| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit oder Fehler der Tools?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.06.2005, 13:34
| #1 |
| |  Rootkit oder Fehler der Tools? Momentan sind ja einige neue Tools rausgekommen, um Rootkits zu enttarnen und zu finden, zur Zeit habe ich mal einige davon ausprobiert, allerdings sehr viel ominöses entdeckt. Beispiel: Process Magic, er listet alle Prozesse soweit auf, aber es erscheint immer eine PID, die 10 stellig ist und folgendermaßen lautet: 2153061248 und dort wo der Prozessname erscheinen sollte ist alles schwarz!?! Alle anderen Prozesse sind normal, also mit 1-4 stelligen PIDs, weiß jemand Rat? Nun als nächstes habe ich modgreper getestet, es analysiert den Ring0 Kernel und soll angeblich Ungereimtheiten bemerken. Mal erscheint 2 Hidden Modules and 2 Suspected, dann wieder 0 Hidden and 2 Suspected, dann wieder 1 und 2 Suspected. (die 2 Suspected sind harmlos, es handelt sich lediglich, um den Zonealarm vsdatant.sys Treiber und noch ein Systreiber) Allerdings die Hidden Modules machen mir sorgen! Ob es wohl eine Unstimmigkeit des Programms ist. Jedenfalls zeigt es bei Hidden an: !8fff0000 - 8fff0003: (alles schwarz und leer) !8fff0000 - 90010001: WARNING: more then one _MODULE_ENTRY found! nachdem ich noch zweimal modgreper -h eingebe, erscheint beim zweiten mal kein Hidden, wirkt alles normal und dann erscheint wieder etwas !8fff0000 - 90000000: (schwarz und leer) 1 Hidden Module Wenn es sich um ein Rootkit handeln sollte, dann müßte es eins der speziellsten sein, die es überhaupt gibt, weil es sich nämlich mit nichts enttarnen läßt oder diese Programme arbeiten fehlerhaft, was vielleicht eher zutrifft. Vielleicht weiß jemand mehr oder zumindest, wie man diese Kerneladressen sichtbar bekommt, mit was für einem Programm? |
|
28.06.2005, 20:03
| #2 |
  | Rootkit oder Fehler der Tools? @AmdKernel
__________________laut programiererin: WARNING: This is experimental tool and there is completely no warranty for it. It can blue screen your machine without a single question. Use at your own risk! Especially please note that, as many other AI based tools, some false positives may be possible (though are rather unlikely). Use ?-v? switch to examine all suspected situations. ich würde es noch nicht wirklich vertrauen. chaosman
__________________ |
|
30.06.2005, 11:19
| #3 |
| | Rootkit oder Fehler der Tools? ja stimmt hast eigentlich recht..
__________________ |
|
| Themen zu Rootkit oder Fehler der Tools? |
| anderen, angeblich, arbeiten, entdeck, enttarnen, fehler, fehlerhaft, folge, found, handel, leer, liste, neue, nichts, process, programme, prozesse, rootkit, rootkits, schwarz, tan, tools, treiber, warning, zonealarm |
Linear-Darstellung
