RootkitRevealer 1.56 - Aufspüren von Root Kits

Software RootkitRevealer ist ein kostenloses Programm, mit Hilfe dessen man Root Kits aufspüren kann. Dieses kann unter Windows NT 4 oder höheren Betriebssystemen eingesetzt werden und ist imstande, alle auf der Projekt-Homepage veröffentlichten Root Kits, ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
das tool kommt zum richtigen zeitpunkt , nicht nur wegen der Sony CD sondern auch weil die virenbastler jetzt kostengünstig an eine malware-hidingtechnik rankommen und wir demnächst verstärkt mit versteckter malware rechnen dürfen.
 
@voyager: Ähm... " das tool kommt zum richtigen zeitpunkt"? Einer der Entwickler dieses Programms war es, der das Sony-Teil beim testen eben dieses Programmes entdeckt hat, geben tut's das übrigens nicht erst seit jetzt. *g* Edit: Passender wäre vielleicht der Satz, dass die erstmalige Erwähnung in den News hier zum richtigen Zeitpunkt kommt.
 
danke fuer die news.
hat bei mir auf einem fast frisch installierten und auch sicheren system einen registryeintrag gefunden.. naja sollte nix schlimmes sein :)..
thx..
mfg
dmX`
achso.. wie entferne ich den?__ geht das nur per hand oder auch im tool selber?
 
@dmX`: Was issn das für ein Eintrag? Bei mir hat der was in der Registry gefunden. Müsste doch reichen den zu löschen? Korrektur: hunderte Sachen gefunden!!
 
stellt sich nur die Frage, ob damit normale User was anfangen können und ob so was überhaupt zuverlässig sein kann. Kennt sich damit einer aus? Ist doch sowas wie F-Secure Blacklight? Müsste man nicht eigentlich 2 Scans machen, also einer in Windows und einer außerhalb und dann vergleichen. Oder wie geht so was richtig?
 
@Rika: ja muss ich dann wohl. :( Zumindest scheinen die zig Einträge von den Kaspersky istreams zu sein. na toll
 
@Rika: wenn dich die unwissenden alle nur ankotzen, poste doch einfach nichts.
 
@voyager: So ein Unwissender wäre ich zum Beispiel. Habe gerade keinen Schimmer, was mit RTFM gemeint sein soll. Kriege auch so langsam das Gefühl, dass das auch besser so ist. Aber könnte mich bitte jemand aufklären, da ich das Thema nämlich sehr interessant finde, eben wegen dem Sony Root-Kit.
 
RTFM = Read The Fine Manual = Lies das schöne Handbuch. Mark Russinovich hat die Funktionsweise auf seiner Webseite ausführlich und klar verständlich erläutert. Aber zum Klicken bist du scheinbar zu faul...
 
@Dodger:

Es kommt von sysinternals.com, den besten Windowstool Hersteller der Welt. Fast bei jedem Admin gehören deren Tools zum Standardrepertoir was man so dabei haben muss.
 
@Rika: kann doch nicht jeder Englisch!
 
@Dodger: aber es steht jedem frei es zu lernen :-) Und wenn man (v.a.in Sachen IT) keine gravierenden Einschränkungen hinnehmen und sich eines Großteils der Information berauben möchte dann sollte man das auch tun.
 
@ netwolf: Weiß ich doch. Bricht sich aber sicher auch keiner einen Zacken aus der Krone wenn man das mal kurz erklärt. Hat Rika ja letztlich auch getan und dafür bin ich zumindest dankbar. Jeder der Kaspersky standardmäßig installiert (Empfohlene Einstellungen) hat die istream Geschichte eingeschaltet und wundert sich vielleicht beim Einsatz von RKR über die Einträge. Daher war meine Strategie durchaus erfolgreich. :-) Ich wünschte mehr News bei WF hätten solch informative Kommentare.
 
@Rika: was sind denn das für Antworten, ich find solchen müll wie RTFM brauch man nicht zu posten, schließlich muss man sich schon oft genug durch ellenlange Handbücher kämpfen, da isses wohl nicht verkehrt, wenn einer mal hier ein bisschen nachfragt um VIELLEICHT ne kurze antwort zu finden, aber dein Scheiß hilft ihm dabei sicher kaum...

