hallo
wie entfernt man anschließend diese rot markierten
einträge.und wie sieht es mit einem backup aus.wer kann mir helfen
helifax
Seite 1 von 1
Rootkit Hook Analyzer 2.0
Anzeige
#2
geschrieben 27. Oktober 2006 - 11:32
Rot markierte Einträge deuten wohl auf eine Kompromittierung hin, daher solltest du dein System neu aufsetzen oder hast du ein Backup wie in deinem Post ersichtlich? dann spiele das auf
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
(Marco Gercke)
#3
geschrieben 27. Oktober 2006 - 12:24
Zitat (Helifax: 27.10.2006, 11:34)
hallo
wie entfernt man anschließend diese rot markierten
einträge.und wie sieht es mit einem backup aus.wer kann mir helfen
helifax
wie entfernt man anschließend diese rot markierten
einträge.und wie sieht es mit einem backup aus.wer kann mir helfen
helifax
Die Rot makierten Einträge loswerden naja die Sinnvollste Möglichkeit währe das Formatieren des System Datenträgers.
Wenn dein Backup zb. mit True Image ist, kannst du das beruhigt zurückspielen, Du musst true Immage aber mit auf den Weg geben, dass ALLE dateien ersetzt werden sollen. Ein Backup, dass du mit dem Programm von Windows erstellt hast, wird nicht unbedingt nützlich sein.
#5
geschrieben 28. Oktober 2006 - 07:16
Hallo ich hätte da auch mal eine Frage. Ich kenne mich zwar nicht aus in sachen RootKit aber ich habe schon des öffteren lesen können das es sehr oft zu Fehlanzeigen kommt. Ist es überhaupt sinnvoll so einen Scan zu machen wenn ich mir dann vielleicht nicht mal sicher bin ob ich nicht etwas lösche was vielleicht ganz normal ist? Könnt ihr mich da vielleicht etwas aufklären und welches Programm ist da erste Wahl?
mfG Andreas
Go through life with honesty
Go through life with honesty
#6
geschrieben 28. Oktober 2006 - 08:05
Hmm,
ich habe den RootKit Hook Analyzer mal eben analysieren lassen, bei mir werden 11 Einträge rot angezeigt, es handelt sich jedesmal um dasselbe Modul, nämlich sp_rsdrv2_sys
Weiss jemand, was das für ein Modul sein könnte?
MfG
joe-cool
ich habe den RootKit Hook Analyzer mal eben analysieren lassen, bei mir werden 11 Einträge rot angezeigt, es handelt sich jedesmal um dasselbe Modul, nämlich sp_rsdrv2_sys
Weiss jemand, was das für ein Modul sein könnte?
MfG
joe-cool
#7
geschrieben 28. Oktober 2006 - 08:09
Die Einträge zeigen, welche Funktionen von welchen Programmmodulen gehookt werden. Es obliegt dir zu prüfen, ob sie dir bekannt vorkommen - so etwas würde ich daher nicht als Fehlalarm bezeichnen.
Für konkrete Angaben solltest du die Ausgabe mal posten.
Besseres Program... schau dir mal "System Virginity Verifier" an, das produziert sehr detailierte Meldungen.
Für konkrete Angaben solltest du die Ausgabe mal posten.
Besseres Program... schau dir mal "System Virginity Verifier" an, das produziert sehr detailierte Meldungen.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#8
geschrieben 28. Oktober 2006 - 08:17
Zitat (Rika: 28.10.2006, 09:09)
Die Einträge zeigen, welche Funktionen von welchen Programmmodulen gehookt werden. Es obliegt dir zu prüfen, ob sie dir bekannt vorkommen - so etwas würde ich daher nicht als Fehlalarm bezeichnen.
Für konkrete Angaben solltest du die Ausgabe mal posten.
Besseres Program... schau dir mal "System Virginity Verifier" an, das produziert sehr detailierte Meldungen.
Für konkrete Angaben solltest du die Ausgabe mal posten.
Besseres Program... schau dir mal "System Virginity Verifier" an, das produziert sehr detailierte Meldungen.
Guten Morgen Rika,
ich habe hier mal die Analyse als Text exportiert, hier das Ergebnis:
Service name Syscall Address Hooked Module Product Company Description
------------------------------------------------------------------------------------------------------------------------------------
NtClose, ZwClose 25 0xF645DD56 YES sp_rsdrv2.sys
NtCreateFile, ZwCreateFile 37 0xF645D772 YES sp_rsdrv2.sys
NtCreateKey, ZwCreateKey 41 0xF645D0AE YES sp_rsdrv2.sys
NtCreateSection, ZwCreateSection 50 0xF645EA9C YES sp_rsdrv2.sys
NtDeleteKey, ZwDeleteKey 63 0xF645D1C4 YES sp_rsdrv2.sys
NtDeleteValueKey, ZwDeleteValueKey 65 0xF645D2A6 YES sp_rsdrv2.sys
NtLoadDriver, ZwLoadDriver 97 0xF645DE6C YES sp_rsdrv2.sys
NtOpenFile, ZwOpenFile 116 0xF645DAB2 YES sp_rsdrv2.sys
NtSetValueKey, ZwSetValueKey 247 0xF645CF2C YES sp_rsdrv2.sys
NtTerminateProcess, ZwTerminateProcess 257 0xF645DE66 YES sp_rsdrv2.sys
NtWriteFile, ZwWriteFile 274 0xF645DBD8 YES sp_rsdrv2.sys
Ich hoffe, du kannst etwas dazu sagen...
Ich habe nun mal den System Virginity Verifier runtergeladen, wenn ich auf die svv.exe klicke, blitzt nur ganz kurz ein schwarzes Fenster auf? Was mache ich falsch?
MfG
joe-cool
Angehängte Datei(en)
-
export.txt (1,7K)
Anzahl der Downloads: 158
Dieser Beitrag wurde von joe-cool bearbeitet: 28. Oktober 2006 - 08:24
#9
geschrieben 28. Oktober 2006 - 17:54
Zitat
sp_rsdrv2.sys
Laut Google gehört das Ding zu "Spyware Terminator". Autsch, die hookt echt benannte Kernelfunktionen? Das Ding ist ja wirklich gemeingefährlich kaputt.
Zitat
Ich habe nun mal den System Virginity Verifier runtergeladen, wenn ich auf die svv.exe klicke, blitzt nur ganz kurz ein schwarzes Fenster auf? Was mache ich falsch?
Windows-User werden also wirklich immer unfähiger... ein Konsolenprogramm startet man mit der Konsole (in Windows: "Eingabeaufforderungen"), d.h. durch vorheriges Starten selbiger.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Thema verteilen:
Seite 1 von 1