Rootkit?

jepewe · 31 aug 2006

Ik kwam in mijn register wat sleutels tegen van EWIDO die niet te verwijderen zijn en met de volgende inhoud:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWIDO_SECURITY_SUITE_DRIVER]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWIDO_SECURITY_SUITE_DRIVER\0000]
"Service"="ewido security suite driver"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="ewido security suite driver"
"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EWIDO_SECURITY_SUITE_DRIVER\0000\LogConf]

Nu zie ik daarin steeds de node :"Root" terugkeren en ik vraag me dus af of dit wellicht zo'n beruchte rootkit betreft
Joop

crash · 31 aug 2006

Mischien even je vraag op het Spyware forum Nucia plaatsen, daar zitten een hoop experts op dat gebied:
www.nucia.nl/forum

jepewe · 1 sep 2006

Bedankt Crash. Dat heb ik gedaan, vooralsnog helaas zonder succes. Ik maak mij toch enigszins zorgen over registraties die in het microsoftregister voorkomen en niet te verwijderen zijn. Ik had ewido reeds geruime tijd op mijn computer staan, dus een simpel systeemherstel gaat te ver terug om deze registraties ongedaan te maken. Het is tenslotte mijn computer en ik wil toch zelf kunnen bepalen wat er wel en niet op mag/moet staan.... Voorlopig zal ik dit topic nog niet sluiten, want ik weet niet of er nog een bevredigend antwoord kan komen.
Joop

Lange Pier · 1 sep 2006

Met dit progje kun je rootkit's achterhalen, let wel, ze zijn er ook die niet te scannen zijn.

Uitleg.

maestro12 · 1 sep 2006

Al eens geprobeerd in veilige modus de waarden te verwijderen.
Overigens lijkt het me een normale actie van Ewido dat deze niet zomaar te vewijderen is, ook kwaadwillende progjes kunnen het dan niet zomaar verwijderen c.q. uitschakelen. Dit komt wel vaker voor bij beveiligings programma's (denk eens aan NAV waarvoor een speciale tool nodig is om deze geheel uit het register te krijgen)

crash · 2 sep 2006

Buffy zei:
Ewido ís een uitstekend programma. Die "LEGACY_" sleutels blijven in het register achter vanwege een machtigingenkwestie. Dat is geen probleem; integendeel, het is juist een beveiliging. Het beste kun je ze rustig laten staan. Wil je ze per se verwijderen, dan kan dat wel (ik kan je wel vertellen hoe), maar het heeft geen enkele zin. En soms kan het ook problemen geven.

Bron:
http://www.nucia.nl/forum/showthread.php?p=161712#post161712

jepewe · 2 sep 2006

Dank u allen voor het meedenken. De laatste reactie van Crash was een antwoord van Buffy op mijn topic in Nucia/ASO forums. Ik kan dus niet anders doen dan mij erbij neer te leggen en deze vraag als beantwoord af te sluiten.
Joop

Lange Pier · 2 sep 2006

Deze haalt de schadelijke eruit, de systeem rootkits blijven gewoon bestaan.

Rootkit?

jepewe

Gebruiker

crash

Verenigingslid

jepewe

Gebruiker

Lange Pier

Inventaris

maestro12

Inventaris

crash

Verenigingslid

jepewe

Gebruiker

Lange Pier

Inventaris

Nieuwste berichten

Wij waarderen jouw privacy