsstest du die Funde unschädlich machen können.
Die Felder sind da, allerdings nicht aktiv.

Wenn ich die angezeigten Dateien hier einstelle, könnte da ein Fachmann nähere Auskünfte geben und wie Löschen?
Viele Grüße und bleibt gesund. Rupi
Merlin
Beiträge: 4567
Registriert: 31.08.2006, 23:08

Beitrag von Merlin »

Vielleicht. Stell bitte einen Screenshot hier ein.
Benutzeravatar
Rupprecht
Beiträge: 1108
Registriert: 21.03.2007, 07:36

Beitrag von Rupprecht »

der Scan läuft. Wenn fertig stelle ich hier ein Abbild ein.
Viele Grüße und bleibt gesund. Rupi
Benutzeravatar
Rupprecht
Beiträge: 1108
Registriert: 21.03.2007, 07:36

Beitrag von Rupprecht »

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
- Scan started Dienstag, 2. März 2010 - 10:16:26
========================================================================================================



Results:
Embedded nulls : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> offlinekey
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> inittime
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> lasttime
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> keyindex
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag11.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oopm02.00.00.01pro
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag12.00.00.01professional

--------------------------------------------------------------------------------------------------------
Files: 0/98987
Registry items: 31/598854
Processes: 0/44
Scan time: 00:09:53
--------------------------------------------------------------------------------------------------------
Hier das Ergebnis. Leider sagen sie mir nichts. Die Quar. Buttons sind inaktiv.
Viele Grüße und bleibt gesund. Rupi
anisella
Beiträge: 5686
Registriert: 24.01.2007, 19:12

Beitrag von anisella »

Mit Glück hat das gar nix zu tun, und ich kann nur davor warnen, irgendwelche Einträge vorschnell zu löschen.
Die meisten Virenscanner stellen Einträge ein, die dann von anderen als Rootkit angemeckert werden.
Auch Screensaver oder ähnliche Software werden oftmals fälschlicherweise erkannt.
Im Zweifelsfall hilft nur googeln oder mit anderen Spezialprogrammen, wie z.B. Gmer gegenscannen.
Merlin
Beiträge: 4567
Registriert: 31.08.2006, 23:08

Beitrag von Merlin »

@ani:
anisella hat geschrieben:Mit Glück hat das gar nix zu tun
Was denn, dass der Scan bei mir 0 Einträge gefunden hat? Das empfinde ich schon als Glück.


@Erich:
AVIRA hat geschrieben:Avira AntiVir Rootkit-Schutz erkennt aktive Rootkits. Allerdings gibt es darunter auch Rootkits, die legal in Programmen eingesetzt werden. Sie werden vom Avira AntiVir Rootkitschutz ebenfalls gemeldet. Bitte beachten Sie, dass das Entfernen von gemeldeten Rootkits auf eigene Gefahr erfolgt und zu Fehlern in Programmen führen kann.
Daher kann es durchaus sein, dass die gefundenen Schlüssel sich nicht löschen lassen, weil sie als ungefährlich bzw. benötigt eingestuft wurden.

Die ersten 5 scheinen etwas mit einem Videoencoder zu tun zu haben, die letzten 4 mit O&O-Defrag. Ich gehe mal davon aus, dass du diese Programme nutzt. Zu den dazwischenliegenden kann ich nichts sagen, mir erscheinen sie aber harmlos.

Am besten du führst zusätzlich einen Scan mit HijackThis durch. Kopiere das HJT-Logfile in die dafür vorgesehene Box und lasse es auswerten. Anschließend alles fixen, was evtl. als "böse" markiert ist.
anisella
Beiträge: 5686
Registriert: 24.01.2007, 19:12

Beitrag von anisella »

Na gut, dann halte ich mich mal an deine Signatur, die paßt in diesem Falle ja wie die Faust aufs Auge...........
Merlin
Beiträge: 4567
Registriert: 31.08.2006, 23:08

Beitrag von Merlin »

Selten so gelacht. Auch wenn ichs immer noch nicht verstehe.
Hab ich jetzt etwa Pech gehabt, weil mein System sauber ist??

anisella
Beiträge: 5686
Registriert: 24.01.2007, 19:12

Beitrag von anisella »

Na gut, wenn du `s jetzt genau wissen willst : jemand mit deinem Kenntnisstand sollte wissen, daß die Tatsache, daß EIN Scanner nichts findet noch lange nicht bedeuted, daß einSystem komplett sauber ist.
Das wäre ein bißchen zu einfach , und ich meine "Programmierer", die über das Script Kiddie Stadium hinaus sind.
Merlin
Beiträge: 4567
Registriert: 31.08.2006, 23:08

Beitrag von Merlin »

Denkst du allen Ernstes, ich arbeite mit nur einem Scanner? Bild

Du willst mir anscheinend leider immer noch nicht sagen, wieso ein negativer Befund in Bezug auf Rootkits kein Glück sein soll, oder aber du hast möglicherweise den Zusammenhang, in dem ich das geäußert habe, nicht verstanden.

Ich find`s aber klasse, dass:
anisella hat geschrieben:Na gut, dann halte ich mich mal an deine Signatur, die paßt in diesem Falle ja wie die Faust aufs Auge..........
, denn Einsicht ist bekanntermaßen der erste Schritt zur Besserung. :wink:


Und nein, ich lasse mich nicht weiter provozieren. :lol:

anisella
Beiträge: 5686
Registriert: 24.01.2007, 19:12

Beitrag von anisella »

Und nein, ich lasse mich nicht weiter provozieren.
Sehr löblich ! deswegen lieben wir Dich ja alle so !
Bei mir muß heute irgendwie die Altersweisheit versagen.......... muß wohl am Wetter liegen............ Bild
Genesis
Beiträge: 492
Registriert: 22.12.2006, 13:29

Beitrag von Genesis »

Da fällt mir (als Scriptkiddie) folgendes Zitat von Dijkstra spontan ein:
Testing shows the presence, not the absence of bugs
@Rupprecht
Wie Merlin schon meinte ... um die ersten und um die letzten Einträge würde ich mir auf keinen Fall Sorgen machen. Bei den anderen Einträgen müsstest du im Registry-Editor nachschauen, um welche DLL-Einträge es sich handelt. Aber die Chance, dass es sich um eine Schadsoftware handelt, würde ich eher als gering einstufen.
Antworten

Zurück zu „Antivirus, Malware und Firewalls“