Supportnet / Forum / Security/Viren
Rootkit system32
Frage
Moin!
Seit einigen Wochen hab ich ein sogenanntes Rootkit (Hacking)(C:WINDOWS\system32\drivers) Programm auf meinen Laptop.
Mein größtes Problem ist aber das, wenn ich mein AntiVir durchlaufen lassen, wird der Laptop nach ca. 3-4% runtergefahren bzw. er wird komplett Schwarz und stürzt ab.
So und jetzt an euch da draußen vielleicht, hat ja jemand schon ein selbiges Problem gehabt und behoben, wer superdoll ;-) wenn Ihr mir Vorschläge bringen könnet!!!
LG Katja
Antwort 1 von Galahad
Hallo Katja,
lass doch mal den McAfee Rootkit detective durchlaufen.
Ist einen Versuch wert.
Versprechen kann man da natürlich nichts.
MfG
lass doch mal den McAfee Rootkit detective durchlaufen.
Ist einen Versuch wert.
Versprechen kann man da natürlich nichts.
MfG
Antwort 2 von POwerDAU
wie heisst es denn?
Antwort 3 von SilverAir
Ok ich wärs mal veruschen.
Das Problem ist aber dies, kann das bestimmt nicht bis zum Ende durchlaufen lassen,weil der Laptop vorher evtl. abstürzt....
;-(
Das Problem ist aber dies, kann das bestimmt nicht bis zum Ende durchlaufen lassen,weil der Laptop vorher evtl. abstürzt....
;-(
Antwort 4 von Kismo
Hallo SilverAir,
versuchs doch mal mit dem Microsofteigenen Prog.
Start > ausführen mrt.exe eingeben.
Gerade gegen Rootkits soll das Teil nicht schlecht sein.
Gruß
Kismo
versuchs doch mal mit dem Microsofteigenen Prog.
Start > ausführen mrt.exe eingeben.
Gerade gegen Rootkits soll das Teil nicht schlecht sein.
Gruß
Kismo
Antwort 5 von SilverAir
mmmhhh?
Was wie heißt das denn? Was möchtest du wissen?
Was wie heißt das denn? Was möchtest du wissen?
Antwort 6 von SilverAir
Ok danke ich versuchs mal
LG Katja
LG Katja
Antwort 7 von SilverAir
Supi hat geklappt also hat nix gefunden, aber glaub mein Absturz Problem ist noch net behoben...
Antwort 8 von Galahad
Zitat: Supi hat geklappt also hat nix gefunden
das muß noch nichts heißen.
Was hast Du gemacht?
mrt oder Rootkit detective?
das muß noch nichts heißen.
Was hast Du gemacht?
mrt oder Rootkit detective?
Antwort 9 von Kismo
Hallo SilverAir,
vermute mal, da ist es ganz anders im Argen bei dir.
Hat das Rootkit überhaupt einen Namen oder vermutest Du nur das es ein Rootkit ist
Gruß
Kismo
vermute mal, da ist es ganz anders im Argen bei dir.
Hat das Rootkit überhaupt einen Namen oder vermutest Du nur das es ein Rootkit ist
Gruß
Kismo
Antwort 10 von Galahad
@ kismo: gute Frage
Antwort 11 von POwerDAU
A9 und A10
siehe A2 und sein kommentar in A5
solange wir ned wissen, welches rootkit da angeblich wirkung zeigt, solange ist hilfestellung relativ schwer...........
siehe A2 und sein kommentar in A5
solange wir ned wissen, welches rootkit da angeblich wirkung zeigt, solange ist hilfestellung relativ schwer...........
Antwort 12 von SilverAir
Ja ich vermute es mal, wissen tu ich es nicht 100%.
Aber hab das Programm GMER mal durchlaufen lassen, was i in der neusten Computerbild gefunden habe.
Und nach dem Systemscan hat er ein Rootkit Namens system32 gefunden was bei mir unter windows C sich eingeschlichen hat.