@Dodger: ich hab mit solchen Tools selber noch keine Erfahrung aber ich habe gelesen dass, beim löschen von z.b. Sonys Rootkit, es passieren kann dass das CD-Laufwerk nicht mehr reagieren kann oder gar eine Neuaufsetzung des Systems notwendig werden kann... kA obs stimmt aber bei mir werden nur 4 Einträge gefunden und bei einem steht als Datum 01.01.1601, von daher werd ich erstmal die Finger von diesen Tools lassen
 
@smeagollum: Jo, ich habe sehr sehr viele Einträge. Diese stammen lt. Sysinternals Forum von Kaspersky AV und sind die Alternate Data Streams (istreams). Dumme Sache, wenn der Virenscanner Rootkit Technik verwendet. Markiert sind die aber mit KAVICHS. Entfernen der Streams geht nur bei Deinstallation von Kasper und dauert bestimmt Stunden. Argh, hätte ich das mal vorher gewusst. Kann nicht einer ein Auswertungsprogramm wie bei Hijackthis.de schreiben? :-)
 
Da zeigt sich mal wieder, daß auch du dir nicht die Mühe gemacht hast, es dir einfach mal anzuschauen. Die Beschreibung ist jedenfalls kurz, prägnant und klar verständlich. Außerdem kann man den Defekt in der CDROM-Treiber-Konfigurarion bei Sonys Rootkit trivial beheben, indem man das entsprechende Gerät löscht und neu erkennen lässt. @Dodger: RKRevealer bietet die Option, das Ergebnis als CSV-Tabelle zu exportieren. Außerdem kann man die Streams trivial entfernen, aber ganz bestimmt nicht durch die Deinstallation.
 
@Rika: Export habe ich schon gefunden. Aber wie entferne ich die Streams?
 
Ich weiß nicht... sollte ich dich nicht eigentlich schmoren lassen, bis du das Utility "streams" auf der gleichen Webseite gefunden hast? Mal ganz davon abgesehen, daß es bei bereits vorhandener Auflsitung ganz normal mit 'del Dateiname::Streamname' geht.
 
@Rika: Wie soll ich drauf kommen, dass ich dafür ein extra Tool brauche? Danke! :-) Tja nächstes Problem scheint mir aber zu sein, dass Kasper keine Einstellung zum Ausschalten der istreams bietet. Wird dann somit trotzdem eine Deinstallation fällig. :-(
 
Wieso extra Tool? 'streams' alleine macht doch genau das, was du willst - Streams auffinden und entfernen, natürlich mit Ausnahme der Metadata/EFS-Streams. RKRevealer deckt nur Dateien, Streams und Registry-Einträge auf, die das Windows-APi verbirgt.
 
ach rika du bist einfach zu gut für uns.
eigentlich bist du für winfuture viel zu schade.
 
@Stevie: So viel wie heute, schreibt Rika eher selten. Ich weis nie, wie ich über Rika denken soll. Ist er nun "der echte Freak" bzw. kennt sich aus? Oder zitiert er nur? Jedenfalls immer wieder spannend wenn Rika was schreibt (Lob!).
 
@ihr beiden: Ich glaub eher das Rika ein Mensch ist, der sich hinsetzt und Zeit opfert um seine Probleme zu lösen indem er sich hinsetzt und die Bedienungsanleitung liest (und wenn sie in englisch ist und er ein wort nicht kennt schlägt er im Wörterbuch nach, auch wenn es wieder NOCH mehr Zeit beansprucht). Und dann kommen irgendwelche Leute und sagen: "WAAAS?! ICH SOLL AUCH NOCH LESEN? DAZU BIN ICH ABER ZU FAUL. Los Rika, erzähl Du es uns, Du weist doch wie es geht weil Du Dich schon ne stunde schlau gemacht hast. Nun kannst Du auch noch zusätzlich ne halbe stunde opfern um es uns zu erklären..."
Ich kenn das und versteh Rika
 
Ganz einfache Frage! Muss ich die gefundenen Sachen von Hand löschen oder gibt es da etwas?
Vieleicht bekomme ich ja auch eine ganz normale Antwort?! Alles hier gelesen aber nicht schlauer geworden. Es soll auch noch Amateure und Leute geben, die diese englische Beschreibung nicht ganz verstehen. Danke.
 
