Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> Rootkit Hook Analyzer, Bitte um Hilfe
SAM
Beitrag 17.10.2006, 11:40
Beitrag #1



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 419
Mitglied seit: 31.01.2004
Mitglieds-Nr.: 390

Betriebssystem:
Linux Mint------WIN7
Virenscanner:
Avast
Firewall:
Router
Hi,
ich komme bei der Board-/Googlesuche nicht so richtig weiter um beurteilen zu können , ob da nun ein Rootkit schädlich am laufen ist .
Wenn ja - was zu tun ist.
Könnt Ihr mir dazu was sagen bzw. helfen ?


--------------------
Gruß SAM
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
Andreas Haak
Beitrag 17.10.2006, 17:48
Beitrag #2



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 71
Mitglied seit: 21.06.2006
Wohnort: Wien
Mitglieds-Nr.: 5.072

Betriebssystem:
Windows Vista
Virenscanner:
Kaspersky Anti-Virus
Firewall:
NAT
Die Datei gehört durchaus zu Ewido bzw. AVG Anti-Spyware. Der Treiber guard.sys implementiert den "Killschutz".

Gehooked bedeutet in dem Fall einfach, daß sich eine Komponente vor die Originalfunktion geschaltet hat. In Deinem Falle vor den 2 APIs die benötigt werden um einen Prozess abzuschießen. Der Treiber überprüft ob der Prozess, der dort abgeschossen werden soll ein Ewido/AVG AS Prozess ist. Wenn nicht, wird einfach die Originalroutine aufgerufen und wenn doch wird ein Fehler zurück gegeben.


--------------------
Regards,
Andreas Haak
Go to the top of the page
 
+Quote Post
Gast_Jens1962_*
Beitrag 17.10.2006, 17:54
Beitrag #3






Gäste
ZITAT(Andreas Haak @ 17.10.2006, 18:47) [snapback]170876[/snapback]
Die Datei gehört durchaus zu Ewido bzw. AVG Anti-Spyware.
Erstmal Danke für die Info über die Arbeitsweise.
Läßt sich eigentlich ausschließen, daß es sich nicht um eine andere guard.sys handelt? Es gibt leider absolut keine nachvollziehbaren Angaben, welcher Prozeß da läuft. Es gibt auch noch ein paar andere guards (Steganos, z.B. ?)

Jens
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- SAM   Rootkit Hook Analyzer   17.10.2006, 11:40
- - bond7   Hast du Ewido Security Suite installiert ?   17.10.2006, 11:58
- - SAM   ...nur die Ewido Micr.exe lass ich manchmal laufe...   17.10.2006, 12:11
- - bond7   Zumindestens gibt es diese Sys-Datei bei Ewido und...   17.10.2006, 12:27
- - SAM   ...ja- soweit war ich auch. Aber wer sagt mir nun...   17.10.2006, 12:50
- - Andreas Haak   Die Datei gehört durchaus zu Ewido bzw. AVG Anti-S...   17.10.2006, 17:48
|- - Jens1962   ZITAT(Andreas Haak @ 17.10.2006, 18:47) 1...   17.10.2006, 17:54
- - bond7   Lässt sich der (System)Treiber selbst Beenden bzw....   17.10.2006, 17:54
- - Andreas Haak   ZITAT(bond7 @ 17.10.2006, 18:53) 170877 L...   17.10.2006, 19:32
|- - Jens1962   ZITAT(Andreas Haak @ 17.10.2006, 20:31) 1...   17.10.2006, 19:50
- - bond7   ZITATMit Windows Vista wirds zumindest in der 64 B...   17.10.2006, 19:45
- - SAM   Guard.sys u. guard.exe gehen eindeutig auf AVG-Ant...   18.10.2006, 17:13

« Vorhergehendes Thema · Trojaner, Viren und Würmer · Folgendes Thema »
 

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 06.09.2025, 09:37
Powered By IP.Board © 2025  IPS, Inc.
Licensed to: Rokop Security
Impressum