68262

Rootkits laufen im abgesicherten Modus

13.10.2005 | 15:18 Uhr |

Wie können Rootkits entfernt werden, die auch im abgesicherten Modus aktiv sind?

Im Internet Storm Center des SANS-Instituts machen sich freiwillige Helfer Gedanken über Windows Rootkits, die auch im abgesicherten Modus aktiv sind. Von dem Rootkit "Haxdoor" sind zumindest zwei Varianten bekannt, die weiterhin schädliche Prozesse verbergen, auch wenn Windows im abgesicherten Modus gestartet wird.

Die Beschreibung von Symantec zu der ersten Variante, Haxdoor.E empfiehlt zur Entfernung den Einsatz der Wiederstellungskonsole von Windows XP und 2000. Dazu starten Sie den Rechner von der Windows-CD und drücken auf dem Eingangsbildschirm die Taste "R" (Recovery).

Sie müssen sich mit dem Administrator-Passwort anmelden und erhalten dann eine karge Textkonsole. Diese stellt nur ganz wenige, noch von DOS bekannte Befehle bereit. Sie müssen jede einzelne zum Rootkit gehörende Datei mit dem Kommando "DEL" löschen. Die Dateinamen und Speicherorte nennt Symantec.

Der finnische Antivirus-Hersteller F-Secure empfiehlt sein Produkt "Blacklight", das speziell zum Aufspüren von Rootkits entwickelt wurde (wir berichteten). Eine bis Anfang Januar 2006 benutzbare Beta-Version ist kostenlos erhältlich. Blacklight ist auch in den aktuellen Produkten von F-Secure enthalten.

Weit mehr Komfort als die Wiederherstellungskonsole bietet ein von CD startendes Windows XP, das Sie sich mit Bart PE erstellen können. Als letzte Alternative bleibt das Neuinstallieren von Windows nach dem Formatieren der Festplatte.

0 Kommentare zu diesem Artikel
68262