Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V   1 2 >  
Reply to this topicStart new topic
> Bin im Botnetz?
biri37
Beitrag 13.07.2009, 18:27
Beitrag #1



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 20
Mitglied seit: 28.05.2009
Mitglieds-Nr.: 7.573

Betriebssystem:
windows xp
Virenscanner:
Kaspersky
Firewall:
kaspersky



Hi

Heute habe ich von der T-online diese mail bekommen

Sehr geehrte Telekom Kundin,
sehr geehrter Telekom Kunde,

für Ihr Vertrauen in unser Unternehmen möchten wir uns herzlich bei
Ihnen bedanken.
Leider haben wir jedoch weiterhin Kenntnis erhalten, dass über Ihren
Telekom Zugang unerwünschte Werbemails (Spam-Mails) versendet wurden,
worauf wir mit einer Beschränkung der Mailversandmöglichkeiten
reagieren mussten.

Dies bedeutet für Sie, dass Sie über eMail-Programme wie z. B. Microsoft
Outlook Express weiterhin eMails empfangen können, jedoch wurde der
Versand von eMails auf T-Online Mailserver beschränkt. Davon unbeschadet
und selbstverständlich weiterhin möglich ist der Versand von eMails über
Webportale wie z. B. das T-Online eMail Center, welches unter der URL
http://www.t-online.de/email erreichbar ist.

Wir haben den Laufweg der fraglichen Spam-Mails anhand der Headerdaten
ausgewertet und über die IP-Adresse Ihren Telekom Zugang als Einlieferer
ermittelt. Die eMails wurden nicht über Ihren Telekom eMail-Account,
sondern per Direkteinlieferung über Ihren Telekom Zugang gesendet. Die
Direkteinlieferung ist ein typisches Indiz für ein Sicherheitsproblem,
nämlich häufig eine Infektion Ihres Rechners mit Schadsoftware wie
Viren, Trojanischen Pferden oder Botnetzen.

Wir möchten Sie aus diesem Anlass auf unsere Allgemeinen
Geschäftsbedingungen hinweisen und bitten Sie, auch in Ihrem eigenen
Interesse dafür Sorge zu tragen, dass Ihr Telekom Zugang nicht
missbräuchlich genutzt werden kann.


Was kann ich jetzt machen ausser Formatieren?Habe Kaspersky 2009 und hat nichts gefunden.Danach habe ich Norton Anti Bot und NIS2009 installiert wieder nichts gefunden.Muß ich nach der Formatirung noch etwas beachten?Komme ich aus diesem Botnetz wieder weg?

gruße und Danke
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 13.07.2009, 18:49
Beitrag #2



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



Hallo poste mal ein Hijackthis Log hier mit rein, bitte.

Info´s dazu findest du http://www.rokop-security.de/index.php?showtopic=6235 hier.

Catweazle


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 13.07.2009, 18:50
Beitrag #3



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



Klasse , die Beschränkungen über den Internet Service Provider sind seit 2004 in den AGB´s drin , schön das sowas auch mal zur Anwendung kommt.

@biri37

Du könntest 2 Sachen machen , ein Hijackthis Log anfertigen und dies hier einstellen und du könntest noch einmal GMER ausführen und uns genau Bericht erstatten ob das Programm etwas gefährliches meldet.

Hijackthis findest du hier http://www.trendsecure.com/portal/en-US/_d.../HJTInstall.exe

GMER findest du hier http://www.gmer.net/ , Auf den Button Download EXE drücken.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 13.07.2009, 18:57
Beitrag #4



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



Und wie hast du dein Kaspersky 2009 eingestellt ?

Mach mal bitte was Voyager, dir geraten hatte zu erst.

Eine Anleitung zu den Kaspersky 2009 einstellungen, findest du hier: http://www.trojaner-board.de/61465-anleitu...ity-2009-a.html

Vielleicht geht noch eine schärfere Einstellung als dort beschrieben ist.

Aber mache Bitte, mal was Voyager dir angeraten hat.