@Kugelsicher: Ich kann dein Dilemma verstehen. So ganz Blick ich das auch noch nicht. Die istreams vom Kaspersky waren für mich eine Hürde :) und ich behaupte einfach mal, es geht den meisten hier so, dass die Interpretation der RKR Ausgaben nicht gerade leicht fällt. Erste Sache ist wohl, dass dein PC während des Scans keine anderen Aktionen durchführt. Am besten du scanst den PC direkt nach dem Booten mit den RKR-Standard-Einstellungen. Bestimmte Rootkits wie HackerDefender (und vermutlich auch die im News Text genannten AFX, Vanquish und wohl auch andere), fallen anhand des Namens auf (wie auf dem Screenshot zu sehen). Versteckte Einträge der Registry, Treiber, Dienste Einstellungen und zugeordneten Dateien werden durch den Raw Scan sichtbar gemacht. Alles andere muss untersucht werden (evtl. Rika, Google, Rootkit Seiten etc.) Alles weitere wird hoffentlich Rika, oder jemand der sich auskennt, erklären können. Sollte das schief laufen, bleibt aber auch immer noch Blacklight Rootkit Eliminator von F-Secure (Beta noch frei verfügbar) als meiner Meinung nach Anwenderfreundlicheres Programm. Ich weiß natürlich nicht, ob das genauso _gut_ ist wie RKR. Ich fordere von sämtlichen AV Herstellern (mindestens der kommerziellen) so fern möglich, Rootkit Scan Funktionen in ihre Produkte zu integrieren! Der Fall Sony hat hoffentlich genug Wirbel verursacht, so dass ein gewisser Druck erzeugt wird. :-)
 
@Kugelsicher: vorerst Manuell ^^ Speiche deine Ergebnisse als *.txt ab, öffne die *.txt. Danach einfach Start/Ausführen/cmd. Tippe schon einmal del ein. Den Pfad+dateiname kopieren und in der cmd einfügen. Das ganze schaut dann so aus del Pfad+dateiname. So kannst alle Pfade einfach einfügen ohne das du jeden Ordner einzeln durchklicken musst. Wenns andere möglichkeiten gibt bitte mal hier reinschreiben.
 
Blacklight macht das gleiche wie RKRevealer, nur schlechter. Außerdem ist es ein leichtes, ein Rootkit so zu gestaltet, daß es nach dieser Methode nicht mehr erkannt werden kann - dazu braucht es keine intimen Kenntnisse von Datenstrukturen, sondern nur einen Cache-Change-Writeback-Mechanismus ("oh, jemand versucht die Registry und das Dateisystem roh zu lesen? Dann lösche ich einfach meine Registry-Einträge und meine Dateien und halte mich im Speicher auf, lasse ihn lesen und schreibe mich dann wieder zurück").
 
@ Maetz3: lustiges draufloslöschen? Keine gute Idee. @Rika Danke :-)
 
Nettes Toll, hat bei mir auch nichts gefunden wo nicht Windows drannsteht, allerdings stören mich da doch einige Einträge, die die Buchstaben "DRM" enthalten. Leider werde ich aus der Anleitung nicht wirklich schlau, weil ich mich damit einfach noch nicht genug beschäfftigt habe. Aber vielleicht lässt sich Rika ja herab und gibt doch ein wenig Hilfestellung.
@ Rika: ich kenne Dein "Problem" auch, habe damit aber keine Schwierigkeiten mein mühsam erworbenes Wissen weiterzugeben. Bin auch froh, wenn ich nicht wieder Stundenlang recherchieren muss, sondern kurz Fragen kann. Und es passt auch nicht zusammen über DAUs zu Meckern, ihnen aber vorhandenes Wissen vorzuenthalten.
Vielleicht bist Du ja so freundlich und beantwortest mir meine Frage, denn ich habe echt nicht die Zeit mich da reinzufressen würde aber trotzdem gerne wissen ob ich das gefundene ignorieren sollte oder ob ich das gefahrlos rausschmeissen kann.
Alle Registryeinträge HKLM\SYSTEM.......... 1x HKLM\SOFTWARE......
und alle Files in C:\Windows\System32 und alle Ausgaben mit der Beschreibung "Hidden from Windows API", vom Gefühl her würde ich da eher die Finger davon lassen, würde Dich aber um nen Tip bitten, da ich mir n Haufen Zeit sparen kann, die ich im Moment gerade nicht habe.
 
