Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Rootkit?

Rootkit?


Plagegeister aller Art und deren Bekämpfung: Rootkit?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.01.2008, 18:28   #1
ordell1234
 
Rootkit? - Standard

Rootkit?


Yep, die Dateien sind identisch, nur heißen sie anders. Sind beide von alcohol, also Entwarnung. Grüße

edit: was hat eigentlich der scan mit RootkitRevealer ergeben?

Alt 10.01.2008, 18:31   #2
Franz1968
/// Helfer-Team
 
Rootkit? - Standard

Rootkit?


Zitat:
Zitat von ordell1234 Beitrag anzeigen
Sind beide von alcohol
Woher weißt du, wenn die Dateinamen doch zufällig erzeugt sind?
__________________

__________________
Alt 10.01.2008, 18:35   #3
ordell1234
 
Rootkit? - Standard

Rootkit?


Ich habe fix ne Testversion von alcohol installiert und den gleichen Treiber zur Prüfung gesendet. MD5 ist identisch.
__________________
Alt 10.01.2008, 18:38   #4
Franz1968
/// Helfer-Team
 
Rootkit? - Standard

Rootkit?


Alles klar, danke.
Vielleicht sollte ich mir mal Testversionen gängiger Rootkits zulegen.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 10.01.2008, 18:47   #5
ordell1234
 
Rootkit? - Standard

Rootkit?


Zitat:
Vielleicht sollte ich mir mal Testversionen gängiger Rootkits zulegen.

Mach dich zum remote-Admin deiner eigenen Kiste und ein sagenhafter Hauch der Macht umweht dich.


Alt 10.01.2008, 18:47   #6
Sunny
Administrator
> Competence Manager
 
Rootkit? - Standard

Rootkit?


Zitat:
Zitat von Franz1968 Beitrag anzeigen
Vielleicht sollte ich mir mal Testversionen gängiger Rootkits zulegen.

Soll ich dir zu dem Thema mal eine email schreiben?!
__________________
--> Rootkit?

Alt 10.01.2008, 19:35   #7
KarlKarl
/// Helfer-Team
 
Rootkit? - Standard

Rootkit?


Hi 5ven,

wenn es dich nicht zu sehr stresst, würde ich gerne noch das Ergebnis eines Scans mit Gmer (wie oben beschrieben) sehen. Keine Panik, ich denke nicht, dass er was böses zeigen würde, er würde aber helfen, mit anderen Threads zu vergleichen, in denen vergleichbare Treibedatien auftreten.

Gruß und Dank,
Karl

Alt 11.01.2008, 03:14   #8
ordell1234
 
Rootkit? - Standard

Rootkit?


BS: Win XP Pro, SP2, gmer 1.0.13:

- vor der Installation von alc120% -> nix im log
- nach der Installation von alcohol 120 % -> siehe gmer-alc.txt
- nach der Deinstallation von alcohol -> siehe gmer-no-alc.txt

Der spdt-Treiber wird über die normale Deinstall-routine nicht mit entfernt. Abhilfe schuf die von alkisoft getrennt angebotene Installation/Deinstalltion des spdt-Treibers, danach war GMER wieder blütenweiß.

Der sp**.sys-Treiber gehört ebenfalls zu Alcohol (oder IST der spdt.sys ), liegt in system32\drivers und ändert seinen Namen nach jedem Neustart.

Hoffe es hilft dir.


---------------------
OT:
Karl, mal ne Frage: Im Forum tauchte die Frage auf, was es mit dem Präfix \??\Windows... bei bestimmten Pfadangaben auf sich hat. Nach meiner Wahrnehmung tritt das oft im Zusammenhang mit dem Auslesen von Kernelmodulen auf.

Ein Blick ins Win-Internals-Buch hat folgendes zutage gefördert:
Zitat:
Kapitel 3, Object Manager:
One place in which the executive uses symbolic link objects is in translating MS-DOS-style device names into Windows internal device names. In Windows, a user refers to floppy and hard disk drives using the names A:, B:, C:, and so on and serial ports as COM1, COM2, and so on. The Windows subsystem makes these symbolic link objects protected, global data by placing them in the object manager namespace under the \?? object directory on Windows 2000 and the \Global?? directory on Windows XP and Windows Server 2003.

Session Namespace[..]A user logged on to the console session has access to the global namespace, a namespace that serves as the first instance of the namespace. Additional sessions are given a session-private view of the namespace known as a local namespace. The parts of the namespace that are localized for each session include \DosDevices, \Windows, and \BaseNamedObjects. Making separate copies of the same parts of the namespace is known as instancing the namespace. Instancing \DosDevices makes it possible for each user to have different network drive letters and Windows objects such as serial ports. On Windows 2000, the global \DosDevices directory is named \?? and is the directory to which the \DosDevices symbolic link points, and local \DosDevices directories are identified by the session id for the terminal server session. On Windows XP and later, the global \DosDevices directory is named \Global?? and is the directory to which \DosDevices points, and local \DosDevices directories are identified by the logon session ID.

[..]

All object manager functions related to namespace management are aware of the instanced directories and participate in providing the illusion that nonconsole sessions use the same namespace as the console session. Windows subsystem DLLs prefix names passed by Windows applications that reference objects in \DosDevices with \?? (for example, C:\Windows becomes \??\C:\Windows). When the object manager sees the special \?? prefix, the steps it takes depends on the version of Windows, but it always relies on a field named DeviceMap in the executive process object (EPROCESS, which is described further in Chapter 6) that points to a data structure shared by other processes in the same session.
Quelle: Microsoft® Windows® Internals, Fourth Edition: Microsoft Windows Server™ 2003, Windows XP, and Windows 2000
By Mark E. Russinovich, David A. Solomon

Nun geht mir das deutlich zu sehr in die Tiefen von Windows. Hast du evtl ne Erklärung für Normalsterbliche auf Lager?

Grüße nach Mexico, ordell
Geändert von ordell1234 (11.01.2008 um 03:33 Uhr) Grund: völligen Schmarrn gepostet

Antwort

Themen zu Rootkit?
adobe, appinit_dlls, avg, bho, bonjour, browseui preloader, computer, ctfmon.exe, desktop, dll, drivers, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, logfile, mozilla, mozilla firefox, nvidia, pdf, rootkit, rootkit?, rundll, s-1-5-18, security, software, system, temp, tuneup.defrag, windows, windows xp, windows\system32\drivers


« BAT/Fake.Privdanger Bitte um eure Unterstützung | Anfänger mit Problemen »


Ähnliche Themen: Rootkit?


  1. - Rootkit entdeckt ! Win7 - Anti-Rootkit o. Neuinstallation ?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2014 (13)
  2. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  3. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  4. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  5. Rootkit.0Access / Rootkit.Agent
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  6. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  7. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  8. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  9. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  10. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  11. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 05.04.2010 (12)
  12. Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?
    Log-Analyse und Auswertung - 06.03.2010 (41)
  13. MBR Rootkit? Was nun tun?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2009 (1)
  14. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  15. TR/Rootkit.Gen
    Antiviren-, Firewall- und andere Schutzprogramme - 31.03.2009 (1)
  16. TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2006 (1)
  17. Rootkit?!
    Log-Analyse und Auswertung - 12.08.2006 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit? - Yep, die Dateien sind identisch, nur heißen sie anders. Sind beide von alcohol, also Entwarnung. Grüße edit: was hat eigentlich der scan mit RootkitRevealer ergeben? - Rootkit?...
Archiv
Du betrachtest: Rootkit? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131