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 13.07.2009, 18:58


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
biri37
Beitrag 13.07.2009, 19:00
Beitrag #5


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 20
Mitglied seit: 28.05.2009
Mitglieds-Nr.: 7.573

Betriebssystem:
windows xp
Virenscanner:
Kaspersky
Firewall:
kaspersky



Hi danke euch beiden Hijackthis hat glaube ich nichts gefunden.Hier der Log

Catweazle habe danach NIS2009 und Antibot installiert nachdem Kaspersky nichts gefunden hat.Aber NIS und Norton anti bot haben auch nichts gefunden?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:16, on 13.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ESB.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Symantec\Norton AntiBot\agent\bin\NABMonitor.exe
C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6d53ec84-6aae-4787-aeee-f4628f01010c} - C:\Programme\Norton AntiVirus\Engine\16.0.0.125\IPSBHO.DLL
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NortonAntiBot] "C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {d27cdb6e-ae6d-11cf-96b8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flash...ent/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus (norton antivirus) - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: SymantecAntiBotAgent (symantecantibotagent) - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher (symantecantibotwatcher) - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\
O24 - Desktop Component 0: (no name) - http://bd.lilypie.com/IdI3p1.png
O24 - Desktop Component 2: (no name) - http://<a%20href="http://lilypie.com"><img%20src="http://bd.lilypie.com/IdI3p1.png"%20alt="Lilypie%20Ich%20erwarte%20ein%20Baby%20Ticker"%20border="0"%20%20/></a>

--
End of file - 6062 bytes

Der Beitrag wurde von biri37 bearbeitet: 13.07.2009, 19:02
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 13.07.2009, 19:04
Beitrag #6



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe

Das dürfte er sein , kannst du das Objekt bitte mal auf http://www.virustotal.com/de/ hochladen und wenn der Scan abgeschlossen ist oben den Link in der Browser-Leiste kopieren und hier einfügen.
Und mache bitte noch einmal die GMER Anleitung .


ps. ich hatte schon SpamBots im Test auf der virtuellen Maschine und konnte danach dutzende SMTP Verbindungen im Netzwerk beobachten, NAV und NAB hatten hier leider auch nichts beanstandet .

Der Beitrag wurde von Voyager bearbeitet: 13.07.2009, 19:10


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 13.07.2009, 19:11
Beitrag #7



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



Viel kann ich nicht dazu sagen, zu dein Hijackthis Log, ABER dir fehlt der SP3 für Windows XP. Und alle nachvolgenden Updates nach SP3 !!!

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 13.07.2009, 19:12


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
biri37
Beitrag 13.07.2009, 19:12
Beitrag #8


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 20
Mitglied seit: 28.05.2009
Mitglieds-Nr.: 7.573

Betriebssystem:
windows xp
Virenscanner:
Kaspersky
Firewall:
kaspersky



ZITAT(Voyager @ 13.07.2009, 20:03) *
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe

Das dürfte er sein , kannst du das Objekt bitte mal auf http://www.virustotal.com/de/ hochladen und wenn der Scan abgeschlossen ist oben den Link in der Browser-Leiste kopieren und hier einfügen.
Und mache bitte noch einmal die GMER Anleitung .


ps. ich hatte schon SpamBots im Test auf der virtuellen Maschine und konnte danach dutzende SMTP Verbindungen im Netzwerk beobachten, NAV und NAB hatten hier leider auch nichts beanstandet .



