Bin im Botnetz? |
Willkommen, Gast ( Anmelden | Registrierung )
Bin im Botnetz? |
13.07.2009, 18:27
Beitrag
#1
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 20 Mitglied seit: 28.05.2009 Mitglieds-Nr.: 7.573 Betriebssystem: windows xp Virenscanner: Kaspersky Firewall: kaspersky |
Hi
Heute habe ich von der T-online diese mail bekommen Sehr geehrte Telekom Kundin, sehr geehrter Telekom Kunde, für Ihr Vertrauen in unser Unternehmen möchten wir uns herzlich bei Ihnen bedanken. Leider haben wir jedoch weiterhin Kenntnis erhalten, dass über Ihren Telekom Zugang unerwünschte Werbemails (Spam-Mails) versendet wurden, worauf wir mit einer Beschränkung der Mailversandmöglichkeiten reagieren mussten. Dies bedeutet für Sie, dass Sie über eMail-Programme wie z. B. Microsoft Outlook Express weiterhin eMails empfangen können, jedoch wurde der Versand von eMails auf T-Online Mailserver beschränkt. Davon unbeschadet und selbstverständlich weiterhin möglich ist der Versand von eMails über Webportale wie z. B. das T-Online eMail Center, welches unter der URL http://www.t-online.de/email erreichbar ist. Wir haben den Laufweg der fraglichen Spam-Mails anhand der Headerdaten ausgewertet und über die IP-Adresse Ihren Telekom Zugang als Einlieferer ermittelt. Die eMails wurden nicht über Ihren Telekom eMail-Account, sondern per Direkteinlieferung über Ihren Telekom Zugang gesendet. Die Direkteinlieferung ist ein typisches Indiz für ein Sicherheitsproblem, nämlich häufig eine Infektion Ihres Rechners mit Schadsoftware wie Viren, Trojanischen Pferden oder Botnetzen. Wir möchten Sie aus diesem Anlass auf unsere Allgemeinen Geschäftsbedingungen hinweisen und bitten Sie, auch in Ihrem eigenen Interesse dafür Sorge zu tragen, dass Ihr Telekom Zugang nicht missbräuchlich genutzt werden kann. Was kann ich jetzt machen ausser Formatieren?Habe Kaspersky 2009 und hat nichts gefunden.Danach habe ich Norton Anti Bot und NIS2009 installiert wieder nichts gefunden.Muß ich nach der Formatirung noch etwas beachten?Komme ich aus diesem Botnetz wieder weg? gruße und Danke |
|
|
13.07.2009, 18:49
Beitrag
#2
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Hallo poste mal ein Hijackthis Log hier mit rein, bitte.
Info´s dazu findest du http://www.rokop-security.de/index.php?showtopic=6235 hier. Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
13.07.2009, 18:50
Beitrag
#3
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Klasse , die Beschränkungen über den Internet Service Provider sind seit 2004 in den AGB´s drin , schön das sowas auch mal zur Anwendung kommt.
@biri37 Du könntest 2 Sachen machen , ein Hijackthis Log anfertigen und dies hier einstellen und du könntest noch einmal GMER ausführen und uns genau Bericht erstatten ob das Programm etwas gefährliches meldet. Hijackthis findest du hier http://www.trendsecure.com/portal/en-US/_d.../HJTInstall.exe GMER findest du hier http://www.gmer.net/ , Auf den Button Download EXE drücken. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
13.07.2009, 18:57
Beitrag
#4
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Und wie hast du dein Kaspersky 2009 eingestellt ?
Mach mal bitte was Voyager, dir geraten hatte zu erst. Eine Anleitung zu den Kaspersky 2009 einstellungen, findest du hier: http://www.trojaner-board.de/61465-anleitu...ity-2009-a.html Vielleicht geht noch eine schärfere Einstellung als dort beschrieben ist. Aber mache Bitte, mal was Voyager dir angeraten hat. Catweazle Der Beitrag wurde von Catweazle bearbeitet: 13.07.2009, 18:58 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
13.07.2009, 19:00
Beitrag
#5
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 20 Mitglied seit: 28.05.2009 Mitglieds-Nr.: 7.573 Betriebssystem: windows xp Virenscanner: Kaspersky Firewall: kaspersky |
Hi danke euch beiden Hijackthis hat glaube ich nichts gefunden.Hier der Log
Catweazle habe danach NIS2009 und Antibot installiert nachdem Kaspersky nichts gefunden hat.Aber NIS und Norton anti bot haben auch nichts gefunden? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:55:16, on 13.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ESB.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Symantec\Norton AntiBot\agent\bin\NABMonitor.exe C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe C:\Programme\TeamViewer\Version4\TeamViewer.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Symantec Intrusion Prevention - {6d53ec84-6aae-4787-aeee-f4628f01010c} - C:\Programme\Norton AntiVirus\Engine\16.0.0.125\IPSBHO.DLL O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NortonAntiBot] "C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {d27cdb6e-ae6d-11cf-96b8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flash...ent/swflash.cab O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\ O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus (norton antivirus) - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe O23 - Service: SymantecAntiBotAgent (symantecantibotagent) - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe O23 - Service: SymantecAntiBotWatcher (symantecantibotwatcher) - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\ O24 - Desktop Component 0: (no name) - http://bd.lilypie.com/IdI3p1.png O24 - Desktop Component 2: (no name) - http://<a%20href="http://lilypie.com"><img%20src="http://bd.lilypie.com/IdI3p1.png"%20alt="Lilypie%20Ich%20erwarte%20ein%20Baby%20Ticker"%20border="0"%20%20/></a> -- End of file - 6062 bytes Der Beitrag wurde von biri37 bearbeitet: 13.07.2009, 19:02 |
|
|
13.07.2009, 19:04
Beitrag
#6
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe
Das dürfte er sein , kannst du das Objekt bitte mal auf http://www.virustotal.com/de/ hochladen und wenn der Scan abgeschlossen ist oben den Link in der Browser-Leiste kopieren und hier einfügen. Und mache bitte noch einmal die GMER Anleitung . ps. ich hatte schon SpamBots im Test auf der virtuellen Maschine und konnte danach dutzende SMTP Verbindungen im Netzwerk beobachten, NAV und NAB hatten hier leider auch nichts beanstandet . Der Beitrag wurde von Voyager bearbeitet: 13.07.2009, 19:10 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
13.07.2009, 19:11
Beitrag
#7
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Viel kann ich nicht dazu sagen, zu dein Hijackthis Log, ABER dir fehlt der SP3 für Windows XP. Und alle nachvolgenden Updates nach SP3 !!!
Catweazle Der Beitrag wurde von Catweazle bearbeitet: 13.07.2009, 19:12 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
13.07.2009, 19:12
Beitrag
#8
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 20 Mitglied seit: 28.05.2009 Mitglieds-Nr.: 7.573 Betriebssystem: windows xp Virenscanner: Kaspersky Firewall: kaspersky |
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe Das dürfte er sein , kannst du das Objekt bitte mal auf http://www.virustotal.com/de/ hochladen und wenn der Scan abgeschlossen ist oben den Link in der Browser-Leiste kopieren und hier einfügen. Und mache bitte noch einmal die GMER Anleitung . ps. ich hatte schon SpamBots im Test auf der virtuellen Maschine und konnte danach dutzende SMTP Verbindungen im Netzwerk beobachten, NAV und NAB hatten hier leider auch nichts beanstandet . Hi Voyager Gmer hat auch gleich was gefunden scannt noch den log füge ich danach hinzu. danke |
|
|
13.07.2009, 20:03
Beitrag
#9
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 20 Mitglied seit: 28.05.2009 Mitglieds-Nr.: 7.573 Betriebssystem: windows xp Virenscanner: Kaspersky Firewall: kaspersky |
Hi ich nochmal also Virustotal hat in ESB.exe nichts gefunden
