SDFix - Malware Scanner

[Paule]

Autor: bregovic

SDFix - Malware Scanner





SDFix ist ein kostenloses Tool, um Malware zu erkennen und zu beseitigen. Neben der eigenen Engine können auch Überprüfungen mit folgenden Kommandozeilen Scannern durchgeführt werden:

• a-squared
• Sophos
• Norman
• Kaspersky AVP Tool

Installation
Nachdem ihr SDFix heruntergeladen habt, muss es installiert werden. Es handelt sich hierbei um ein selbst extrahierendes Archiv, welches sich nach dem Entpacken installiert.
Ihr findet das Programm hinterher unter %systemdrive%\SDFix.

Scan mit der eigenen Engine
Die SDFix eigene Engine kann nur im abgesicherten Modus genutzt werden. Bitte startet den Rechner im abgesicherten Modus starten und im Verzeichnis %systemdrive%\SDFix die Datei RunThis.bat doppelklicken.


Bild1


Es öffnet sich ein blaues Fenster. Um den Scan zu starten, tippt "y" ein und drückt die "Enter" Taste.


Bild2


Der Scan kann, je nach Datenmenge, etwas länger dauern.


Bild3


Nach dem Scan muss der Rechner neu gestartet werden, einfach die "Enter" Taste drücken. Der Rechner muss nun nicht mehr im abgesicherten Modus starten!


Bild4


Wenn der Rechner wieder hochgefahren ist, startet "Gmer" einen Rootkit Scan.


Bild5


Bitte mit der "Enter" Taste beenden, danach wird das Log angezeigt.


Bild6


Beispiel Log SDFix

Code:

SDFix: Version 1.240 
Run by CS on 22.02.2010 at 10:38
 
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
 
Checking Services :
 
Restoring Default Security Values
Restoring Default Hosts File
 
Rebooting
 
Checking Files : 
 
Trojan Files Found:
 
C:\WINDOWS\services.exe - Deleted
 
 
Removing Temp Files
 
ADS Check :
 
                                 Final Check :
 
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-22 10:43:05
Windows 5.1.2600 Service Pack 3 NTFS
 
scanning hidden processes ...
 
scanning hidden services & system hive ...
 
scanning hidden registry entries ...
 
scanning hidden files ...
 
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
 
Remaining Services :
 
 
Authorized Application Key Export:
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 
Remaining Files :
 
 
File Backups: - C:\SDFix\backups\backups.zip
 
Files with Hidden Attributes :
 
 
Finished!

SDFix bietet auch die Möglichkeit, Scans mit Kommandozeilen Scannern verschiedener Drittanbieter durchzuführen. Leider funktionieren derzeit nur "a-squared" und "Sophos". Für das AVP Tool von Kaspersky schaut euch bitte das separate Tutorial an.


a-squared
Wählt hierzu bitte die Option "1" und drückt die "Enter" Taste.


Bild7


a-squared wird heruntergeladen.


Bild8


Nun die "Enter" Taste drücken.


Bild9

a-squared wird entpackt.


Bild10


Jetzt die Option "3" wählen, um den Fullscan (heuristisch) zu starten.


Bild11


Der Scan läuft.


Bild12

Beispiel Log a-squared.

Code:

a-squared Command Line Scanner - Version 4.5
Last update: N/A
 
Scan settings:
 
Objects:           Memory, Traces, Cookies, C:
Scan archives:     On
Heuristics:        On
ADS Scan:          On
 