Das eigentliche Problem wie gesagt ist mein Systemabsturz..
beim laufen des AntiVir Programmes..
Aber hab das Programm GMER mal durchlaufen lassen, was i in der neusten Computerbild gefunden habe.
Und nach dem Systemscan hat er ein Rootkit Namens system32 gefunden was bei mir unter windows C sich eingeschlichen hat.
Das eigentliche Problem wie gesagt ist mein Systemabsturz..
beim laufen des AntiVir Programmes..
Antwort 13 von e-t-c
Das MRT Tool ist schkicht gesagt für Rootkits sch ... bzw. nicht geeignet.
Kann GMER den Rootkit denn nicht entfernen?
Vielleicht gehts mit IceSword oder DarkSpy oder RootKit Unhooker
alle hier zu finden .... http://www.antirootkit.com/software/index.htm
BTW: Von Antivir gibts noch ein externes Live-CD Programm,
würde es damit auch mal versuchen ....
Kann GMER den Rootkit denn nicht entfernen?
Vielleicht gehts mit IceSword oder DarkSpy oder RootKit Unhooker
alle hier zu finden .... http://www.antirootkit.com/software/index.htm
BTW: Von Antivir gibts noch ein externes Live-CD Programm,
würde es damit auch mal versuchen ....
Zitat:
Avira AntiVir Rescue System (Anbieter: Avira GmbH - GERMANY)
DD: Jan 2008 - ca. 27 MB - Englisch - Live CD Creator (.exe) - Free
OS: Linux
PP: http://www.avira.com/de/support/faq/details.html?id=230
DL: http://www.avira.de/de/support/support_downloads.html
Mit dem auf Linux basierenden Avira AntiVir Rescue System lässt sich Windows "von ausserhalb" per Live-CD scannen.
Das Rescue-System benötigt 2 CDs - eine fürs Programm, und eine für die Virendefinitionen.
Da die VDF-Dateien mehrmals täglich(!) aktualisiert werden, ist CD-RW für die VDF CD naheliegend.
Der VDF-Download ist unter "Avira AntiVir Rescue System Update" (rescue_update.zip) zu finden.
Vorgangsweise:
Auf CD 1 wird das Rescuesystem gebrannt, auf CD 2 das VDF-Update.
Gebootet wird mit CD 1, die das Hauptprogramm in den Arbeitsspeicher lädt.
Um das System nun zu scannen, im Menü "Update" auswählen - und dann "Update von CD".
Nach der Auforderung die CD zu wechseln und dem durchgeführten Update,
kann der Rechner mit den VDF-Dateien gescannt werden.
Um gefundene Schädlinge zu löschen/umzubenennen, gibt man, wenn die Parameter angezeigt werden,
entweder -ren für Umbenennen, oder -del für Löschen ein.
Avira AntiVir Rescue System (Anbieter: Avira GmbH - GERMANY)
DD: Jan 2008 - ca. 27 MB - Englisch - Live CD Creator (.exe) - Free
OS: Linux
PP: http://www.avira.com/de/support/faq/details.html?id=230
DL: http://www.avira.de/de/support/support_downloads.html
Mit dem auf Linux basierenden Avira AntiVir Rescue System lässt sich Windows "von ausserhalb" per Live-CD scannen.
Das Rescue-System benötigt 2 CDs - eine fürs Programm, und eine für die Virendefinitionen.
Da die VDF-Dateien mehrmals täglich(!) aktualisiert werden, ist CD-RW für die VDF CD naheliegend.
Der VDF-Download ist unter "Avira AntiVir Rescue System Update" (rescue_update.zip) zu finden.
Vorgangsweise:
Auf CD 1 wird das Rescuesystem gebrannt, auf CD 2 das VDF-Update.
Gebootet wird mit CD 1, die das Hauptprogramm in den Arbeitsspeicher lädt.
Um das System nun zu scannen, im Menü "Update" auswählen - und dann "Update von CD".
