Rootkit Hook Analyzer |
||
---|---|---|
#0
| ||
25.09.2006, 01:15
Member
Beiträge: 278 |
||
|
||
25.09.2006, 08:20
Moderator
Beiträge: 7805 |
#2
Lade dir mal gmer herunter: http://www.gmer.net/files.php starte es und druecke scan. Wenn es mit dem Scan fertig ist, druecke Copy und fuerge den Inhalt hier in einer antwort von dir ein.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.09.2006, 09:01
Member
Themenstarter Beiträge: 278 |
#3
Ok,bitte schön:
GMER 1.0.11.11349 - http://www.gmer.net Rootkit 2006-09-25 09:01:08 Windows 5.1.2600 Service Pack 1 ---- System - GMER 1.0.11 ---- SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess SSDT \SystemRoot\System32\vsdatant.sys ZwOpenThread SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey SSDT \SystemRoot\System32\vsdatant.sys ZwTerminateProcess INT 0x71 ? FEE3229C INT 0x92 ? FEE313FC INT 0x93 ? FEE3250C INT 0xB2 ? FEE30A04 ---- Devices - GMER 1.0.11 ---- Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F58C12A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [F58C12A0] vsdatant.sys ---- Processes - GMER 1.0.11 ---- Process vsmon.exe (*** hidden *** ) [1412] 826B8488 ---- Files - GMER 1.0.11 ---- ADS ... ADS ... ---- EOF - GMER 1.0.11 ---- Ist jetzt meine Firewall befallen??Und warum sind nicht so viele Einträge rot??Spinnt mein Hook Analyzer?? Wie konnte ich mich überhaupt infizieren? Achte extrem auf Sicherheit: AntiVir,Firefox,Firewall,NAT-Firewall im Router,Sicherheitsupdates,regelmäßige Scans mit AdAware,Spybot,CWShredder usw. __________ "Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!" [Albert Einstein] |
|
|
||
25.09.2006, 09:19
Moderator
Beiträge: 7805 |
#4
Naja, das sieht mir danach aus, das ZA selber das Rootkit ist, bzw rootkit aehnliches verhalten an den Tag legt. Da muss ich selber mal nachhaken....
BTW: Du solltest sp2 installieren! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.09.2006, 11:06
Moderator
Beiträge: 7805 |
#5
So, nun weiss ichs, das ist ein normales Verhalten, wenn neuere ZA Versionen installiert sind. Also kein Grund zur Beunruhigung...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.09.2006, 19:15
Member
Themenstarter Beiträge: 278 |
#6
Ok,danke...aber gibt es irgendwo einen guten Guide, wo ich lernen kann, solche Logs auszuwerten??Bin kein Neulinge auf dem Gebiet,also kann es ruhig auch was für Fortgeschrittene sein.
Kannst du dir erklären,warum ZA solch ein Verhalten an den Tag legen sollte? __________ "Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!" [Albert Einstein] |
|
|
||
25.09.2006, 21:59
Moderator
Beiträge: 7805 |
#7
Obwohl ich es nicht genau weiss, denke ich, das ZA dieses Rootkitaehnliche Verhalten fuer den selbstschutz nutz, damit es nicht von jeder dahergelaufenen Malware ausgeknipst werden kann.
Bei installiertem KAV6 sieht man ein aehnliches Verhalten. Achso, Gmer sagt einem selber meistens schon, wenn es wirklich sehr nahe an ein Rootkit geht. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.09.2006, 22:19
Member
Themenstarter Beiträge: 278 |
#8
Ok,alles klar...vielen Dank.
__________ "Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!" [Albert Einstein] |
|
|
||
18.05.2007, 19:49
...neu hier
Beiträge: 2 |
#9
Hallo
Ich habe mit dem RHA folgenes rotmariertes gefunden. Service name Syscall Address Hooked Module Product Company Description -------------------------------------------------------------------------------------------------------------------------------------- NtClose, ZwClose 25 0xAEF17E60 YES SLEE401.sys NtCreateFile, ZwCreateFile 37 0xAEF17EF5 YES SLEE401.sys NtOpenFile, ZwOpenFile 116 0xAEF18105 YES SLEE401.sys NtSetInformationFile, ZwSetInformationFile 224 0xAEF17E90 YES SLEE401.sys Leider weiss ich auch nicht was ich damit anfangen soll ? Ist es ein RootKit ? Wie bekomme ich es dann weg ? Weiss jemand Rat ? Danke |
|
|
||
18.05.2007, 20:00
Moderator
Beiträge: 7805 |
#10
Google sagt, das gehoert zu steganos: http://www.buha.info/board/showthread.php?p=184074
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.05.2007, 20:19
...neu hier
Beiträge: 2 |
#11
Das könnte sein. Ich hatte mal ein Steganos gesichertes Laufwerk.
Davon ist es wohl noch übrig. Danke für die schnelle Antwort. |
|
|
||
bin absoluter Neuling,was Rootkits angeht. Habe in einem Artikel der PCGH die Empfehlung für das kostenlose Tool "Rootkit Hook Analyzer" gelesen und es runtergeladen.
Zu meinem Entsetzen waren alle 283 Einträge rot, also Rootkits!
Kann mir jemand sagen, was ich jetzt machen kann oder soll??Kennt sich jemand mit dem Tool aus??Es gibt absolut keine Optionen und das Tool soll mir anscheinend die betroffenen Programme verraten.Nur sind das allesamt Programme,wie meine Nvidia-Treiber,WingMan Software,Windows usw. also einfach alles.
Kann das sein??Wie bekomme ich die weg?
Laut Wikipedia habe ich Kernel-Rootkits.
"Kernel Rootkits ersetzen Teile des Betriebssystem-Kerns durch eigenen Code, um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen durch die direkte Manipulation von Kernelspeicher auch ohne LKM aus. Unter Windows werden Kernel Rootkits häufig als neue .sys-Treiber realisiert."
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]