http://www.virustotal.com/de/analisis/1fd3...b979-1247509294 Und Gmer hat eine Warnung Rootkit Activity gemeldet in Service C:\WINDOWS\System32\drivers\ef1b7fdd.sys (*** hidden *** ) Komplett log GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-07-13 20:56:45 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT 843EA370 ZwAlertResumeThread SSDT 843525E0 ZwAlertThread SSDT 831849F0 ZwAllocateVirtualMemory SSDT 843B6ED0 ZwAssignProcessToJobObject SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwClose [0xF50638A0] <-- ROOTKIT !!! SSDT 84560C80 ZwConnectPort SSDT \SystemRoot\System32\drivers\ef1b7fdd.sys ZwCreateEvent [0xF12828FD] <-- ROOTKIT !!! SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xF1415020] <-- ROOTKIT !!! SSDT 83183F38 ZwCreateMutant SSDT 83183A20 ZwCreateSymbolicLinkObject SSDT 83187D70 ZwCreateThread SSDT 844899C8 ZwDebugActiveProcess SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xF14152A0] <-- ROOTKIT !!! SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xF1415800] <-- ROOTKIT !!! SSDT 83184B48 ZwDuplicateObject SSDT 83184850 ZwFreeVirtualMemory SSDT 84325668 ZwImpersonateAnonymousToken SSDT 843EA480 ZwImpersonateThread SSDT 84373108 ZwLoadDriver SSDT 83184770 ZwMapViewOfSection SSDT 84489630 ZwOpenEvent SSDT \SystemRoot\System32\drivers\ef1b7fdd.sys ZwOpenKey [0xF12809C5] <-- ROOTKIT !!! SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwOpenProcess [0xF50638D0] <-- ROOTKIT !!! SSDT 843EE538 ZwOpenProcessToken SSDT 84368290 ZwOpenSection SSDT 83184C18 ZwOpenThread SSDT 83183AF0 ZwProtectVirtualMemory SSDT 845389D8 ZwResumeThread SSDT 843CD1D0 ZwSetContextThread SSDT 83184618 ZwSetInformationProcess SSDT 843B8248 ZwSetSystemInformation SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xF1415A50] <-- ROOTKIT !!! SSDT 84353290 ZwSuspendProcess SSDT 843D14B0 ZwSuspendThread SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwTerminateProcess [0xF5063980] <-- ROOTKIT !!! SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwTerminateThread [0xF5063A20] <-- ROOTKIT !!! SSDT 84537748 ZwUnmapViewOfSection SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwWriteVirtualMemory [0xF5063AC0] <-- ROOTKIT !!! ---- Kernel code sections - GMER 1.0.15 ---- ? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\System32\drivers\ef1b7fdd.sys Das System kann die angegebene Datei nicht finden. ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs ef1b7fdd.sys AttachedDevice \FileSystem\Ntfs \Ntfs AntiBotFilter.sys (NAB Application Activity Monitor Filter Driver./Symantec Corporation. ) AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Ip ef1b7fdd.sys AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp ef1b7fdd.sys AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\Udp ef1b7fdd.sys AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation) AttachedDevice \Driver\Tcpip \Device\RawIp ef1b7fdd.sys Device \Driver\symtdi \Device\SymTDI ef1b7fdd.sys Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) Device EB714C8A AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\System32\drivers\ef1b7fdd.sys (*** hidden *** ) [SYSTEM] ef1b7fdd <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@ImagePath \SystemRoot\System32\drivers\ef1b7fdd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@Start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@ErrorControl 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@F96ZK6nPB YmF0dXJhbWViZWwuY29t Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@ImagePath \SystemRoot\System32\drivers\ef1b7fdd.sys Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@Type 1 Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@Start 1 Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@ErrorControl 1 Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@F96ZK6nPB YmF0dXJhbWViZWwuY29t Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Type group Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Text Allow paste operations via script Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@PlugUIText @inetcpl.cpl,-4854 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@Type radio Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@Text Enable Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@PlugUIText @inetcpl.cpl,-4803 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@ValueName 1407 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@CheckedValue 0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@DefaultValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@Type radio Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@Text Disable Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@PlugUIText @inetcpl.cpl,-4805 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@ValueName 1407 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@CheckedValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@DefaultValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@Type radio Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@Text Prompt Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@PlugUIText @inetcpl.cpl,-4804 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@ValueName 1407 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@CheckedValue 