Rootkit

[Bigi]

Hallo,
gestern habe ich auf Sat1 Planetopia Online angeschaut. Dort wurde das Thema Rootkit behandelt. Das sind Dateien die sich unbemerkt auf dem PC installieren. Genannt wurde die Datei HADL.DLL (soll Laufwerke deinstallieren usw.) Nun habe ich einfach mal nach dieser Datei gesucht und was soll ich sagen, ich wurde fündig. Ich wollte sie löschen aber wie kann es auch anders sein, es ging nicht. Wer kann mir nun helfen und mir erklären, wie man sollche Dateien löscht?
Vielen Dank im Vorraus
Bigi

[tony_lee]

Bigi,

tja, ich hab die Sendung auch gesehn. Vielleicht hast Du aber auch den Bericht dazu gelesen.

"Was aber tun, wenn keine Deinstallations-Software zur Verfügung steht, der Rechner also bis in die Wurzel hinein verwundbar bleibt? Selbst wer die versteckten Dateien entdeckt, kann sie danach nicht einfach löschen.

Rüdiger Pein: „Wenn ich ein Rootkit im System habe, habe ich meist ein größeres Problem. Das heißt, ich weiß gar nicht, ist da eventuell noch ein Trojaner, eine Spyware sonst noch auf mein System gekommen. Und es empfiehlt sich dann in der Regel, das System neu zu installieren – das heißt, den Rechner neu mit Windows zu installieren.“

Das sagt der Viren-Experte, vielleicht hat ja jemand anders noch einen Rat.

Eine Exe-Datei kann man umbenennen, dann ist sie wenigstens unschädlich, bei einer "dll-Endung" bin ich mir nicht sicher. Aber dann wie oben beschrieben, weißt Du immer noch nicht, ob da noch was anderes ist.

Nachtrag: Hab da glaub was gefunden. Schau mal Hier

Auf Dieser Seite ganz unten.

tony_lee

[sandra]

Hallo,
gestern habe ich auf Sat1 Planetopia Online angeschaut. Dort wurde das Thema Rootkit behandelt. Das sind Dateien die sich unbemerkt auf dem PC installieren. Genannt wurde die Datei HADL.DLL (soll Laufwerke deinstallieren usw.) Nun habe ich einfach mal nach dieser Datei gesucht und was soll ich sagen, ich wurde fündig. Ich wollte sie löschen aber wie kann es auch anders sein, es ging nicht. Wer kann mir nun helfen und mir erklären, wie man sollche Dateien löscht?
Vielen Dank im Vorraus
Bigi

Probiers im abgesicherten Modus;
Nach Start F8 drücken, als Administrator anmelden und dann löschen
Hierzu sollte als erstes die Systemwiederherstellung deaktiviert werden, da sonst die Gefahr besteht, dass der Virus nach einem Neustart des Computers wieder auftaucht.
Mit der rechten Maustaste auf den Autostart klicken und unter Systemwiederherstellung ein Häkchen bei Systemwiederherstellung auf allen Laufwerken deaktivieren setzen. (wichtig nach Behebung des Virenproblems bitte wieder aktivieren, d.h. Häkchen entfernen)

[Review]

Löschen von hartnäckigen Dateien ist auch in der Shell möglich.
Start->Ausführen->cmd->OK
an der Eingabeaufforderung:
del Laufwerk:\Pfad_zur_Datei\Date_Name
eintippen und [Return-Taste]

[sandra]

Löschen von hartnäckigen Dateien ist auch in der Shell möglich.
Start->Ausführen->cmd->OK
an der Eingabeaufforderung:
del Laufwerk:\Pfad_zur_Datei\Date_Name
eintippen und [Return-Taste]

Angeblich funktioniert dies auch mit folgendem Tool:
Der finnische Hersteller von Sicherheitslösungen F-Secure hat eine neue, bis zum 06.01.2006 voll funktionsfähige, Beta Version des Produktes "BlackLight Rootkit Eliminator" zum Download freigegeben. Das Programm ermöglicht auch „Anfängern“ die Erkennung und Beseitigung von Rootkits.
http://www.win-news.de/news,3540.html
und nennt sich "Blacklight" F-Secure bibeta.exe (derzeit noch kostenlos)

Ferner ausprobieren:
Microsoft Windows-Tool zum Entfernen bösartiger Software http://support.microsoft.com/?id=890830

http://www.sysinternals.com/Utilitie...tRevealer.html
http://www.sysinternals.com/Files/RootkitRevealer.zip

RootkitRevealer 1.70 - Aufspüren von Rootkits

RootkitRevealer ist ein kostenloses Programm, mit Hilfe dessen man Root Kits aufspüren kann. Dieses kann unter Windows NT 4 oder höheren Betriebssystemen eingesetzt werden und ist imstande, alle auf der Projekt-Homepage veröffentlichten Root Kits, einschließlich HackerDefender, AFX und Vanquish, zu indentifizieren.

Das Tool zeigt dir nur die RootKids an, löschen kann es keins.

Was ist sonst noch zu tun:

* Immer sofort Sicherheitspatches einspielen.
* Den Virenscanner immer auf dem neuesten Stand halten und auf Funktion überprüfen.
* Immer Backups in mehreren Generationen fahren.
* Immer die Ereignisprotokolle überprüfen.
 Regelmäßige Sicherheitschecks (portscans, vulnerabiltyscans, Zugriffsrechte etc.) durchführen.

Eine Homepage,die einen Scan anbietet, ist zum Beispiel:

http://virusscan.jotti.org/

Ansonsten, wenn nichts hilft, ist FORMATIEREN angesagt !

[Seelentraum]

Hinweis zum Thema "Rootkits" ...

Im Gegensatz zu Viren und Würmern handelt es es sich bei RootKits um Mechaismen welche keinerlei schädlichen Code ausführen, sondern um geänderte Befehle deren Routinen "umgelenkt" werden.
Viren benutzen eigene Prozesse um weitere Daten einzuschleusen, Rootkits hingegen "bloss" die bereits vorhandenen Ressourcen und Befehle um agieren zu können.

Aus diesem Grunde kann man RootKits nicht so einfach aufspüren und entfernen. Zu agressive Scans und Entfernungen würden nämlich sonst auch jene Dateien betreffen, welche als "Gemeinsame Dateien" im Kontext normaler Programme und Routinen miteinander kommunizieren !

RootKits werden immer mehr die Bedeutung und Achtung Aller finden müssen, weil die "notwendigen" Steuerungsfunktionen dafür wirklich in jedem System vorhanden sind und dort agieren.

Mensch liest sich ...
Lieben Gruss,


Ralf, aka Seelentraum