Malware Removal Information

Ga naar de inhoud

Hoofdmenu

Gmer

Tools > Rootkitscanners

GMER - Rootkit Detector and Remover

Gmer is een rootkitscanner die wanneer het uitgevoerd wordt, controleert op de volgende zaken die door rootkits geplaatst, gebruikt of gemanipuleerd kunnen worden:

  • drivers hooking IDT

  • drivers hooking IRP calls

  • drivers hooking SSDT

  • inline hooks

  • verborgen ADS (alternate data streams)

  • verborgen bestanden

  • verborgen modules

  • verborgen processen

  • verborgen registersleutels

  • verborgen schijf sectoren (Master Boot Record)

  • verborgen services

  • verborgen threads



Ondersteunde besturingssystemen:

Vanaf versie 2.0 biedt Gmer ondersteuning voor de volgende 32-bits en 64-bits besturingssystemen:

  • Windows 2000

  • Windows XP

  • Windows Vsita

  • Windows 7

  • Windows 8



Downloadlinks:

  • als zipfile: gmer.zip  

  • als een willekeurige bestandsnaam: klik


Gebruik:

Wanneer Gmer start voert het een zeer snelle scan uit. Indien het dan een rootkit detecteert zul je al een melding krijgen en kan je deze laten verwijderen.
Krijg je geen melding van rootkitactiviteit, dan kan je de
hieronder opgegeven standaardinstructies volgen die ook op diverse securityfora gebruikt worden.

Standaardinstructies gebruik Gmer:

Downloadt Gmer
en plaats het op je bureaublad.
Het bestand dat je downloadt bestaat uit een willekeurig gekozen combinatie van cijfers en letters. (vb jqb1jln3.exe of ubmp5cd5.exe steeds een combinatie die van 8 cijfers en letters)
Dubbelklik op dit bestand om Gmer te starten.
Krijg je een melding dat er rootkits actief zijn en er wordt gevraagd om een scan uit te voeren, dan sta je dit niet toe.
Aan de rechterkant heb je een aantal opties die je kan uit- of aanvinken. Standaard staat alles aangevinkt, dit laat je zo.
Onder Files zorg je dat "Quick Scan" aangevinkt is.
Haal het vinkje weg bij "show all" ( dit mag niet aangevinkt zijn! )



Klik nu op de "Scan" knop om de rootkitscan met Gmer te starten.
Als de scan klaar is klik je op de knop "Save" en sla je het logje op op je bureaublad.
Om Gmer te sluiten, klik je op de knop "Cancel".
Het logje van Gmer kan gebruikt worden door loglezers voor verdere analyse.

Andere tools / functies in Gmer:

Links boven in de hoek zie je een tabblad Rootkit/Malware met daarnaast een tab met pijltjes.
Klik je op deze tab dan krijg je naast het Rootkit/Malware tabblad ook de volgende tabbladen te zien:

  • Processes

  • Modules

  • Services

  • Files

  • Registry

  • CMD


Op het tabblad Processes kun je actieve processen beëindigen.
Selecteer het
proces dat je wil beëindigen, en klik rechts op de knop "Kill process"
Je kan meerdere processen samen selecteren en vervolgens samen beëindigen.
Een andere optie is
het gebruik van de knop "Kill All".
Indien je een process selecteert, zie je in het onderste venster bij
"Libraries", de dll-bestanden die gebruikt worden door het geselecteerde proces.
In het zelfde venster, op het tabblad
"Threads", zie je welke threads uitgevoerd worden.

Het tabblad
Services toont een overzicht van de services en drivers die op het systeem geïnstalleerd zijn.
Naast de servicenaam wordt ook uitvoerbaar bestand getoond
, het opstarttype en een beschrijving.
Door te rechtsklikken op een service kan je het opstarttype wijzigen of de service verwijderen.

Services of drivers geplaatst door een rootkit, worden getoond.


Klik je op het tabblad Files, dan krijg je een overzicht van de mappen / bestanden die aanwezig zijn op de computer.

Dit is vergelijkbaar met de windows verkenner, alleen zie je hier alle bestanden staan, ook eventuele rootkitbestanden.
Door een bestand te selecteren, kan je dit kopiëren naar een andere locatie, of verwijderen.
Een andere optie is Kill. Deze optie kan je gebruiken om uitvoerbare bestanden te 'killen', te neutraliseren.
Na het 'killen' van een uitvoerbaar bestand herstart je de computer en kan het bestand niet meer geladen worden door windows.

Het tabblad Registry brengt je naar het hart van Windows: het register.
Ook hier kunnen gegevens getoond worden waarvan rootkits gebruikt worden.
Via de knop Export maak je export / backups van registersleutels en registerwaarden.
Dubbelklik je op een registerwaarde dan kan je deze wijzigen.

Via het CMD tabblad kan je bepaalde scripts / commando's uitvoeren.
Eventuele logs verschijnen in het onderste venster.

Terug naar de inhoud | Terug naar het hoofdmenu