Sophos Anti-Rootkit gibt an, unter 64-Bit-Windows 7 nach Rootkits suchen und diese entfernen zu können.
Gibt es eine Möglichkeit, unter 64-Bit-Windows 7 Rootkits zu finden
Ich war bei der Arbeit und bekam einen Helpdesk-Anruf wegen einer ziemlich schweren Malware-Infektion, und ich musste an meinen eigenen Computer denken.
Ich verwende Windows 7 64-Bit-RC1 auf meinem täglichen Laptop. Ich verwende ESET NOD32 Antivirus, das sich gut auf dem neuesten Stand hält. Ich habe die Benutzerkontensteuerung nie ausgeschaltet.
Ich bin auch ein Computerprofi, also habe ich eine ziemlich gute Idee, wenn ich NICHT in einem Windows-Dialog, der unhöflich aussieht, auf OK klickt.
Alles in allem, um zu sagen, dass ich sauber bin, aber ich wollte sicher gehen, dass ich im abgesicherten Modus gebootet und heruntergeladen habe und einen schnellen Scan mit dem gut empfohlenen Anti-Malware-Tool MalwareBytes durchgeführt habe. Es wurde nur ein seltsamer Registryeintrag gefunden, den ich gelöscht habe. Es wurden keine Datei- oder Ordnerprobleme gefunden. Ich habe einen Neustart durchgeführt, um die Bereinigung wie gewünscht abzuschließen. Ich war überrascht, weil es lediglich einen Registrierungseintrag bereinigte.
Oh ja ... Eine andere Sache ist die professionelle Edition von BillP Studio von WinPatrol.
Nach dem normalen Neustart warnte WinPatrol vor dem neuen Programm MalwareBytes, das ich erwartet und zugelassen hatte. Aber zu meiner Überraschung musste ich auch die Installation / Einrichtung von userinit bestätigen (ich kann mich nicht erinnern, ob es dll oder exe war), aber die Programminfo war, dass dies die Datei ist, die den Startbildschirm für Windows darstellt. Ich habe es erlaubt, aber es hat mich überrascht.
Eine letzte Sache. Ich habe auch versucht, Root-Kit-Reverer und IceSword auszuführen, damit ich einen Rootkit-Scan auf meinem Computer durchführen kann. Keiner von beiden würde laufen, und ich bin mir ziemlich sicher, dass ich ein 64-Bit-Betriebssystem habe.
Hier sind meine Fragen:
Ist es normal, dass userinit nach einem Scan mit MalwareBytes "neu installiert" oder "re-init" ist? Wenn nicht, warum wurde eine Aufforderung zur Genehmigung von Berechtigungen für diese Datei angezeigt?
Gibt es eine bekannte / empfohlene Methode für einen Rootkit-Scan eines 64-Bit-Windows-Systems?
Ist es möglich, dass mein Rechner WENIGER ist und wahrscheinlich ein Rootkit-Problem hat, WEIL ich als 64-Bit-Betriebssystem arbeite. Müsste ein Rootkit nicht als 64-Bit-Prozess ausgeführt werden? Ist es nicht wahrscheinlich, dass Rootkits jetzt nicht in das Ziel 64-Bit geschrieben werden, da dies eine kleinere Zielgruppe ist? Ist meine Risikofläche tatsächlich geringer?
Danke im Voraus.
Seth
3 Antworten auf die Frage
Gibt es eine bekannte / empfohlene Methode für einen Rootkit-Scan eines 64-Bit-Windows-Systems?
Es gibt nur zwei Programme, denen ich vertraue: ComboFix, gefolgt von RegDelNull .
Ich bin mir jedoch nicht sicher, was ComboFix 64bit unterstützt. Wenn Sie jedoch einen Wiederherstellungspunkt erstellen, bevor Sie ihn verwenden, sollten Sie die Wiederherstellungskonsole verwenden können, um ihn wiederherzustellen, falls etwas schief geht.
Aber ich habe das Bedürfnis, hier zwei Punkte zu machen:
1. 64-Bit-Wahnsinn
Ich muss noch verstehen, warum 64-Bit-Versionen Ihrer Betriebssysteme bestehen. Aus praktischen Gründen ergeben sich daraus nahezu 0 Vorteile. Ein 64-Bit-Betriebssystem ist nur nützlich, wenn 64-Bit-Anwendungen, die die neuen Prozessorfunktionen und den Adressraum nutzen, zum Mainstream werden. Das ist nicht der Fall. Sehr wenige Anwendungen sind echte 64-Bit-Anwendungen und solche, die nur aus Kompatibilitätsgründen verwendet werden. In den meisten Fällen verwenden diese Anwendungen keine dieser Funktionen. Und dann geraten Sie in Schwierigkeiten, wenn Sie versuchen, spezielle Software zu erhalten, die unter 64-Bit möglicherweise nicht gut läuft.
