RootkitRevealer 1.56 - Aufspüren von Root Kits

@voyager: Ähm... " das tool kommt zum richtigen zeitpunkt"? Einer der Entwickler dieses Programms war es, der das Sony-Teil beim testen eben dieses Programmes entdeckt hat, geben tut's das übrigens nicht erst seit jetzt. *g* Edit: Passender wäre vielleicht der Satz, dass die erstmalige Erwähnung in den News hier zum richtigen Zeitpunkt kommt.

@dmX`: Was issn das für ein Eintrag? Bei mir hat der was in der Registry gefunden. Müsste doch reichen den zu löschen? Korrektur: hunderte Sachen gefunden!!

RTFM.

@Rika: ja muss ich dann wohl. :( Zumindest scheinen die zig Einträge von den Kaspersky istreams zu sein. na toll

@Rika: wenn dich die unwissenden alle nur ankotzen, poste doch einfach nichts.

@voyager: So ein Unwissender wäre ich zum Beispiel. Habe gerade keinen Schimmer, was mit RTFM gemeint sein soll. Kriege auch so langsam das Gefühl, dass das auch besser so ist. Aber könnte mich bitte jemand aufklären, da ich das Thema nämlich sehr interessant finde, eben wegen dem Sony Root-Kit.

RTFM = Read The Fine Manual = Lies das schöne Handbuch. Mark Russinovich hat die Funktionsweise auf seiner Webseite ausführlich und klar verständlich erläutert. Aber zum Klicken bist du scheinbar zu faul...

@Dodger:

Es kommt von sysinternals.com, den besten Windowstool Hersteller der Welt. Fast bei jedem Admin gehören deren Tools zum Standardrepertoir was man so dabei haben muss.

@Rika: kann doch nicht jeder Englisch!

@Dodger: aber es steht jedem frei es zu lernen :-) Und wenn man (v.a.in Sachen IT) keine gravierenden Einschränkungen hinnehmen und sich eines Großteils der Information berauben möchte dann sollte man das auch tun.

@ netwolf: Weiß ich doch. Bricht sich aber sicher auch keiner einen Zacken aus der Krone wenn man das mal kurz erklärt. Hat Rika ja letztlich auch getan und dafür bin ich zumindest dankbar. Jeder der Kaspersky standardmäßig installiert (Empfohlene Einstellungen) hat die istream Geschichte eingeschaltet und wundert sich vielleicht beim Einsatz von RKR über die Einträge. Daher war meine Strategie durchaus erfolgreich. :-) Ich wünschte mehr News bei WF hätten solch informative Kommentare.

@smeagollum: Jo, ich habe sehr sehr viele Einträge. Diese stammen lt. Sysinternals Forum von Kaspersky AV und sind die Alternate Data Streams (istreams). Dumme Sache, wenn der Virenscanner Rootkit Technik verwendet. Markiert sind die aber mit KAVICHS. Entfernen der Streams geht nur bei Deinstallation von Kasper und dauert bestimmt Stunden. Argh, hätte ich das mal vorher gewusst. Kann nicht einer ein Auswertungsprogramm wie bei Hijackthis.de schreiben? :-)

Da zeigt sich mal wieder, daß auch du dir nicht die Mühe gemacht hast, es dir einfach mal anzuschauen. Die Beschreibung ist jedenfalls kurz, prägnant und klar verständlich. Außerdem kann man den Defekt in der CDROM-Treiber-Konfigurarion bei Sonys Rootkit trivial beheben, indem man das entsprechende Gerät löscht und neu erkennen lässt. @Dodger: RKRevealer bietet die Option, das Ergebnis als CSV-Tabelle zu exportieren. Außerdem kann man die Streams trivial entfernen, aber ganz bestimmt nicht durch die Deinstallation.

@Rika: Export habe ich schon gefunden. Aber wie entferne ich die Streams?

Ich weiß nicht... sollte ich dich nicht eigentlich schmoren lassen, bis du das Utility "streams" auf der gleichen Webseite gefunden hast? Mal ganz davon abgesehen, daß es bei bereits vorhandener Auflsitung ganz normal mit 'del Dateiname::Streamname' geht.