Hi Voyager

Gmer hat auch gleich was gefunden scannt noch den log füge ich danach hinzu.

danke
Go to the top of the page
 
+Quote Post
biri37
Beitrag 13.07.2009, 20:03
Beitrag #9


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 20
Mitglied seit: 28.05.2009
Mitglieds-Nr.: 7.573

Betriebssystem:
windows xp
Virenscanner:
Kaspersky
Firewall:
kaspersky



Hi ich nochmal also Virustotal hat in ESB.exe nichts gefunden
http://www.virustotal.com/de/analisis/1fd3...b979-1247509294

Und Gmer hat eine Warnung Rootkit Activity gemeldet in
Service C:\WINDOWS\System32\drivers\ef1b7fdd.sys (*** hidden *** )

Komplett log

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-13 20:56:45
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT 843EA370 ZwAlertResumeThread
SSDT 843525E0 ZwAlertThread
SSDT 831849F0 ZwAllocateVirtualMemory
SSDT 843B6ED0 ZwAssignProcessToJobObject
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwClose [0xF50638A0] <-- ROOTKIT !!!
SSDT 84560C80 ZwConnectPort
SSDT \SystemRoot\System32\drivers\ef1b7fdd.sys ZwCreateEvent [0xF12828FD] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xF1415020] <-- ROOTKIT !!!
SSDT 83183F38 ZwCreateMutant
SSDT 83183A20 ZwCreateSymbolicLinkObject
SSDT 83187D70 ZwCreateThread
SSDT 844899C8 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xF14152A0] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xF1415800] <-- ROOTKIT !!!
SSDT 83184B48 ZwDuplicateObject
SSDT 83184850 ZwFreeVirtualMemory
SSDT 84325668 ZwImpersonateAnonymousToken
SSDT 843EA480 ZwImpersonateThread
SSDT 84373108 ZwLoadDriver
SSDT 83184770 ZwMapViewOfSection
SSDT 84489630 ZwOpenEvent
SSDT \SystemRoot\System32\drivers\ef1b7fdd.sys ZwOpenKey [0xF12809C5] <-- ROOTKIT !!!
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwOpenProcess [0xF50638D0] <-- ROOTKIT !!!
SSDT 843EE538 ZwOpenProcessToken
SSDT 84368290 ZwOpenSection
SSDT 83184C18 ZwOpenThread
SSDT 83183AF0 ZwProtectVirtualMemory
SSDT 845389D8 ZwResumeThread
SSDT 843CD1D0 ZwSetContextThread
SSDT 83184618 ZwSetInformationProcess
SSDT 843B8248 ZwSetSystemInformation
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xF1415A50] <-- ROOTKIT !!!
SSDT 84353290 ZwSuspendProcess
SSDT 843D14B0 ZwSuspendThread
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwTerminateProcess [0xF5063980] <-- ROOTKIT !!!
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwTerminateThread [0xF5063A20] <-- ROOTKIT !!!
SSDT 84537748 ZwUnmapViewOfSection
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwWriteVirtualMemory [0xF5063AC0] <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\System32\drivers\ef1b7fdd.sys Das System kann die angegebene Datei nicht finden.

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs ef1b7fdd.sys

AttachedDevice \FileSystem\Ntfs \Ntfs AntiBotFilter.sys (NAB Application Activity Monitor Filter Driver./Symantec Corporation. )
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp ef1b7fdd.sys

Device \Driver\symtdi \Device\SymTDI ef1b7fdd.sys
Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
Device EB714C8A

AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\System32\drivers\ef1b7fdd.sys (*** hidden *** ) [SYSTEM] ef1b7fdd <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@ImagePath \SystemRoot\System32\drivers\ef1b7fdd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@F96ZK6nPB YmF0dXJhbWViZWwuY29t
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@ImagePath \SystemRoot\System32\drivers\ef1b7fdd.sys
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@F96ZK6nPB YmF0dXJhbWViZWwuY29t
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Text Allow paste operations via script
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@PlugUIText @inetcpl.cpl,-4854
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@Text Prompt
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@PlugUIText @inetcpl.cpl,-4804
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@CheckedValue 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@PlugUIText @inetcpl.cpl,-4912
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Text Allow websites to prompt for information using scripted windows
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@ValueName 2105
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@ValueName 2105
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@PlugUIText @inetcpl.cpl,-4867
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Text Allow status bar updates via script
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@ValueName 2103
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@ValueName 2103

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\daniele.manuela\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr0QZ9K 366 bytes