2. Methoden
Es gibt keine eindeutige Möglichkeit, Rootkits zu überprüfen. Selbst Combofix verwendet sicherlich eine eigene Methodik, die es anderen oder neueren Rootkits ermöglicht, unbeschadet durchzugehen. Ihre bevorzugten Tools sind jedoch immer die Wiederherstellungskonsole oder der Start im abgesicherten Modus, in dem viele dieser Rootkits nicht funktionieren.
Damit bieten einige Firewall-Produkte einen Schutz auf Systemebene ( z. B. Comodo ), mit dem Sie Aufforderungen auf Systemebene sehen können, die über viele Änderungen auf Ihrem Computer informieren.
Außerdem sollte UAC auf der höchsten Ebene aktiviert sein und von einem Nicht-Administrator-Konto aus ausgeführt werden. Dafür wurde UAC entwickelt, und es gibt wirklich keine Entschuldigung mehr, unsere Windows-Computer nicht unter einem nicht privilegierten Konto auszuführen. Kein Rootkit wird das umgehen, was bedeutet, dass Sie sich keine Sorgen um die Suche machen müssen.
Ist es möglich, dass mein Rechner WENIGER ist und wahrscheinlich ein Rootkit-Problem hat, WEIL ich als 64-Bit-Betriebssystem arbeite. Müsste ein Rootkit nicht als 64-Bit-Prozess ausgeführt werden? Ist es nicht wahrscheinlich, dass Rootkits jetzt nicht in das Ziel 64-Bit geschrieben werden, da dies eine kleinere Zielgruppe ist? Ist meine Risikofläche tatsächlich geringer?
Unglücklicherweise nicht. Wie bereits erwähnt, ermöglichen 64-Bit-Systeme die Ausführung von 32-Bit-Anwendungen auf jeder Ebene. Aber Achtung! Sie fügen ein gewisses Maß an Schutz hinzu, da Rootkits unter vielen Umständen aus einem 64-Bit-Betriebssystem ausfallen können. Dieselbe wie viele andere 32-Bit-Anwendungen neigen unerklärlicherweise dazu, unter 64-Bit-Betriebssystemen zu versagen. Rootkits sind gegen Fehler nicht immun. Aber das war es schon.
Allerdings gibt es auch die Möglichkeit, dass bestimmte Rootkits gezielt auf 64-Bit-Systeme abzielen. Sie sind also wirklich nirgendwo sicherer.
Ich verwende Combofix regelmäßig auf 64-Bit-Vista. Nach meiner Erfahrung nutzt 64bit den Systembetrieb unabhängig davon, ob die Anwendung dies tut oder nicht. Obwohl ich nicht der Meinung bin, dass vista 64 100% rootkit-frei ist, ist es viel schwieriger, rootkits auf einem 64-Bit-Betriebssystem zu erhalten. Es ist schwierig für Hersteller von Hardware, Treiber für 64-Bit-Versionen zu erstellen. Ich denke nicht, dass wir zu viele 64-Bit-Root-Kits für eine Weile sehen werden. Und wenn Sie auf 64bit hassen, gewöhnen Sie sich daran, ob Sie es mögen oder nicht, 4 GB RAM werden veraltet. Wenn dies der Fall ist, wird 64bit benötigt.
Verwandte Probleme
-
2
Erinnert sich Windows 7 Home Premium an Netzwerkfreigaben-Passwörter?
-
4
Wie sperre ich rechtsbündige Symbolleisten in Windows 7, ohne dass sie schrecklich aussehen
-
4
Windows 7 "Aero Snap" -Funktion für Ubuntu GNOME
-
3
Meine zweite Festplatte ist in Windows 7 nicht sichtbar
-
2
Fingerabdruckerkennung in Vista x64
-
5
64-Bit-Betriebssystem und VPN-Software
-
7
Wie ersetze ich Notepad in Windows 7?
-
2
Wie werden Windows 7-Taskleistensymbole in zwei Reihen angeordnet?
-
8
Sollte ich 32 oder 64 Bit für Linux wählen?
-
1
Probleme beim Standby unter Windows 7