 Rootkit Hook Analyzer, Bitte um Hilfe |
Willkommen, Gast ( Anmelden | Registrierung )
 17.10.2006, 11:40
Beitrag
#1
|
|
 Fühlt sich hier wohl  Gruppe: Mitglieder Beiträge: 419 Mitglied seit: 31.01.2004 Mitglieds-Nr.: 390 Betriebssystem: Linux Mint------WIN7 Virenscanner: Avast Firewall: Router  |
Hi,
ich komme bei der Board-/Googlesuche nicht so richtig weiter um beurteilen zu können , ob da nun ein Rootkit schädlich am laufen ist . Wenn ja - was zu tun ist. Könnt Ihr mir dazu was sagen bzw. helfen ? -------------------- Gruß SAM
|
 |
 
|
 |
Antworten
|
17.10.2006, 19:32
Beitrag
#2
|
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 71 Mitglied seit: 21.06.2006 Wohnort: Wien Mitglieds-Nr.: 5.072 Betriebssystem: Windows Vista Virenscanner: Kaspersky Anti-Virus Firewall: NAT |
ZITAT(bond7 @ 17.10.2006, 18:53) [snapback]170877[/snapback] Lässt sich der (System)Treiber selbst Beenden bzw. Stoppen ? In dem Fall wäre das nicht ratsam. Technisch aber durchaus machbar. Es gibt immer ein Problem wenn mehr als ein Treiber eine bestimmte Funktion hookt und einer der Treiber sich entschließt sich zu entladen. Im günstigsten Falle führt es dazu, daß die Hooks der anderen Treiber unwirksam werden. Im schlimsten Falle führt es zu ungültigen Funktionszeigern und zu nem Bluescreen. Ich würd davon also eher die Finger lassen  .ZITAT(Jens1962 @ 17.10.2006, 18:53) [snapback]170878[/snapback] Läßt sich eigentlich ausschließen, daß es sich nicht um eine andere guard.sys handelt? Es gibt leider absolut keine nachvollziehbaren Angaben, welcher Prozeß da läuft. Es gibt auch noch ein paar andere guards (Steganos, z.B. ?) Fälschen lässt es sich immer. Aber man kann z.B. mit diversen Tools den genauen Pfad des Treibers ausmachen. GMER bietet z.B. so eine Funktion:   Aber auch das sollte man mit Vorsicht genießen. Fakt ist aber, daß Ewidos guard.sys die beiden genannten Funktionen hookt und das er Ewido bzw. AVG AS installiert hat  . Daher ist die Wahrscheinlichkeit sehr hoch das es der Ewido Treiber ist.Mit Windows Vista wirds zumindest in der 64 Bit Welt etwas anders. Dort werden dann ja ausschließlich nur noch signierte Treiber zugelassen - zumindest in der Theorie .
Der Beitrag wurde von Andreas Haak bearbeitet: 17.10.2006, 19:36 -------------------- Regards,
Andreas Haak |
|
|
|
| Gast_Jens1962_* |
17.10.2006, 19:50
Beitrag
#3
|
|
Gäste |
ZITAT(Andreas Haak @ 17.10.2006, 20:31) [snapback]170896[/snapback] GMER bietet z.B. so eine Funktion...Aber auch das sollte man mit Vorsicht genießen. Danke, das Programm ist mir schon deutlich lieber. Besser eine (nicht völlig sichere) Angabe als überhaupt keine. ZITAT Daher ist die Wahrscheinlichkeit sehr hoch das es der Ewido Treiber ist. siehe auch Satz vorher.Gruß Jens |
|
|
|
Beiträge in diesem Thema
SAM Rootkit Hook Analyzer 17.10.2006, 11:40
bond7 Hast du Ewido Security Suite installiert ? 17.10.2006, 11:58 SAM ...nur die Ewido Micr.exe lass ich manchmal laufe... 17.10.2006, 12:11 bond7 Zumindestens gibt es diese Sys-Datei bei Ewido und... 17.10.2006, 12:27 SAM ...ja- soweit war ich auch.
Aber wer sagt mir nun... 17.10.2006, 12:50 Andreas Haak Die Datei gehört durchaus zu Ewido bzw. AVG Anti-S... 17.10.2006, 17:48
Jens1962 ZITAT(Andreas Haak @ 17.10.2006, 18:47) 1... 17.10.2006, 17:54 bond7 Lässt sich der (System)Treiber selbst Beenden bzw.... 17.10.2006, 17:54 bond7 ZITATMit Windows Vista wirds zumindest in der 64 B... 17.10.2006, 19:45 SAM Guard.sys u. guard.exe gehen eindeutig auf AVG-Ant... 18.10.2006, 17:13 |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 06.09.2025, 09:28 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment