Security Professionals - ipfw add deny all from eindgebruikers to any

Wat is de beste rootkit removal tool tegenwoordig?

11-04-2011, 11:30 door Dev_Null, 39 reacties
Ik ben aan de slag geweest om een volledig legale windows xp-sp3 rootkit vrij te krijgen.
Daarbij heb ik gebruik gemaakt van de volgende tools:

Voor detectie:
1 - Avast virusscanner (was reeds op pc geinstalleerd -> Kwam met hidden bootsector popup venster na inloggen)
2 - F-secure BlackLight
3 - Sophos Anti Rootkit
4 - Gmer
5 - Trend Micro's Hijack This

Voor reparatie
1 - Windows XP Bootdisk met emergency repair console (fixboot, fixmbr commandos)
2 - Avast Bootscanner

Voor controle
1 - Avast's ASWMBR tool


Vraag:
Welke root-kit-removal tools / methoden gebruiken jullie zelf en waarom juist deze?
Reacties (39)
11-04-2011, 12:01 door xy22
Voor detectie:
F-secure Blacklight, naar (beperkte) eigen ervaring en enkele keer dat je er iets over leest, weinig false positives en prima detectie. Plus Vba antirootkit en uiteraard Trend micro's Hijackthis.
Daarnaast gebruikte ik tot voorheen ook McAfee Stinger nog wel eens, als dubbelcheck.

Voor reparatie:
ultimate boot cd zodat je het systeem weer redelijk betrouwbaar aan de praat krijgt. Om daarna te controleren of de back-up van m'n bestanden helemaal bij is; vervolgens met Norton Ghost/ Acronis True Image een betrouwbare image terugzetten.
Misschien een beetje paranoia, maar vertrouw m'n computer niet helemaal meer na een zware infectie zowel qua malware als stabiliteit ;)
11-04-2011, 12:05 door Anoniem
Simpel, machine herinstalleren. Better safe than sorry!
11-04-2011, 12:10 door [Account Verwijderd]
[Verwijderd]
11-04-2011, 12:21 door [Account Verwijderd]
[Verwijderd]
11-04-2011, 12:27 door Anoniem
http://www.av-comparatives.org/images/stories/test/summary/summary2010.pdf
11-04-2011, 13:22 door Anoniem
Als je zo bezorgd bent over de beveiliging van je machine gebruik je toch wat anders? Linux en Unix smaken genoeg en die zijn in de regel veel makkelijker veilig en rootkit vrij te houden.


Peter
11-04-2011, 13:33 door [Account Verwijderd]
[Verwijderd]
11-04-2011, 13:42 door xy22
Door Cvrler: @xy22: 2e deel van de vraag is:...en -waarom- juist deze?

Ik ben belangstellend. Beschrijf even wat meer.

(op mijn nivo als eindgebruiker dan..)

mvg
Crrler
nu teruglezend, heb je op zich gelijk, argumentatie is beperkt :)
bedankt voor het scherp houden!

Voor detectie:
F-secure blacklight: stond een keer op een cd bij een tijdschrift, er toen kennis mee gemaakt en het beviel goed. Snelheid en detectie zijn prima.
Vba antirootkit: lijkt wellicht een wat ongebruikelijke keuze, en juist daarom gekozen. Vanuit de gedachte dat hoe minder gebruikt, hoe groter de kans dat een rootkit geen maskeer-functie heeft die m beschermt tegen detectie door de door jou gebruikte anti-rootkit oplossing.
In zekere zin ben ik een zeer simpele gebruiker: wat werkt, dat werkt om de boel al dan niet tijdelijk (en redelijk schoon) aan de gang te krijgen/houden. Vervolgens de back-up van de gebruikersdocumenten voor het terugzetten goed scannen.
Eigenlijk een aanpak die volledig is geënt op het principe dat je daarna hoe dan ook een betrouwbare image terugzet.

Voor reparatie:
Ultimate Boot cd (UBCD4Win) niet alleen vanwege de zeer grote hoeveelheid tools die gebruikt kunnen worden, maar vooral omdat je de dvd maakt m.b.v. de eigen Windows-installatie. In feite een voor jouw systeem op maat gemaakte bootdisk, waardoor je eigenlijk nooit gedoe met drivers etc. hebt.

Norton Ghost op een oude XP-computer. Acronis True Image voor Windows 7, vanwege de mogelijkheid (via een netwerk) te back-uppen naar een nas of andere netwerklocatie.
11-04-2011, 14:10 door Anoniem
Hitman Pro 3.5 was een van de eersten die de 64 bit versie van TDL 3 kon verwijderen, verder zijn TDSS killer van Kaspersky en Rootkit Unhooker ook nog goede tooltjes.
11-04-2011, 14:20 door [Account Verwijderd]
[Verwijderd]
11-04-2011, 15:17 door Anoniem
Online Armor ++
11-04-2011, 15:35 door EDLIN
Veel rootkits zijn al actief voordat windows start en weten soms anti-virus software te omzeilen.
Daarom maak ik als aanvulling soms gebruik van de rescue disk van Kaspersky om de computer te kunnen scannen voordat windows start. Het is natuurlijk geen software die specifiek gericht is op rootkits maar wel antivirus die er zijn mag.

Van deze live-cd is inmiddels versie 10 verschenen.
De ISO is via onderstaande link voor iedereen gratis te downloaden.

http://support.kaspersky.com/faq/?qid=208282173

Voor het overige: In het geval van rootkits zou ik er toch (net als anoniem 12:05) al snel voor kiezen om de computer opnieuw te installeren.
11-04-2011, 17:29 door Anoniem
uiteindelijk is herinstallatie het beste om alles dan uit tegaan dokteren en zo maar ja veel plezier
11-04-2011, 18:27 door Anoniem
Voor windows bestaan een stuk of 5 livecd's om op virussen te scannen, deze cd's zijn gebaseerd op linux, werken op alle soorten hardware. Hier kun je van booten en je pc proberen schoon te maken.

Linux heeft ook leuke(en gratis) cd's om te helpen backuppen van files van je win pc, en om een complete backup te maken.

-Parted Magic, live bootcd, http://partedmagic.com/doku.php
Features:
Deze werkt ook snel met 256 geheugen(ubuntu livecd bijv niet).
Format internal and external hard drives.
Move, copy, create, delete, expand & shrink hard drive partitions.
Clone your hard drive, to create a full backup.
Test hard drives for impending failure.
Test memory for bad sectors.
Benchmark your computer for a performace rating.
Securely erase your entire hard drive, wiping it clean from all data.
Gives access to non-booting systems allowing you to rescue important data.
Runs from the CD, no install required.

-Clonezilla Live, om backup te maken. http://www.clonezilla.org/
-SystemRescueCD, http://www.sysresccd.org/Main_Page
-GParted LiveCD, http://gparted.sourceforge.net/livecd.php

Alles gratis, geen virussen, geen spyware, geen serial nummers ingeven, alles legaal.
11-04-2011, 19:36 door Anoniem
http://download.cnet.com/Stream-Armor/3000-8022_4-75372891.html

http://support.kaspersky.com/faq/?qid=208283363

https://www.gdatasoftware.com/support/main-subjects/upgrade-service/download.html

http://www.gdata.de/support/downloads/tools.html

http://www.malwarecity.com/

http://www.antirootkit.com/software/Radix-Antirootkit.htm

enjoy!!
11-04-2011, 22:43 door Ina Ninck
Wat een ellende allemaal.
De oplossing: www.ubuntu.com

Wordt toch eens wakker!!!! Waarom blijft iedereen aan dat Windows hangen!?!?!?!?!?
11-04-2011, 22:47 door Ina Ninck
@EDLIN 15:35

Natuurlijk, gewoon alles even opnieuw installeren. Eitje, en dan zijn we weer safe.......
Ik draai al sinds 1995 alleen nog Linux op mijn systemen en ik kan je vertellen dat ik nooit mijn hele systeem om de 3 maanden moet herinstalleren vanwege ellende.

Wat een rommel, en er ,maar dik voor blijven betalen en het allemaal maar accepteren...........
Word eens wakker!!!!
11-04-2011, 22:53 door Anoniem
@Ina Rootkits komen ook voor bij Linux ! Je kunt het mooi brengen, maar er zijn heel wat servers die onder linux draaien vandaag de dag die ook gewoon gehackt worden !
12-04-2011, 02:14 door Argot
ComboFix doet ook wonderen.
NL-handleiding zie: http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
Op die website vind je ook een forum met experts (aanrader!)
12-04-2011, 06:51 door spatieman
niet op wazige links klikken.
niet op wazige links in emails klikken.
geen wazige emails openen.
geen internet explorer gebruiken..
en vooral je kinderen uit de buurt van je pc houden...
12-04-2011, 09:23 door EDLIN
Door Ina Ninck: @EDLIN 15:35

Natuurlijk, gewoon alles even opnieuw installeren. Eitje, en dan zijn we weer safe.......
Ik draai al sinds 1995 alleen nog Linux op mijn systemen en ik kan je vertellen dat ik nooit mijn hele systeem om de 3 maanden moet herinstalleren vanwege ellende.

Wat een rommel, en er ,maar dik voor blijven betalen en het allemaal maar accepteren...........
Word eens wakker!!!!

Je bent hier wel een beetje off topic.
De vraag was "Hoe krijg je Windows rootkit-vrij"
12-04-2011, 12:04 door Syzygy
"delpart" als tool werkt ook 100% maar dan wel extern opstarten.

Er kleeft echter wel 1 nadeel aan ;-)
12-04-2011, 12:13 door Mysterio
Door Ina Ninck: @EDLIN 15:35

Natuurlijk, gewoon alles even opnieuw installeren. Eitje, en dan zijn we weer safe.......
Ik draai al sinds 1995 alleen nog Linux op mijn systemen en ik kan je vertellen dat ik nooit mijn hele systeem om de 3 maanden moet herinstalleren vanwege ellende.

Wat een rommel, en er ,maar dik voor blijven betalen en het allemaal maar accepteren...........
Word eens wakker!!!!
Alweer zo'n halve gare die vindt dat we wakker moeten worden! Lees de vraag, geef een constructief antwoord en ga dan pas janken over Linux. Want hoe hou jij je Linux rootkit-vrij?

OT: Opnieuw installeren is niet afdoende voor een rootkit. Dev Null laat terecht zien dat je de MBR ook moet aanpakken.

Op zich zijn de verschillende tools en scanners alleen in detail verschillend. Het is belangrijk dat je vooral al nadenkt over preventie. Werk dus niet of zo min mogelijk met admin rechten. Een rootkit heeft rechten nodig en uiteraard zijn die via een lek of bug wel te verkrijgen, maar over het algemeen ben je een hoop ellende voor door met beperkte rechten te werken.

Maak backups, maar hou er ook rekening mee dat een backup besmet kan zijn. ;)

Ik heb zelf goede ervaringen met de NOD32 Rescue CD wanneer het om opschonen gaat. Deze zal echter weinig verschillen van de andere aanbieders.
12-04-2011, 13:25 door xy22
Door Ina Ninck: Wat een ellende allemaal.
De oplossing: www.ubuntu.com

Wordt toch eens wakker!!!! Waarom blijft iedereen aan dat Windows hangen!?!?!?!?!?
Weet niet of het je verder helpt met iets genuanceerder denken over Windows, maar in mijn geval gebruik ik Windows XP, omdat het noodzakelijk is voor mijn opleiding.
Die opleiding verplicht tot het werken met bepaalde software, en juist, die draait alleen op Windows.
Sterker t moet nog specifieker, Windows XP met Office 2003 is voor mij noodzakelijk, omdat instructies voor opdrachten anders niet kloppen en diverse plug-ins voor Office niet op de versies van 2007 en 2010 draaien. Ken genoeg mensen die er mee moeten klooien, omdat zij Windows 7 op hun laptop hebben staan.
13-04-2011, 03:03 door Anoniem
Door Ina Ninck: Wat een ellende allemaal.
De oplossing: www.ubuntu.com

Wordt toch eens wakker!!!! Waarom blijft iedereen aan dat Windows hangen!?!?!?!?!?

Toch nog iemand die zijn verstand gebruikt.
13-04-2011, 03:09 door Anoniem
Door xy22:
Door Ina Ninck: Wat een ellende allemaal.
De oplossing: www.ubuntu.com

Wordt toch eens wakker!!!! Waarom blijft iedereen aan dat Windows hangen!?!?!?!?!?
Weet niet of het je verder helpt met iets genuanceerder denken over Windows, maar in mijn geval gebruik ik Windows XP, omdat het noodzakelijk is voor mijn opleiding.
Die opleiding verplicht tot het werken met bepaalde software, en juist, die draait alleen op Windows.
Sterker t moet nog specifieker, Windows XP met Office 2003 is voor mij noodzakelijk, omdat instructies voor opdrachten anders niet kloppen en diverse plug-ins voor Office niet op de versies van 2007 en 2010 draaien. Ken genoeg mensen die er mee moeten klooien, omdat zij Windows 7 op hun laptop hebben staan.

Installeer dan gewoonweg een dual boot windows/linux en boot de computer met Linux. Vanuit Linux kun je een windows partitie benaderen en infectie zelf gaan verwijderen. Hoe denk je dat lekken gedicht worden in windows?
13-04-2011, 15:06 door Anoniem
Lol, nooit van wine gehoord? Heb je ook nog open office maar okay...

OT: ik gebruik zelf Avast als av, maar rootkits (goede teminste ._.) zijn niet zo gemakelijk te verwijderen. Ik installeer gewoon opnieuw mijn Windows partitie (:
13-04-2011, 16:42 door Anoniem
Detectie: GMER
Verwijderen; kan je dan zelf.... ;)
13-04-2011, 21:13 door AndrevS
Alleen het noodzakelijke onder windows xp down, en windows geen verbinding met internet laten maken.
En als je kijkt op http://appdb.winehq.org/objectManager.php?sClass=application&iId=31 dan heeft
word 2003 zilver, excel 2003 zilver, access 2003 goud, powerpoint 2003 zilver, publisher2003 brons
ok, niet alles werkt: one note, outlook, frontpage, visio zouden niet werken, maar oudere tests van visio geven weer aan dat hte wel zou werken.
14-04-2011, 13:19 door Mysterio
Door Anoniem: Lol, nooit van wine gehoord? Heb je ook nog open office maar okay...

OT: ik gebruik zelf Avast als av, maar rootkits (goede teminste ._.) zijn niet zo gemakelijk te verwijderen. Ik installeer gewoon opnieuw mijn Windows partitie (:
Open Office en Sharepoint gaan niet samen. Wine is te veel geklooi voordat je je spelletje fatsoenlijk hebt draaien.

OT: Je partitie opnieuw installeren is vaak niet afdoende voor een rootkit.
14-04-2011, 14:39 door Anoniem
Offtopic, wij gebruiken windows omdat we willen gamen, en linux daar niet geschikt voor is op enkele games na natuurlijk.

Ontopic, Deze tools Combofix, Hijackthis, en daarna Hitmanpro, misschien nog een Malwarebytes of een Search&Destroy
14-04-2011, 16:25 door EDLIN
Door Anoniem:.

Ontopic, Deze tools Combofix, Hijackthis, en daarna Hitmanpro, misschien nog een Malwarebytes of een Search&Destroy

Interessante tools allemaal.
Maar voor de eerste twee geldt wel dat de gebruiker goed moet weten waar hij mee bezig is.

Combofix bv verwijdert in sommige gevallen systeembestanden om een infectie te bestrijden.
Overigens is er nog geen ondersteuning voor 64 bit en het lijkt er ook niet op dat die er spoedig gaat komen.

En wat betreft Hijackthis: Het verassingseffect uit de begintijd van dit slimme tooltje is er nu niet meer. Nieuwe ontwikkelingen blijven uit.
14-04-2011, 17:52 door Anoniem
Ontopic, Deze tools Combofix, Hijackthis, en daarna Hitmanpro, misschien nog een Malwarebytes of een Search&Destroy

Zijn er allemaal die je beter niet op je PC gooit dacht ik.(ComboFix, begin er liever niet aan)

Rootkit scan gebruikte ik al: F-secure BlackLight

Als handige vervanger voor HijackThis gebruik ik HijackFree dat in het zelfs Free pack zit bij emsisoft vrij uitgebreide scans, ook een on-line waarna je zelf kan gaan kijken wat je al dan niet gaat oplossen of van de pc afgooien.

http://www.emsisoft.nl/

Prima malware scan ook in het Free packet.
15-04-2011, 13:44 door Anoniem
Door EDLIN:
Door Anoniem:.

Ontopic, Deze tools Combofix, Hijackthis, en daarna Hitmanpro, misschien nog een Malwarebytes of een Search&Destroy

Interessante tools allemaal.
Maar voor de eerste twee geldt wel dat de gebruiker goed moet weten waar hij mee bezig is.

Combofix bv verwijdert in sommige gevallen systeembestanden om een infectie te bestrijden.
Overigens is er nog geen ondersteuning voor 64 bit en het lijkt er ook niet op dat die er spoedig gaat komen.

En wat betreft Hijackthis: Het verassingseffect uit de begintijd van dit slimme tooltje is er nu niet meer. Nieuwe ontwikkelingen blijven uit.

