rootkit

    Hallo FF-Team,

    Verwendet Firefox eine art "rootkit" im Programm?
    Mein Scanner bemängelt ausschlieslich Firefoxdateien im Verzeichnis:

    "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\.."

    Angefangen hat das ganze nur mit der "firefox.exe", aber mitlerweile hab ich 64 Hits, inkl. *.ini., *.dll usw.!

    Einer baldigen Antwort sehe ich entgegen.

    Hi Zuckerwatte,

    Willkommen im Forum.

    Bei mir befindet sich im Ordner

      C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten

    kein Unterordner namens "Mozilla".

    Auf meinem System (Hinweise findest du hinter den Links in meiner Signatur) liegen Dateien des Firefox im

    Darüberhinaus werden noch Cachedaten ausgelagert, welche standardmäßig in

      %USERPROFILE%\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\
      C:\Dokumente und Einstellungen\WindowsBenutzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox

    abgelegt werden. An anderer Stelle befinden sich bei mir keine Firefoxdateien.

    Have fun,
    NightHawk

    Zitat von Zuckerwatte


    Dann kann ich also davon ausgehen dass ich keinen Besucher auf meiner HD habe, und brauche mir darüber keine Gedanken zu machen, richtig!?


    Nein, nur weil RootkitRevealer keine findet heißt das noch lange nicht das Du nicht doch Rootkits im System hast. Nur RKR hat sie nicht gefunden.

    Es ist z. Zt. fast unmöglich alle Rootkits zu finden, dazu sind sie zu neu und wechseln einfach zu schnell.

    Zusätzlich zu RKR wäre auch noch Blacklight von F-Secure zu empfehlen

    Hallo Zuckerwatte,

    Zitat von Zuckerwatte

    Angefangen hat das ganze nur mit der "firefox.exe", aber mitlerweile hab ich 64 Hits, inkl. *.ini., *.dll usw.!


    Das klingt aber nicht gut. Zur Sicherheit solltest du mit dem Tool "HijackThis" ein Logfile erstellen und unter http://www.hijackthis-forum.de/ auswerten lassen. Kopiere zusätzlich auch die Scan-Ergebnisse von "RootkitRevealer" und "Blacklight" in HijackThis-Thread.

    Wie das funktioniert kannst du unter http://www.hijackthis-forum.de/showthread.php?t=17 nachlesen.

    Gruß

    RootkitRevealer zeigt Dir nicht explizit die Viren (Rootkits) an, sondern stellt nur einen außerordentlichen Scan der versteckten Dateien/Prozesse des Systems dar, die als verdächtig gelten, da sie keine Verbindung zur API herstellen, bzw. die Rückmeldung zu dieser API dahingehend "verbiegen" können, um ihre eigene Existenz im System zur Laufzeit zu verbergen.

    Es ist ohnehin verdammt schwierig ein infiziertes System mit sog. Kernel-Kits zur Laufzeit zu analysieren, da die meisten Scanner (Viren-Scanner, HijackThis) eben genau auf dieser oberflächigen API aufsetzen und nicht in den Kernel eingreifen können.

    Optimalerweise müßtest Du ein separates Laufwerk mounten oder den Scan von einer separaten Festplattenpartition anstossen.

    Ich pers. habe gute Erfahrungen mit dem polnischen Scanner:

    http://www.gmer.net/gmer.zip

    gemacht. Aber auch der operiert nur auf Application-Level.


    Oliver