Nach der Auforderung die CD zu wechseln und dem durchgeführten Update,
kann der Rechner mit den VDF-Dateien gescannt werden.
Um gefundene Schädlinge zu löschen/umzubenennen, gibt man, wenn die Parameter angezeigt werden,
entweder -ren für Umbenennen, oder -del für Löschen ein.
Zitat:
Avira AntiVir Rescue System
Das Avira AntiVir Rescue System ist eine linux-basierte Applikation, die es erlaubt auf Rechner zuzugreifen,
die nicht mehr gebootet werden können. Auf diese Weise ist es möglich, ein beschädigtes System zu reparieren,
Daten zu retten oder eine Überprüfung des Systems auf Virenbefall durchzuführen.
Das Rescue System kann nach dem Herunterladen per Doppelklick auf eine CD/DVD gebrannt werden.
Dieses CD/DVD kann dann benutzt werden, um einen Rechner zu booten.
Das Avira AntiVir Rescue System mehrmals täglich aktualisiert, so dass immer die aktuellsten
Sicherheitsupdates zur Verfügung stehen.
Avira AntiVir Rescue System
Das Avira AntiVir Rescue System ist eine linux-basierte Applikation, die es erlaubt auf Rechner zuzugreifen,
die nicht mehr gebootet werden können. Auf diese Weise ist es möglich, ein beschädigtes System zu reparieren,
Daten zu retten oder eine Überprüfung des Systems auf Virenbefall durchzuführen.
Das Rescue System kann nach dem Herunterladen per Doppelklick auf eine CD/DVD gebrannt werden.
Dieses CD/DVD kann dann benutzt werden, um einen Rechner zu booten.
Das Avira AntiVir Rescue System mehrmals täglich aktualisiert, so dass immer die aktuellsten
Sicherheitsupdates zur Verfügung stehen.
Antwort 14 von POwerDAU
1. es gibt meiner meinung nach KEIN rootkit, welches "system32" heisst
2. da RK wird sich IN system32 befinden, das ja, aber noch immer wär der name intressant
3. antivir und rootkit-meldungen häufen sich in letzter zeit wieder mal, interpretiern darfste diese aussage selber
4. wenn rootkit befall wirklich wahr ist, muss ich leider sagen, setz dein system neu auf, es gibt bis heute keine zuverlässige möglichkeit zu beweisen, dass das system wirklich sauber ist, nach der "entfernung"
leider
2. da RK wird sich IN system32 befinden, das ja, aber noch immer wär der name intressant
3. antivir und rootkit-meldungen häufen sich in letzter zeit wieder mal, interpretiern darfste diese aussage selber
4. wenn rootkit befall wirklich wahr ist, muss ich leider sagen, setz dein system neu auf, es gibt bis heute keine zuverlässige möglichkeit zu beweisen, dass das system wirklich sauber ist, nach der "entfernung"
leider
Antwort 15 von Kismo
Hallo SilverAir,
hast Du schon versucht die Aktion im abgesicherten Modus durchzuführen?
Gruß
Kismo
hast Du schon versucht die Aktion im abgesicherten Modus durchzuführen?
Gruß
Kismo
Antwort 16 von Galahad
Hallo Katja,
falls es wirklich ein Rootkit ist -- siehe Antwort 14
ansonsten bleibt noch zu klären warum Antivir bei Dir abstürzt.
Dieser Frage gehst Du am besten nach unter
free-av.de und hier zum Support Forum.
Du könntest natürlich mal einen Onlinescanner benutzen,
z.B. unter Kasperski.com
MfG
falls es wirklich ein Rootkit ist -- siehe Antwort 14
ansonsten bleibt noch zu klären warum Antivir bei Dir abstürzt.
Dieser Frage gehst Du am besten nach unter
free-av.de und hier zum Support Forum.
Du könntest natürlich mal einen Onlinescanner benutzen,
z.B. unter Kasperski.com
MfG
Antwort 17 von e-t-c
Hallo SilverAir was gibt es neues?