Scan start:        22.02.2010 11:48:31
 
c:\windows\services.exe     detected: Trace.File.Backdoor.******.RC!A2
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> service     detected: Trace.Registry.Katien!A2
C:\Dokumente und Einstellungen\CS\Cookies\cs@doubleclick[1].txt     detected: Trace.TrackingCookie.doubleclick!A2
C:\Dokumente und Einstellungen\CS\Eigene Dateien\Email-Worm.Win32.NetSky.a\Email-Worm.Win32.NetSky.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Dokumente und Einstellungen\CS\Eigene Dateien\Email-Worm.Win32.NetSky.a.zip/Email-Worm.Win32.NetSky.a     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\angels.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\cool screensaver.scr     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\angels.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\cool screensaver.scr     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\dictionary.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\dolly_buster.jpg.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\doom2.doc.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\e-book.archive.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\e.book.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\eminem - lick my pussy.mp3.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\hardcore porn.jpg.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\how to hack.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\matrix.scr     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\max payne 2.crack.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\nero.7.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\office_crack.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\photoshop 9 crack.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\porno.scr     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\programming basics.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\rfc compilation.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\serial.txt.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\sex sex sex sex.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\strippoker.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\virii.scr     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\win longhorn.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\winxp_crack.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\dictionary.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\dolly_buster.jpg.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\doom2.doc.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\e-book.archive.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\e.book.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\eminem - lick my pussy.mp3.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\hardcore porn.jpg.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\how to hack.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\matrix.scr     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\max payne 2.crack.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\angels.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\cool screensaver.scr     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\dictionary.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\dolly_buster.jpg.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\doom2.doc.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\e-book.archive.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\e.book.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\eminem - lick my pussy.mp3.pif     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\hardcore porn.jpg.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\how to hack.doc.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\matrix.scr     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\max payne 2.crack.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\nero.7.exe     detected: Email-Worm.Win32.NetSky.A!IK
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo\office_crack.exe     detected: Email-Worm.Win32.NetSky.A!IK
 
 
Scanned
 
Files:             26966
Traces:            381389
Cookies:           11
Processes:         19
 
Found              
 
Files:             754
Traces:            2
Cookies:           1
Processes:         0
 
Quarantined        
 
Files:             754
Traces:            1
Cookies:           1
Processes:         0
 
Scan end:          22.02.2010 12:04:58
Scan time:         0:16:27

Sophos
Um Sophos zu nutzen, muss die Option "3" gewählt werden.


Bild13


Der nächste Schritt entspicht dem, wie es bei a-squared praktiziert wurde. Allerdings muss vor dem Scann das Entpacken bestätigt werden. Der Speicherort darf nicht verändert werden!


Bild14


Mit der Option "4" den Fullscan starten.


Bild15


Scan läuft


Bild16


Beispiel Log Sophos

Code:

Sophos Anti-Virus
Version 4.50.0 [Win32/Intel]
Virus data version 4.50E, February 2010
Includes detection for 1372933 viruses, trojans and worms
Copyright (c) 1989-2010 Sophos Plc. All rights reserved.
 
System time 12:39:46, System date 22 February 2010
Command line qualifiers are: -f -nb -dn --stop-scan -idedir=C:\SDFix\IDE -p=C:\SDFix\SophosReport.txt
 
Full Scanning
 
>>> Virus 'W32/Netsky-A' found in file C:\Dokumente und Einstellungen\CS\Eigene Dateien\Email-Worm.Win32.NetSky.a\Email-Worm.Win32.NetSky.exe
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\angels.pif
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\cool screensaver.scr
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\angels.pif
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\cool screensaver.scr
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\dictionary.doc.exe
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\dolly_buster.jpg.pif
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\doom2.doc.pif
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\e-book.archive.doc.exe
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\e.book.doc.exe
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\eminem - lick my pussy.mp3.pif
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\hardcore porn.jpg.exe
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\how to hack.doc.exe
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\matrix.scr
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\max payne 2.crack.exe
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\nero.7.exe
>>> Virus 'W32/Netsky-A' found in file C:\Programme\Gemeinsame Dateien\Microsoft Shared\DAO\office_crack.exe
 
 
1 boot sector swept.
14013 files swept in 11 minutes and 0 seconds.
701 viruses were discovered.
701 files out of 14013 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.

Falls ihr noch weitere Hilfestellungen benötigt oder Fragen habt, erstellt bitte hier ein neues Thema.