@Rika: Wie soll ich drauf kommen, dass ich dafür ein extra Tool brauche? Danke! :-) Tja nächstes Problem scheint mir aber zu sein, dass Kasper keine Einstellung zum Ausschalten der istreams bietet. Wird dann somit trotzdem eine Deinstallation fällig. :-(

Wieso extra Tool? 'streams' alleine macht doch genau das, was du willst - Streams auffinden und entfernen, natürlich mit Ausnahme der Metadata/EFS-Streams. RKRevealer deckt nur Dateien, Streams und Registry-Einträge auf, die das Windows-APi verbirgt.

@Stevie: So viel wie heute, schreibt Rika eher selten. Ich weis nie, wie ich über Rika denken soll. Ist er nun "der echte Freak" bzw. kennt sich aus? Oder zitiert er nur? Jedenfalls immer wieder spannend wenn Rika was schreibt (Lob!).

@ihr beiden: Ich glaub eher das Rika ein Mensch ist, der sich hinsetzt und Zeit opfert um seine Probleme zu lösen indem er sich hinsetzt und die Bedienungsanleitung liest (und wenn sie in englisch ist und er ein wort nicht kennt schlägt er im Wörterbuch nach, auch wenn es wieder NOCH mehr Zeit beansprucht). Und dann kommen irgendwelche Leute und sagen: "WAAAS?! ICH SOLL AUCH NOCH LESEN? DAZU BIN ICH ABER ZU FAUL. Los Rika, erzähl Du es uns, Du weist doch wie es geht weil Du Dich schon ne stunde schlau gemacht hast. Nun kannst Du auch noch zusätzlich ne halbe stunde opfern um es uns zu erklären..."
Ich kenn das und versteh Rika

@Kugelsicher: Ich kann dein Dilemma verstehen. So ganz Blick ich das auch noch nicht. Die istreams vom Kaspersky waren für mich eine Hürde :) und ich behaupte einfach mal, es geht den meisten hier so, dass die Interpretation der RKR Ausgaben nicht gerade leicht fällt. Erste Sache ist wohl, dass dein PC während des Scans keine anderen Aktionen durchführt. Am besten du scanst den PC direkt nach dem Booten mit den RKR-Standard-Einstellungen. Bestimmte Rootkits wie HackerDefender (und vermutlich auch die im News Text genannten AFX, Vanquish und wohl auch andere), fallen anhand des Namens auf (wie auf dem Screenshot zu sehen). Versteckte Einträge der Registry, Treiber, Dienste Einstellungen und zugeordneten Dateien werden durch den Raw Scan sichtbar gemacht. Alles andere muss untersucht werden (evtl. Rika, Google, Rootkit Seiten etc.) Alles weitere wird hoffentlich Rika, oder jemand der sich auskennt, erklären können. Sollte das schief laufen, bleibt aber auch immer noch Blacklight Rootkit Eliminator von F-Secure (Beta noch frei verfügbar) als meiner Meinung nach Anwenderfreundlicheres Programm. Ich weiß natürlich nicht, ob das genauso _gut_ ist wie RKR. Ich fordere von sämtlichen AV Herstellern (mindestens der kommerziellen) so fern möglich, Rootkit Scan Funktionen in ihre Produkte zu integrieren! Der Fall Sony hat hoffentlich genug Wirbel verursacht, so dass ein gewisser Druck erzeugt wird. :-)

@Kugelsicher: vorerst Manuell ^^ Speiche deine Ergebnisse als *.txt ab, öffne die *.txt. Danach einfach Start/Ausführen/cmd. Tippe schon einmal del ein. Den Pfad+dateiname kopieren und in der cmd einfügen. Das ganze schaut dann so aus del Pfad+dateiname. So kannst alle Pfade einfach einfügen ohne das du jeden Ordner einzeln durchklicken musst. Wenns andere möglichkeiten gibt bitte mal hier reinschreiben.