Registry-Einträge á la DRMKAUD oder {EEC12DB6-...}? Oder die Streams an den *DRM.CAT-Dateien? Das ist einfach nur der Kernelmode-Treiber von MSDRM, was du mit jeden WinXP mitgeliefert bekommst und eigentlich als Rootkit zu bezeichnen ist. Daß jedoch der komplette SYSTEM- und SOFTWARE-Hive sowie das komplette SYSTEM32-Verzeichnis nicht sichtbar sein sollten, bezweifle ich jedoch stark.
 
@Rika: vielen Dank für die Antwort, eigentlich klar das es XP-Internals sind, bin gerne sicher. Damit wir aber nicht meterweise aneinander vorbeireden kannst ja mal einen Blick drauf werfen, wenn Du Lust hast: http://www.aliceundich.de.ms/bilder/rootkitscan.jpg
Über einen klärenden Kommentar wäre ich auch nicht sauer :-)
 
ATOMMEGAROFL, DU HAST DIR DAS SONY-ROOTKIT EINGEFANGEN!
 
@Sir Alec: welch ein zufall, das sony rootkit. als ob das bild von dir ist............... guter joke
 
@Rika: falls Du mich jetzt nicht verarschen willst, bin ich aber mehr als erstaunt oder ich habe noch eine Bildungslücke bei den Firmenzugehörigkeiten. Die definitiv einzige Musikcd, die ich nach der letzten Installation in meinen Rechner geschoben habe war ein aus Kanada mitgebrachte CD von Columbia undzwar von Van Zant - Get Right With The Man, und auch nur um mir eine StandardCD draus zu machen, denn ich wollte die auch inner Anlage hören.
Kannst mit vielleicht noch einen Tip geben, wie ich den scheiss wieder runter bekomme ?
 
@Rika: Hat sich alles erledigt, vielen Dank, das System ist nun sauber. Habe das Sony remove Tool benutzt und das hat sogar funktioniert, jetzt habe ich nur den Eintrag von der MS Updateprüfung von heute gefunden, aber das ist auch schon eliminiert. Denke mal wenn das Scanfenster leer bleibt dann hab ich's.......
Habs auch nochmal kontrolliert, der Eintrag war genau von dem Tag und der Uhrzeit, wo ich die CD von Columbia eingelegt hatte, da ist ein Flashplayer drauf der die Songs abspielt und Texte darstellt etc. Auf der CD ist keine Eula, kein Hinweis darauf, das Software installiert wird und nur der Flashplayer wollte ins internet, was ihm aber meine Firewall untersagt hat. Das rootkit selbst hat nicht namentlich ins internet gewollt.
 
@Sir Alec: was für ein Zufall, diese besagte CD von Van Zant wurde sowohl von F-Secure als auch von Mark Russinovich (SysInternals) erwähnt...
http://tinyurl.com/8jqlv
 
@TheRock: Ich habe die CD erst für so eine Multimedia Promo Schnullicd gehalten, weil die vom Inhalt eher aussieht wie ne Programmcd als wie eine Musikcd, läuft auch nur in wenigen CDplayern. Die Dateien wie Readme haben zwar anscheinend eine Physikalische Größe, sind aber beim öffnen ohne Inhalt. Als ob ich geahnt habe, das die Scheibe nicht astrein ist. Die Mucke is aber gabz geil, hab mir zum Glück schon ne Audiocd daraus gebrannt und das Original mit nem Warnhinweis versehen und Musikcds kommen nur noch in den Rechner ohne Internet.
 
WTF means "Hide from Windows API?" O.o konnte das in der FM nicht finden...

EDIT: MÖP wer lesen kann ist klar im vorteil ^^ Hatte vorher darübergescrollt ^^
 
nun hab ich einträge gefunden, und nun?
 
ufff... nen kumpel hat knapp 240 Einträge 0_o. da hilft doch eigentlich nur ne formatierung oder ? ganz normal kann das ja nich sein..
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles