Nach dem letzten Microsoft Update-Desaster, welches wohl auf Rootkits zurückzuführen war, sind diese mal wieder in aller Munde.

Bei Rootkits handelt es sich um eine besonders heimtückische Variante von Malware: Sie werden dazu genutzt, Schadsoftware - für den Anwender unsichtbar - im System zu platzieren.
Rootkits sind eine Art Tarnkappe, unter der sich Viren, Würmer oder Trojaner verstecken können. Ein Rootkit muss nicht zwangsläufig ein Indiz für Schadsoftware sein, doch wo es etwas zu verbergen gibt, sollte man misstrauisch zu sein.

Mit ihrem "AntiRootkit Tool" bieten die Entwickler von Avira AntiVir eine wirkungsvolle Waffe gegen Rootkits an:

http://www.free-av.com/de/tools/4/avira_antirootkit_tool.html

Das "Avira AntiRootkit Tool" muss nicht installiert werden, man kann es nach dem Entpacken aus einem beliebigen Verzeichnis heraus starten.

Hab das Avira AntiRootkit Tool mal gestartet. Hat mir auch 31 Einträge angezeigt. Leider kann ich mit den gezeigten Einträgen nichts anfangen. Es fehlt auch die Möglichkeit gemeldete Einträge zu entfernen.

Hallo erich,

da hatte ich mehr Glück. 0 Einträge. :grin:

Im unteren Bereich auf der linken Seite steht "Quarantine" und "Quarantine all". Damit müsstest du die Funde unschädlich machen können.

Die Felder sind da, allerdings nicht aktiv.

Wenn ich die angezeigten Dateien hier einstelle, könnte da ein Fachmann nähere Auskünfte geben und wie Löschen?

Vielleicht. Stell bitte einen Screenshot hier ein.

der Scan läuft. Wenn fertig stelle ich hier ein Abbild ein.

Avira AntiRootkit Tool (1.1.0.1)

================================================================================
========================
- Scan started Dienstag, 2. März 2010 - 10:16:26
================================================================================
========================



Results:
Embedded nulls : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> offlinekey
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> inittime
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> lasttime
Hidden value : HKEY_USERS\S-1-5-21-436374069-764733703-839522115-1003\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData -> keyindex
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-20ed-91a5-fe05fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-2f65-2828-be58fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-838b-21d1-3ff1fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-8a86-ac89-62e5fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-99a6-12be-28f6fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-a223-4e18-db70fa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-bfb1-cb85-136dfa9a45df}\InprocServer32 -> threadingmodel
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag11.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oopm02.00.00.01pro
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag12.00.00.01professional

--------------------------------------------------------------------------------------------------------
Files: 0/98987
Registry items: 31/598854
Processes: 0/44
Scan time: 00:09:53
--------------------------------------------------------------------------------------------------------
Hier das Ergebnis. Leider sagen sie mir nichts. Die Quar. Buttons sind inaktiv.

Mit Glück hat das gar nix zu tun, und ich kann nur davor warnen, irgendwelche Einträge vorschnell zu löschen.
Die meisten Virenscanner stellen Einträge ein, die dann von anderen als Rootkit angemeckert werden.
Auch Screensaver oder ähnliche Software werden oftmals fälschlicherweise erkannt.
Im Zweifelsfall hilft nur googeln oder mit anderen Spezialprogrammen, wie z.B. Gmer gegenscannen.

@ani:
Was denn, dass der Scan bei mir 0 Einträge gefunden hat? Das empfinde ich schon als Glück.


@Erich:

Daher kann es durchaus sein, dass die gefundenen Schlüssel sich nicht löschen lassen, weil sie als ungefährlich bzw. benötigt eingestuft wurden.

Die ersten 5 scheinen etwas mit einem Videoencoder zu tun zu haben, die letzten 4 mit O&O-Defrag. Ich gehe mal davon aus, dass du diese Programme nutzt. Zu den dazwischenliegenden kann ich nichts sagen, mir erscheinen sie aber harmlos.

Am besten du führst zusätzlich einen Scan mit HijackThis durch. Kopiere das HJT-Logfile in die dafür vorgesehene Box und lasse es auswerten. Anschließend alles fixen, was evtl. als "böse" markiert ist.

Na gut, dann halte ich mich mal an deine Signatur, die paßt in diesem Falle ja wie die Faust aufs Auge...........

Selten so gelacht. Auch wenn ichs immer noch nicht verstehe.
Hab ich jetzt etwa Pech gehabt, weil mein System sauber ist??

Na gut, wenn du `s jetzt genau wissen willst : jemand mit deinem Kenntnisstand sollte wissen, daß die Tatsache, daß EIN Scanner nichts findet noch lange nicht bedeuted, daß einSystem komplett sauber ist.
Das wäre ein bißchen zu einfach , und ich meine "Programmierer", die über das Script Kiddie Stadium hinaus sind.