Blacklight macht das gleiche wie RKRevealer, nur schlechter. Außerdem ist es ein leichtes, ein Rootkit so zu gestaltet, daß es nach dieser Methode nicht mehr erkannt werden kann - dazu braucht es keine intimen Kenntnisse von Datenstrukturen, sondern nur einen Cache-Change-Writeback-Mechanismus ("oh, jemand versucht die Registry und das Dateisystem roh zu lesen? Dann lösche ich einfach meine Registry-Einträge und meine Dateien und halte mich im Speicher auf, lasse ihn lesen und schreibe mich dann wieder zurück").

@ Maetz3: lustiges draufloslöschen? Keine gute Idee. @Rika Danke :-)

Registry-Einträge á la DRMKAUD oder {EEC12DB6-...}? Oder die Streams an den *DRM.CAT-Dateien? Das ist einfach nur der Kernelmode-Treiber von MSDRM, was du mit jeden WinXP mitgeliefert bekommst und eigentlich als Rootkit zu bezeichnen ist. Daß jedoch der komplette SYSTEM- und SOFTWARE-Hive sowie das komplette SYSTEM32-Verzeichnis nicht sichtbar sein sollten, bezweifle ich jedoch stark.

@Rika: vielen Dank für die Antwort, eigentlich klar das es XP-Internals sind, bin gerne sicher. Damit wir aber nicht meterweise aneinander vorbeireden kannst ja mal einen Blick drauf werfen, wenn Du Lust hast: http://www.aliceundich.de.ms/bilder/rootkitscan.jpg
Über einen klärenden Kommentar wäre ich auch nicht sauer :-)

ATOMMEGAROFL, DU HAST DIR DAS SONY-ROOTKIT EINGEFANGEN!

@Sir Alec: welch ein zufall, das sony rootkit. als ob das bild von dir ist............... guter joke

@Rika: falls Du mich jetzt nicht verarschen willst, bin ich aber mehr als erstaunt oder ich habe noch eine Bildungslücke bei den Firmenzugehörigkeiten. Die definitiv einzige Musikcd, die ich nach der letzten Installation in meinen Rechner geschoben habe war ein aus Kanada mitgebrachte CD von Columbia undzwar von Van Zant - Get Right With The Man, und auch nur um mir eine StandardCD draus zu machen, denn ich wollte die auch inner Anlage hören.
Kannst mit vielleicht noch einen Tip geben, wie ich den scheiss wieder runter bekomme ?

@Rika: Hat sich alles erledigt, vielen Dank, das System ist nun sauber. Habe das Sony remove Tool benutzt und das hat sogar funktioniert, jetzt habe ich nur den Eintrag von der MS Updateprüfung von heute gefunden, aber das ist auch schon eliminiert. Denke mal wenn das Scanfenster leer bleibt dann hab ich's.......
Habs auch nochmal kontrolliert, der Eintrag war genau von dem Tag und der Uhrzeit, wo ich die CD von Columbia eingelegt hatte, da ist ein Flashplayer drauf der die Songs abspielt und Texte darstellt etc. Auf der CD ist keine Eula, kein Hinweis darauf, das Software installiert wird und nur der Flashplayer wollte ins internet, was ihm aber meine Firewall untersagt hat. Das rootkit selbst hat nicht namentlich ins internet gewollt.

@Sir Alec: was für ein Zufall, diese besagte CD von Van Zant wurde sowohl von F-Secure als auch von Mark Russinovich (SysInternals) erwähnt...
http://tinyurl.com/8jqlv

@TheRock: Ich habe die CD erst für so eine Multimedia Promo Schnullicd gehalten, weil die vom Inhalt eher aussieht wie ne Programmcd als wie eine Musikcd, läuft auch nur in wenigen CDplayern. Die Dateien wie Readme haben zwar anscheinend eine Physikalische Größe, sind aber beim öffnen ohne Inhalt. Als ob ich geahnt habe, das die Scheibe nicht astrein ist. Die Mucke is aber gabz geil, hab mir zum Glück schon ne Audiocd daraus gebrannt und das Original mit nem Warnhinweis versehen und Musikcds kommen nur noch in den Rechner ohne Internet.