Antwort 18 von SilverAir
Hallöchen!
Also er hat dieses Rootkit was i vermute net gefunden.
Ich wär jetzt erstmal versuchen mit den Problem des Absturzes des Laptop auf den Grund gehen, siehe da online scan.
Ich habe auch die Vermutung es das mein Lüfter zu heiß wird, aber wie gesagt i don`t know ;-)
Werde mich in den nächsten Tagen nochmal darauf melden wie der aktuelle Stand ist.
EIne Frage habe ich aber noch was gibt es denn für Rootkits und wie kann i sie evtl. erkennen auf meinen Rechner?
P.S. Nochmal vielen Dank für Eure Hilfe
LG Katja
Also er hat dieses Rootkit was i vermute net gefunden.
Ich wär jetzt erstmal versuchen mit den Problem des Absturzes des Laptop auf den Grund gehen, siehe da online scan.
Ich habe auch die Vermutung es das mein Lüfter zu heiß wird, aber wie gesagt i don`t know ;-)
Werde mich in den nächsten Tagen nochmal darauf melden wie der aktuelle Stand ist.
EIne Frage habe ich aber noch was gibt es denn für Rootkits und wie kann i sie evtl. erkennen auf meinen Rechner?
P.S. Nochmal vielen Dank für Eure Hilfe
LG Katja
Antwort 19 von e-t-c
Es gibt vermutlich tausende Root-Kits (!) (= eine neuere Abart von Trojanern bzw. Spyware).
Erkennen und auch ENTFERNEN lassen sie sich mit den bereits empfohlenen Programmen, wie ...
Erkennen und auch ENTFERNEN lassen sie sich mit den bereits empfohlenen Programmen, wie ...
Zitat:
GMER, DarkSpy, IceSword, RootKit Unhooker alle hier zu finden ....
http://www.antirootkit.com/software/index.htm
GMER, DarkSpy, IceSword, RootKit Unhooker alle hier zu finden ....
http://www.antirootkit.com/software/index.htm
Antwort 20 von POwerDAU
Antwort 21 von e-t-c
Auszug aus deinem Link ...
PS: Wie auch immer man es nennen mag ... ich würde ein derart befallenes System keinesfalls mehr nutzen - sondern Formatieren und Neuinstallieren - und sämtliche Passwörter und Accounts neu erstellen.
Zitat:
Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen.
Hinzu können Backdoors (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport eine Verbindungsanfrage gestellt wurde. Die Grenze zwischen Rootkits und Trojanischen Pferden ist fließend.
Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen.
Hinzu können Backdoors (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport eine Verbindungsanfrage gestellt wurde. Die Grenze zwischen Rootkits und Trojanischen Pferden ist fließend.
PS: Wie auch immer man es nennen mag ... ich würde ein derart befallenes System keinesfalls mehr nutzen - sondern Formatieren und Neuinstallieren - und sämtliche Passwörter und Accounts neu erstellen.
Antwort 22 von POwerDAU
schon klar.
nur deine aussage von "neuere abart"
bedenkt man, dass man rootkits schon ewig lange kennt auf unixsystemen........da war noch nicht mal die rede im public use von "trojaner".....naja, ist ja egal eigentlich. DAS es ne fliessende grenze gibt, bestreite ich ned, nur die historische festlegung deinerseits.
zum PS: geb ich dir auf jeden fall recht, aber so wie der thread läuft isses eh kein rootkit. und momentan sind rootkits sehr selten anzutreffen.
nur deine aussage von "neuere abart"
bedenkt man, dass man rootkits schon ewig lange kennt auf unixsystemen........da war noch nicht mal die rede im public use von "trojaner".....naja, ist ja egal eigentlich. DAS es ne fliessende grenze gibt, bestreite ich ned, nur die historische festlegung deinerseits.
zum PS: geb ich dir auf jeden fall recht, aber so wie der thread läuft isses eh kein rootkit. und momentan sind rootkits sehr selten anzutreffen.