---- EOF - GMER 1.0.15 ----

Weiss aber nicht was ich jetzt machen soll?[color="#FF0000"][/color]

Der Beitrag wurde von biri37 bearbeitet: 13.07.2009, 20:08
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 13.07.2009, 20:11
Beitrag #10



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



Starte GMER bis zur Meldung "Rootkit endeckt Vollscan Ja oder Nein" , drücke hier auf NEIN.
jetzt drückst du bei der rot-markierten Erkennung mit der rechten Maustaste das Kontextmenü auf und drückst auf DISABLE SERVICE , bestätigen mit YES und rebootest dein PC .
Nach dem Reboot schaust du mit deinem Dateimanager ob du die Datei C:\WINDOWS\System32\drivers\ef1b7fdd.sys löschen kannst.

Meines Wissens sollte Norton die Art des Rootkit als Trojan Pandex erkennen , Frage hast du die NIS Signatur Updates überhaupt eingespielt ?

Das Problem ist jetzt auch, das Rootkit dient in der Regel dazu Malware auf dem PC unsichtbar zu machen und zu verstecken . Wenn du das Rootkit erfolgreich entfernt hast müssen wir mit der Hijackthis Untersuchung des PC nochmal von vorne beginnen.

Edit:

@Raman

die ESB.exe sieht mir trotzdem nicht koscher aus, was meinst du ?

Der Beitrag wurde von Voyager bearbeitet: 13.07.2009, 20:21


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
raman
Beitrag 13.07.2009, 20:22
Beitrag #11



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Die ESB sollte sauber sein http://www.processlibrary.com/de/directory/files/esb/

Ein Virustotal.com ERgebniss von C:\WINDOWS\System32\drivers\ef1b7fdd.sys waere interessant...


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
aido
Beitrag 13.07.2009, 20:23
Beitrag #12



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.492
Mitglied seit: 21.12.2008
Mitglieds-Nr.: 7.287

Betriebssystem:
Arch, Win 8 Pro
Virenscanner:
EAM
Firewall:
Win



Der Rechner ist hinüber. Eine Bereinigung aufgrund der veralteten Sicherheitsupdates und dem fehlenden SP3 ist ein "Neu Aufsetzen" dringend anzuraten.

EDIT: Mich würde jetzt noch interessieren, wie sich PrevX hier schlägt.

aido


Der Beitrag wurde von aido bearbeitet: 13.07.2009, 20:25


--------------------
System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
-------------------------------------------------------------------------------------------------------------
serpent's embrace
Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines

The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY
frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 13.07.2009, 20:40
Beitrag #13



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



Ins blaue gefragt, warum hat ein scan mit Kaspersky 2009, nicht angeschlagen ?

Catweazle


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
biri37
Beitrag 13.07.2009, 20:51
Beitrag #14


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 20
Mitglied seit: 28.05.2009
Mitglieds-Nr.: 7.573

Betriebssystem:
windows xp
Virenscanner:
Kaspersky
Firewall:
kaspersky



Hi Danke euch allen Voyager,Catweazle ... dank eurer hilfe

habe die Datei ef1b7fdd.sys gelöscht gekriegt.Habe diesen PC eigentlich meinen Kindern übergeben gehabt .Und dachte für die Kinder langts.Da mein PC einen Defekt hat und im moment nicht so schnell es Reparieren kann(Finanziell)habe ich es seit 1 Woche benutzt.Bis ich die Mail von t-online bekam.Werde meinen PC gleich morgen richten lassen und dann den verseuchten PC für die Kinder formatieren und auf denm neuesten stand bringen (sp3).
Hätte nie gedacht das mal sowas passiert.


