Entfernung von Spyware mit Rootkit-Techiken

By dose | July 21, 2005
Under: technical stuff, Uncategorized

Eine Spyware-Entfernung hat mir jetzt meine ganze Nachtruhe gekostet *grml*
Diese Spyware-Entwickler werden auch immer gewiefter… Mittlerweile verwenden sie schon rootkit-Techniken wie Process hiding usw., damit man sie ja nicht aufspueren kann. Also vorbei die Zeiten, wo man einfach mit HijackThis die BHOs entfernen konnte, die Prozesse mit dem Prozessmanager terminieren und evtl. den Start-KEy aus der Registry entfernen.
Die Dinger sind komplett unsichtbar waehrend des Betriebs.
Ich selbst hatte die Ehre, den Trojan-PSW.Win32.Agent.am entfernen zu duerfen.
Hierzu moechte ich 2 gute Tools praesentieren, die versteckte Prozesse und Registry-Eintraege identifizieren koennen:

Zum Einen das brilliante RootkitRevealer von Sysinternals:
Es erkennt stealth-Prozesse und auch Registry-Eitnraege.
Zum Anderen das Programm Blacklight von F-Secure, das es in einer kostenlosen Beta gibt:
Blacklight findet auch stealth-Prozesse, hat aber den Vorteil, dass man ihm sagen kann, dass er beim naechsten Systemstart die fraglichen Dateien automatisch umbenennen sollen, sodass diese dann nicht mehr automatisch gestartet werden.
Somit bekommt man dann fast jeden boesartigen rootkit weg:

1) Mit RootkitRevealer registry scannen und keyliste abspeichern
2) Mit Blacklight die fraglichebn PRozesse renamen lassen und rebooten
3) Nach dem Reboot die von RootkitRevealer protokollierten Schluessel aus der Registry putzen.

Leave a Comment

Name:

E-Mail :

Subscribe :
Website :

Comments :