1 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@DefaultValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@PlugUIText @inetcpl.cpl,-4912 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Text Allow websites to prompt for information using scripted windows Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Type group Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@CheckedValue 0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@DefaultValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@PlugUIText @inetcpl.cpl,-4803 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@Text Enable Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@Type radio Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@ValueName 2105 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@CheckedValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@DefaultValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@PlugUIText @inetcpl.cpl,-4805 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@Text Disable Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@Type radio Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@ValueName 2105 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@PlugUIText @inetcpl.cpl,-4867 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Text Allow status bar updates via script Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Type group Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@CheckedValue 0 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@DefaultValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@PlugUIText @inetcpl.cpl,-4803 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@Text Enable Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@Type radio Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@ValueName 2103 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@CheckedValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@DefaultValue 3 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@PlugUIText @inetcpl.cpl,-4805 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@Text Disable Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@Type radio Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@ValueName 2103 ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\daniele.manuela\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr0QZ9K 366 bytes ---- EOF - GMER 1.0.15 ---- Weiss aber nicht was ich jetzt machen soll?[color="#FF0000"][/color] Der Beitrag wurde von biri37 bearbeitet: 13.07.2009, 20:08 |
|
|
13.07.2009, 20:11
Beitrag
#10
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Starte GMER bis zur Meldung "Rootkit endeckt Vollscan Ja oder Nein" , drücke hier auf NEIN.
jetzt drückst du bei der rot-markierten Erkennung mit der rechten Maustaste das Kontextmenü auf und drückst auf DISABLE SERVICE , bestätigen mit YES und rebootest dein PC . Nach dem Reboot schaust du mit deinem Dateimanager ob du die Datei C:\WINDOWS\System32\drivers\ef1b7fdd.sys löschen kannst. Meines Wissens sollte Norton die Art des Rootkit als Trojan Pandex erkennen , Frage hast du die NIS Signatur Updates überhaupt eingespielt ? Das Problem ist jetzt auch, das Rootkit dient in der Regel dazu Malware auf dem PC unsichtbar zu machen und zu verstecken . Wenn du das Rootkit erfolgreich entfernt hast müssen wir mit der Hijackthis Untersuchung des PC nochmal von vorne beginnen. Edit: @Raman die ESB.exe sieht mir trotzdem nicht koscher aus, was meinst du ? Der Beitrag wurde von Voyager bearbeitet: 13.07.2009, 20:21 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
13.07.2009, 20:22
Beitrag
#11
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Die ESB sollte sauber sein http://www.processlibrary.com/de/directory/files/esb/
Ein Virustotal.com ERgebniss von C:\WINDOWS\System32\drivers\ef1b7fdd.sys waere interessant... -------------------- MfG Ralf
|
|
|
13.07.2009, 20:23
Beitrag
#12
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.492 Mitglied seit: 21.12.2008 Mitglieds-Nr.: 7.287 Betriebssystem: Arch, Win 8 Pro Virenscanner: EAM Firewall: Win |
Der Rechner ist hinüber. Eine Bereinigung aufgrund der veralteten Sicherheitsupdates und dem fehlenden SP3 ist ein "Neu Aufsetzen" dringend anzuraten.
EDIT: Mich würde jetzt noch interessieren, wie sich PrevX hier schlägt. aido Der Beitrag wurde von aido bearbeitet: 13.07.2009, 20:25 -------------------- System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
------------------------------------------------------------------------------------------------------------- serpent's embrace Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA |
|
|
13.07.2009, 20:40
Beitrag
#13
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Ins blaue gefragt, warum hat ein scan mit Kaspersky 2009, nicht angeschlagen ?
Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
13.07.2009, 20:51
Beitrag
#14
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 20 Mitglied seit: 28.05.2009 Mitglieds-Nr.: 7.573 Betriebssystem: windows xp Virenscanner: Kaspersky Firewall: kaspersky |
Hi Danke euch allen Voyager,Catweazle ... dank eurer hilfe
habe die Datei ef1b7fdd.sys gelöscht gekriegt.Habe diesen PC eigentlich meinen Kindern übergeben gehabt .Und dachte für die Kinder langts.Da mein PC einen Defekt hat und im moment nicht so schnell es Reparieren kann(Finanziell)habe ich es seit 1 Woche benutzt.Bis ich die Mail von t-online bekam.Werde meinen PC gleich morgen richten lassen und dann den verseuchten PC für die Kinder formatieren und auf denm neuesten stand bringen (sp3). Hätte nie gedacht das mal sowas passiert. So Virustotal hat ne menge gefunden: http://www.virustotal.com/de/analisis/ce2b...10b0-1247393058 Norton hat alle updates erst vor 10 min erst.Hat aber auch bei Virustotal nichts gefunden.Das komische ist Kaspersky hat bei mir nichts gefunden aber bei Virustotal gefunden?Habe erst KIS 2010 drauf gehabt Habe jetzt mal PREVX 3.0 installiert scannen lassen und hat prompt gleich 3 sachen gefunden : [color="#FF0000"][/color]THREAT ef1b7fdd.sys in C:/windows/system32/drivers THREAT /REGISTRY/Machine/System/ControlSet001/Services/ef1b7fdd THREAT /Registry/Machine/System/CurrentControlSet7sERVICES/ef1.... leider tut es nicht säubern da ich kein Key habe. Danke euch mfg Der Beitrag wurde von biri37 bearbeitet: 13.07.2009, 20:55 |
|
|
13.07.2009, 20:55
Beitrag
#15
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
PrevX findet immernoch die SYS-Datei , hattest du Sie nicht gelöscht gehabt ? Die restlichen 2 Funde sind dann nur die Registry Einträge des abgeschalteten Dienstes. Versuche nochmal die Sys Datei zu löschen .
Vermutlich müssten wir hier aber auch noch die Systemwiederherstellung bereinigen und alle Punkte löschen. Der Beitrag wurde von Voyager bearbeitet: 13.07.2009, 20:57 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
13.07.2009, 20:58
Beitrag
#16
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 20 Mitglied seit: 28.05.2009 Mitglieds-Nr.: 7.573 Betriebssystem: windows xp Virenscanner: Kaspersky Firewall: kaspersky |
PrevX findet immernoch die SYS-Datei , hattest du Sie nicht gelöscht gehabt ? Die restlichen 2 Funde sind dann nur die Registry Einträge des abgeschalteten Dienstes. Doch doch habe es aber vom Papierkorb wiederhergestellt wegen Virustotal und PREVX.Jetzt habe ich es endgültig gelöscht Weiss jetzt aber nicht was ich von Kaspersky2010 und Norton halten soll?zumal bei Virustotal Kaspersky 7.0 scannt. PS:muß ich sonst noch was löschen in der Registry? danke nochmal gruß Der Beitrag wurde von biri37 bearbeitet: 13.07.2009, 20:58 |
|
|
13.07.2009, 20:59
Beitrag
#17
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
ZITAT Das komische ist Kaspersky hat bei mir nichts gefunden aber bei Virustotal gefunden? Das ist halt das Ziel eines Rootkits. Sprich, wenn es einmal aktiv ist, kann es sich sehr effektiv verstecken. Da hilft es auch nicht, ein HIPS (Antibot) zu installieren, wenn der Rechner schon inifziert ist. Nachtrag: Du musst neu aufsetzen und alle Passworte wechseln! -------------------- MfG Ralf
|
|
|
13.07.2009, 21:02
Beitrag
#18
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ZITAT PS:muß ich sonst noch was löschen in der Registry? nicht zwingend notwendig bei einem abgeschalteten Dienst. ZITAT Da hilft es auch nicht, ein HIPS (Antibot) zu installieren, wenn der Rechner schon inifziert ist. Antibot sieht keine Rootkits , kann ich bestätigen . Dafür sieht Antibot in der Regel aber genau hin wenn man versucht einen Rootkit zu installieren, irgendwo muss der ja herkommen. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
13.07.2009, 21:10
Beitrag
#19
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 20 Mitglied seit: 28.05.2009 Mitglieds-Nr.: 7.573 Betriebssystem: windows xp Virenscanner: Kaspersky Firewall: kaspersky |
Okay Danke euch .
grueße mfg |
|
|
13.07.2009, 21:16
Beitrag
#20
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
@ biri37
Was machst du jetzt ? Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 30.05.2024, 12:40 |