So Virustotal hat ne menge gefunden:
http://www.virustotal.com/de/analisis/ce2b...10b0-1247393058

Norton hat alle updates erst vor 10 min erst.Hat aber auch bei Virustotal nichts gefunden.Das komische ist Kaspersky hat bei mir nichts gefunden aber bei Virustotal gefunden?Habe erst KIS 2010 drauf gehabt

Habe jetzt mal PREVX 3.0 installiert scannen lassen und hat prompt gleich 3 sachen gefunden :

[color="#FF0000"][/color]THREAT ef1b7fdd.sys in C:/windows/system32/drivers
THREAT /REGISTRY/Machine/System/ControlSet001/Services/ef1b7fdd
THREAT /Registry/Machine/System/CurrentControlSet7sERVICES/ef1....

leider tut es nicht säubern da ich kein Key habe.

Danke euch

mfg

Der Beitrag wurde von biri37 bearbeitet: 13.07.2009, 20:55
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 13.07.2009, 20:55
Beitrag #15



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



PrevX findet immernoch die SYS-Datei , hattest du Sie nicht gelöscht gehabt ? Die restlichen 2 Funde sind dann nur die Registry Einträge des abgeschalteten Dienstes. Versuche nochmal die Sys Datei zu löschen .

Vermutlich müssten wir hier aber auch noch die Systemwiederherstellung bereinigen und alle Punkte löschen.

Der Beitrag wurde von Voyager bearbeitet: 13.07.2009, 20:57


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
biri37
Beitrag 13.07.2009, 20:58
Beitrag #16


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 20
Mitglied seit: 28.05.2009
Mitglieds-Nr.: 7.573

Betriebssystem:
windows xp
Virenscanner:
Kaspersky
Firewall:
kaspersky



ZITAT(Voyager @ 13.07.2009, 21:54) *
PrevX findet immernoch die SYS-Datei , hattest du Sie nicht gelöscht gehabt ? Die restlichen 2 Funde sind dann nur die Registry Einträge des abgeschalteten Dienstes.


Doch doch habe es aber vom Papierkorb wiederhergestellt wegen Virustotal und PREVX.Jetzt habe ich es endgültig gelöscht smile.gif

Weiss jetzt aber nicht was ich von Kaspersky2010 und Norton halten soll?zumal bei Virustotal Kaspersky 7.0 scannt.


PS:muß ich sonst noch was löschen in der Registry?

danke nochmal gruß

Der Beitrag wurde von biri37 bearbeitet: 13.07.2009, 20:58
Go to the top of the page
 
+Quote Post
raman
Beitrag 13.07.2009, 20:59
Beitrag #17



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



ZITAT
Das komische ist Kaspersky hat bei mir nichts gefunden aber bei Virustotal gefunden?


Das ist halt das Ziel eines Rootkits. Sprich, wenn es einmal aktiv ist, kann es sich sehr effektiv verstecken. Da hilft es auch nicht, ein HIPS (Antibot) zu installieren, wenn der Rechner schon inifziert ist.

Nachtrag: Du musst neu aufsetzen und alle Passworte wechseln!


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 13.07.2009, 21:02
Beitrag #18



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



ZITAT
PS:muß ich sonst noch was löschen in der Registry?


nicht zwingend notwendig bei einem abgeschalteten Dienst.


ZITAT
Da hilft es auch nicht, ein HIPS (Antibot) zu installieren, wenn der Rechner schon inifziert ist.


Antibot sieht keine Rootkits , kann ich bestätigen . Dafür sieht Antibot in der Regel aber genau hin wenn man versucht einen Rootkit zu installieren, irgendwo muss der ja herkommen.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
biri37
Beitrag 13.07.2009, 21:10
Beitrag #19


Threadersteller

War schon mal da
*

Gruppe: Mitglieder
Beiträge: 20
Mitglied seit: 28.05.2009
Mitglieds-Nr.: 7.573

Betriebssystem:
windows xp
Virenscanner:
Kaspersky
Firewall:
kaspersky



Okay Danke euch .


grueße mfg
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 13.07.2009, 21:16
Beitrag #20



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



@ biri37

Was machst du jetzt ?


Catweazle


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post

2 Seiten V   1 2 >
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 06:06
Impressum