Als je dus niet weet waar je mee bezig bent doe het dan niet, combofix is een geweldig programma heeft ook 64bit ondersteuning. Gebruik deze tools op mijn werkplek ook om klanten pc`s te schonen nooit problemen gehad.
Hijackthis is een super tool om al die rotte toolbars in IE weg te plunderen, ook andere vieze dlls kan er je er uit gooien.
Zullen best betere programma`s zijn maar ik heb hier goede ervaring mee :-)
15-04-2011, 16:38 door EDLIN

Als je dus niet weet waar je mee bezig bent doe het dan niet, combofix is een geweldig programma heeft ook 64bit ondersteuning. Gebruik deze tools op mijn werkplek ook om klanten pc`s te schonen nooit problemen gehad.
Hijackthis is een super tool om al die rotte toolbars in IE weg te plunderen, ook andere vieze dlls kan er je er uit gooien.
Zullen best betere programma`s zijn maar ik heb hier goede ervaring mee :-)

Ik ben even gaan kijken op de website van bleepingcomputer. En inderdaad de 64 bit ondersteuning is er vanaf 14-12 2010.
Bedankt voor de tip.

Ik heb het gelijk getest op een schone W7 64 bit.Resultaat: .exe bestand verwijderd wat niks met malware van doen had, De ixquick startpagina in de browser vervangen door Microsoft en een autorun.inf bestand (wat ik zelf heb gemaakt) verwijderd van een externe HD.En dat vind ik het probleem met combofix.Het gaat als een buldozer aan de slag er is geen enkele interactie mogenlijk van de gebruiker.

Over hijackthis: Er wordt veel over gediscussieerd.Ik gebruik het al vanaf de begin periode.Het is nog steeds een nuttige tool, maar je kunt er niet meer zoals vroeger gegarandeerd een Spyware infectie mee verhelpen.

Feit is dat Trend micro niets meer aan de ontwikkeling heeft gedaan sinds het Hijackthis overnam van Merijn.Malware heeft zich in een paar jaar enorm ontwikkeld en Hijackthis niet.Inmiddels zijn er alternatieven beschikbaar zoals bv OTL van oldtimer. Fijn detail is hier dat Trend micro een tijd lang OTL.exe verwijderde als zijnde malware en de website Geeks to Go aanmerkte als een "Bad site"
16-04-2011, 16:53 door Anoniem
rootkitrevealer en gmer, en ik morgen maar eens aan http://www.deftlinux.net/ proeven.

Daarmaast raad ik je aan een soort windows rescuecd (zoals bartpe en verwanten) te maken, want een rootkit opruimen op een draaiend systeem ? My $0,02..
20-04-2011, 11:02 door Marco3
Door EDLIN:
Combofix bv verwijdert in sommige gevallen systeembestanden om een infectie te bestrijden.
Overigens is er nog geen ondersteuning voor 64 bit en het lijkt er ook niet op dat die er spoedig gaat komen.

En wat betreft Hijackthis: Het verassingseffect uit de begintijd van dit slimme tooltje is er nu niet meer. Nieuwe ontwikkelingen blijven uit.

Verrassingseffect Hijackthis? Gewoon een handige tool om alle troep uit je opstartprocedure te halen, die hoeft niet te verrassen hoor, gewoon een geavanceerdere msconfig!

Verder is combofix gewoon compatible met:
Windows XP (32-bit only)
Windows 2000 (32-bit only)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Trollmode: Dus alweeeeeer een softwarepakket wat niet onder Linux draait :P
20-04-2011, 13:52 door zvbhvb
Wel grappig, dat de stelling niet is:Wat houdt het meeste rootkits tegen.
20-04-2011, 17:43 door EDLIN
@Marco
Ik weet niet of je veel ervaring hebt met de bestrijding van Spyware in het verleden, maar als dat zo is dan zou je kunnen weten dat aan de hand van een HJT-log het mogenlijk was om handmatig een infectie met Spyware volledig te cleanen.
En dat is iets anders dan -je zegt het zelf al- HJT te gebruiken als een soort veredelde Msconfig.

Verrassingseffect Hijackthis? Gewoon een handige tool om alle troep uit je opstartprocedure te halen, die hoeft niet te verrassen hoor, gewoon een geavanceerdere msconfig!

Toen HJT werd geschreven hadden gebruikers in ene een tool in handen om zelf de locatie van een infectie te achterhalen en daarmee ging het programma een stap verder dan de Malwarescanners van die tijd.
Dat noem ik een verassingseffect en Spywareschrijvers hadden daar een tijd lang geen antwoord op.
Tegenwoordig is de situatie uiteraard totaal anders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.