Rootkit Hook Analyzer, Bitte um Hilfe Einstellungen

[SAM]

Hi,
ich komme bei der Board-/Googlesuche nicht so richtig weiter um beurteilen zu können , ob da nun ein Rootkit schädlich am laufen ist .
Wenn ja - was zu tun ist.
Könnt Ihr mir dazu was sagen bzw. helfen ?

[Voyager]

Hast du Ewido Security Suite installiert ?

[SAM]

...nur die Ewido Micr.exe lass ich manchmal laufen. Aber die AVG Anti-Spyware probier ich grad aus.
Du meinst , guard.sys stammt von daher und es hat alles seine ordnung ?

[Voyager]

Zumindestens gibt es diese Sys-Datei bei Ewido und das entstammt einer einfachen Google-Suche.
http://www.file.net/process/guard.sys.html
It is part of Ewido Security Suite. I believe it helps catch trojans as they attempt to install on your computer.

Der Beitrag wurde von bond7 bearbeitet: 17.10.2006, 12:28

[SAM]

...ja- soweit war ich auch.

Aber wer sagt mir nun, warum der RootKit Hook Analyzer diese 2 Einträge als gehooked anzeigt undwas das bedeutet ???

[Andreas Haak]

Die Datei gehört durchaus zu Ewido bzw. AVG Anti-Spyware. Der Treiber guard.sys implementiert den "Killschutz".

Gehooked bedeutet in dem Fall einfach, daß sich eine Komponente vor die Originalfunktion geschaltet hat. In Deinem Falle vor den 2 APIs die benötigt werden um einen Prozess abzuschießen. Der Treiber überprüft ob der Prozess, der dort abgeschossen werden soll ein Ewido/AVG AS Prozess ist. Wenn nicht, wird einfach die Originalroutine aufgerufen und wenn doch wird ein Fehler zurück gegeben.

[Voyager]

Lässt sich der (System)Treiber selbst Beenden bzw. Stoppen ?

[Gast_Jens1962_*]

Die Datei gehört durchaus zu Ewido bzw. AVG Anti-Spyware.

Erstmal Danke für die Info über die Arbeitsweise.
Läßt sich eigentlich ausschließen, daß es sich nicht um eine andere guard.sys handelt? Es gibt leider absolut keine nachvollziehbaren Angaben, welcher Prozeß da läuft. Es gibt auch noch ein paar andere guards (Steganos, z.B. ?)

Jens

[Andreas Haak]

Lässt sich der (System)Treiber selbst Beenden bzw. Stoppen ?

In dem Fall wäre das nicht ratsam. Technisch aber durchaus machbar. Es gibt immer ein Problem wenn mehr als ein Treiber eine bestimmte Funktion hookt und einer der Treiber sich entschließt sich zu entladen. Im günstigsten Falle führt es dazu, daß die Hooks der anderen Treiber unwirksam werden. Im schlimsten Falle führt es zu ungültigen Funktionszeigern und zu nem Bluescreen. Ich würd davon also eher die Finger lassen .

Läßt sich eigentlich ausschließen, daß es sich nicht um eine andere guard.sys handelt? Es gibt leider absolut keine nachvollziehbaren Angaben, welcher Prozeß da läuft. Es gibt auch noch ein paar andere guards (Steganos, z.B. ?)

Fälschen lässt es sich immer. Aber man kann z.B. mit diversen Tools den genauen Pfad des Treibers ausmachen. GMER bietet z.B. so eine Funktion:




Aber auch das sollte man mit Vorsicht genießen. Fakt ist aber, daß Ewidos guard.sys die beiden genannten Funktionen hookt und das er Ewido bzw. AVG AS installiert hat . Daher ist die Wahrscheinlichkeit sehr hoch das es der Ewido Treiber ist.

Mit Windows Vista wirds zumindest in der 64 Bit Welt etwas anders. Dort werden dann ja ausschließlich nur noch signierte Treiber zugelassen - zumindest in der Theorie .

Der Beitrag wurde von Andreas Haak bearbeitet: 17.10.2006, 19:36

[Voyager]

Mit Windows Vista wirds zumindest in der 64 Bit Welt etwas anders. Dort werden dann ja ausschließlich nur noch signierte Treiber zugelassen - zumindest in der Theorie

So isses , hast du auch schon einen Antrag nach Redmond gestellt nachdem die Securityfirmen jetzt signierte APIs zugewiesen bekommen sollen mit denen sie ihre Selbstschutzfunktionen unter x64 reinbasteln können...
Zumindestens wars so ähnlich.

edit: habs gefunden

Nun hat Microsoft sich offenbar entschieden, vom bisherigen Standpunkt abrücken zu wollen. Man entwickelt nach eigenen Angaben eine Reihe neuer APIs, die Anbietern von Sicherheitslösungen einen sicheren Zugriff auf den Kernel von Windows Vista ermöglichen sollen. Auch neue Schnittstellen für das Windows Security Center sind bereits in Arbeit, hieß es. Dadurch sollen doppelte Sicherheitswarnungen durch das Sicherheits-Center und die Produkte von Drittfirmen unterbunden werden können.

Der Beitrag wurde von bond7 bearbeitet: 17.10.2006, 19:52

[Gast_Jens1962_*]

GMER bietet z.B. so eine Funktion...Aber auch das sollte man mit Vorsicht genießen.

Danke, das Programm ist mir schon deutlich lieber. Besser eine (nicht völlig sichere) Angabe als überhaupt keine.

Daher ist die Wahrscheinlichkeit sehr hoch das es der Ewido Treiber ist.

siehe auch Satz vorher.

Gruß Jens

[SAM]

Guard.sys u. guard.exe gehen eindeutig auf AVG-Anti Spyware zurück.
Also hat wohl alles seine Richtigkeit.
Danke für Eure Antworten.