Versteckte Registry Einträge'= Rootkit???
 

Erstmal Hallo an alle!!

Habe mir vor kurzen von Avira das Rootkit Tool "gezogen".Das Log sieht folgendermaßen aus:
Avira AntiRootkit Tool - Beta (1.0.1.16)

========================================================================================================
- Scan started Samstag, 5. Mai 2007 - 12:30:47
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [X] Fast scan
- Working disk total size : 14.65 GB
- Working disk free size : 6.66 GB (45 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\enum
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\parameters
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\security
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000 -> servicebinary
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000 -> group
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000 -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000 -> errorcontrol
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000 -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000 -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000 -> tag

--------------------------------------------------------------------------------------------------------
Files: 0/18140
Registry items: 10/7812
Processes: 0/38
Scan time: 00:00:24
--------------------------------------------------------------------------------------------------------
Active processes:
- ttrmwtwj.exe (PID 1268) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 760)
- csrss.exe (PID 872)
- winlogon.exe (PID 900)
- services.exe (PID 948)
- lsass.exe (PID 960)
- ati2evxx.exe (PID 1116)
- svchost.exe (PID 1148)
- svchost.exe (PID 1228)
- svchost.exe (PID 1336)
- svchost.exe (PID 1424)
- svchost.exe (PID 1512)
- vsmon.exe (PID 1556)
- ati2evxx.exe (PID 1740)
- explorer.exe (PID 1828)
- spoolsv.exe (PID 376)
- avguard.exe (PID 1180)
- cisvc.exe (PID 1328)
- oodag.exe (PID 1452)
- wdfmgr.exe (PID 1664)
- xcommsvr.exe (PID 1852)
- rundll32.exe (PID 2728)
- TODslMgr.exe (PID 2936)
- avgnt.exe (PID 2960)
- zlclient.exe (PID 3000)
- TODslSvc.exe (PID 3084)
- DesktopSearchService.exe (PID 3148)
- Ditto.exe (PID 3200)
- MemOptimizer.exe (PID 3216)
- cidaemon.exe (PID 3548)
- bdss.exe (PID 2612)
- vsserv.exe (PID 2272)
- bdmcon.exe (PID 3872)
- mmc.exe (PID 2168)
- regedit.exe (PID 2228)
- firefox.exe (PID 2244)
- avirarkd.exe (PID 1156)
========================================================================================================
- Scan finished Samstag, 5. Mai 2007 - 12:31:12:headbang:


Nun meine Fragen.Die "hidden Keys" sind von,soweit ich das sehen konnte, von Virtual CD. Ist das normal ? Und woran kann ich sehen ob es sich um ein schädliches Rootkit handelt?

Registrierungsschlüssel lassen sich ohne Rootkittreiber verstecken (Stichwort: embedded nulls).
Ein Rootkit sollte mindestens Dateien verstecken i.d.R. aber auch Prozesse. Scanne einfach nochmal mit Blacklight von F-Secure und/oder Gmer/Rootkitrevealer.

Gruß

Marc