Mögliches Duplikat:
Wie entferne ich bösartige Spyware, Malware, Viren oder Rootkits von meinem PC?
Ich suchte nach Rootkits nach diesen Anweisungen http://computersight.com/software/how-to-manually-remove-rootkit/ und sah dies in meinem Bootprotokoll:
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
Ich habe versucht, bei Google nach diesem Dateinamen zu suchen, aber ich habe absolut nichts gefunden. Ich habe versucht, die Datei auf der Festplatte anzuschauen, konnte sie aber nicht finden. Fast jede andere Datei ist da. Ich habe sogar versucht, in Windows 98 zu booten und das NTFS zu mounten und die Datei zu sehen, aber sie war immer noch nicht da. Ich habe einen vollständigen Scan mit Microsoft Security Essentials ausgeführt, aber es hat nichts gefunden. Beim Neustart sah ich stattdessen diese Zeile:
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- Wie kann ich das entfernen?
- Wie kann ich herausfinden, was es macht?
- Wie erfahre ich, wann es eingefügt wurde?
- Wie kann ich herausfinden, wer es geschrieben hat?
Hier ist mein vollständiges Boot-Protokoll:
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Antwort1
Das ist ein echter Krampf. Es gibt Tools, die speziell für die Erkennung von Rootkits entwickelt wurden -gmerUndRootkit-Enthüllerkommen mir in den Sinn. Die Dateien, die Sie sehen, sind offensichtlich selbst kein Rootkit - sie könnten von einer anderen, tatsächlich versteckten Datei generiert worden sein. Diese würden das Rootkit erkennen, wenn sie richtig verwendet werden. Sie zu entfernen ist jedoch schwierig und die Verwendung dieser Tools erfordert einige Fachkenntnisse.
Zunächst einmal Ihr SystemIstkompromittiert. Es gibt wahrscheinlich keinen wirklichen Grund, es nicht zu zerstören und zu pflastern. Nehmen wir jedoch hypothetisch an, Sie wollten untersuchen, was das ist. Rootkits haken sich im Betriebssystem selbst ein, um sich zu verstecken. Zusätzlich zu den zuvor erwähnten Tools könnten Sie eine Live-CD zur Virenrettung verwenden, um das System zu scannen -Microsoft System Sweepr fällt mir ein, aber es gibt noch andere.
Ich würde dann vorschlagen, mit einer Linux-Live-CD zu beginnen und alle Dateien zu kopieren, die Sie verlieren möchten, und dann wieder in Windows zu booten. Führen Sie noch einmal einen AV-Scan durch, um zu sehen, was dabei herauskommt.
Anschließend natürlich NeuinstallationIstdie kluge Wahl hier.
Antwort2
OK, Hauptziel:
Wie kann ich das entfernen?
Der einzige sichere Weg ist,Zerstöre es mit einer Atombombe aus der Umlaufbahn. Neu formatieren und neu installieren.
Es gibt vielleicht subtilere Möglichkeiten, es zu entfernen, aber wenn Sie nicht genau wissen, womit Sie es zu tun haben, können Sie nicht sicher sein. Das bedeutet, dass Sie diesen PC niemals für Bankgeschäfte verwenden sollten. Keine Online-Einkäufe mehr mit Kreditkartennummern usw.
Sofern Sie kein nachweislich funktionierendes Backup haben, ist das verdammt nervig. Aber es ist die einzige Möglichkeit, auf Nummer sicher zu gehen.
Ich schlage vor, zuerst eine Kopie der Festplatte zu erstellen. Das können Sie auf verschiedene Arten tun. Zum Beispiel mit einem Image-Tool wieAcronis,Geist,Clonezilla. Damit können Sie zu dem Zustand zurückkehren, in dem Sie sich jetzt befinden. Eine einfache Kopie auf ein externes Laufwerk ist einfacher, aber gehen Sie nicht davon aus, dass das Zurückkopieren von allem die alte Windows-Installation wiederherstellt (insbesondere nicht, wenn die externe Festplatte FAT32-formatiert ist). Eine gute dritte Option ist, eine VMDK (VMware-Festplatte) oder eine VHD von der Festplatte zu erstellen (Tools dafürhier auf TechnetUndhier für Vmware).
Löschen Sie es anschließend vollständig. Installieren Sie es erneut von einem sauberen Image.Versuchen Sie noch nicht, Dateien wiederherzustellen. Installieren Sie bei Bedarf Netzwerktreiber. Aktualisieren Sie anschließend Windows vollständig.
Jetzt wäre ein guter Zeitpunkt, ein weiteres Systemabbild zu erstellen. Hoffentlich müssen Sie dies nie wieder tun, aber wenn Sie es tun, sparen Sie viel Zeit.
Installieren Sie die Treiber. Laden Sie sie von einer bekannten sicheren Quelle herunter. Installieren und aktualisieren Sie das Antivirenprogramm.
Jetzt haben wir ein sicheres System und Sie können mit der Analyse der Backups beginnen, die Sie am Anfang erstellt haben. Führen Sie einen Virenscan durch. Wenn der Virus erkannt wird, erhalten Sie möglicherweise die Antwort, nach der Sie suchen.
Wenn nicht, richten Sie eine virtuelle Maschine (ohne Netzwerk) ein. Stellen Sie das Systemabbild darauf wieder her. Installieren Sie dann Debugtools wieProcess Explorer,Rootkit-EntdeckerUndGMER.
Jetzt sind Sie bereit, Ihre zweite Frage zu beantworten.
Wie erfahre ich, wann es eingefügt wurde?
Wenn es Spyware, Trojaner, Viren oder sonst etwas „Böses“ ist: Sie können sich nicht auf das infizierte System verlassen. Sie müssen das infizierte System mit einem vorherigen Backup überprüfen. Sofern Sie nicht viele regelmäßige Backups haben, wird dies wahrscheinlich nicht erfolgreich sein.
Handelt es sich nur um „normale“ Software, können in den Protokolldateien und auf den Dateien selbst Daten enthalten sein.
Wie kann ich herausfinden, wer es geschrieben hat?
Wenn es ein Virus oder ähnliches ist: Das geht nicht. Wenn es sich um legal geschriebene Software handelt, gehört sie zu einem Programm oder Treiber. Diese sollten mit Informationen versehen sein. Leider wird ein Treiber oft von geschrieben fill in your name here.