Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Spyware Plagegeister Bekämpfen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.02.2006, 07:27   #1
wisky
 
Spyware Plagegeister Bekämpfen - Standard

Spyware Plagegeister Bekämpfen



Hallo Trojaner-Board,
ich habe einen Scan mit dem svv - tool (-> invisiblethings.org) durchgeführt und dabei folgendes Ergebnis erhalten:

C:\Dokumente und Einstellungen\andi\Desktop\svv-2.2>svv check /m
ntoskrnl.exe (804d7000 - 806eba00)... suspected! (verdict = 5).
module ntoskrnl.exe [0x804d7000 - 0x806eba00]:
0x804db03d (section .text) [RtlPrefetchMemoryNonTemporal()+0] 1 byte(s): exc
lusion filter: single byte modification
file :c3
memory :90
verdict = 1

0x804dbaa2 (section .text) 18 byte(s): exclusion filter: KeFlushCurrentTb()
file :d8 0f 22 d8 c3 0f 20 e0 25 7f ff ff ff 0f 22 e0 0d 80
memory :e0 25 7f ff ff ff 0f 22 e0 0d 80 00 00 00 0f 22 e0 c3
verdict = 1

0x804dbaba (section .text) 1 byte(s): exclusion filter: single byte modifica
tion
file :c3
memory :00
verdict = 1

0x804de8ea (section .text) 1 byte(s): exclusion filter: single byte modifica
tion
file :05
memory :06
verdict = 1

0x804e270c [KiServiceTable[25]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd818 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :49 6b 56 80
memory :18 d8 7c f7
verdict = 2

0x804e274c [KiServiceTable[41]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd7d0 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :61 e7 56 80
memory :d0 d7 7c f7
verdict = 2

0x804e275c [KiServiceTable[45]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77c1a20 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :b8 77 5b 80
memory :20 1a 7c f7
verdict = 2

0x804e27c4 [KiServiceTable[71]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77c22a8 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :68 ee 56 80
memory :a8 22 7c f7
verdict = 2

0x804e27cc [KiServiceTable[73]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd910 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :28 eb 57 80
memory :10 d9 7c f7
verdict = 2

0x804e2878 [KiServiceTable[116]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77e7b40 is inside a347bus.sys module [0xf77e6000-0xf780e000]
target module path: a347bus.sys
file :e3 0c 57 80
memory :40 7b 7e f7
verdict = 2

0x804e2884 [KiServiceTable[119]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd794 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :fb 7a 56 80
memory :94 d7 7c f7
verdict = 2

0x804e2928 [KiServiceTable[160]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77c22c8 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :71 eb 56 80
memory :c8 22 7c f7
verdict = 2

0x804e296c [KiServiceTable[177]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd866 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :bb b0 56 80
memory :66 d8 7c f7
verdict = 2

0x804e2a6c [KiServiceTable[241]] 4 byte(s):
KiServiceTable HOOK:
address 0xf77cd0b0 is inside d347bus.sys module [0xf77c0000-0xf77e6000]
target module path: d347bus.sys
file :27 55 66 80
memory :b0 d0 7c f7
verdict = 2

IDT[6] points to 0xf1c2916d which is inside Haspnt.sys module [0xf1c26000-0xf1c
32000]
target module path: \??\C:\WINDOWS\System32\drivers\Haspnt.sys
verdict = 5
UNFIXABLE!

IDT[14] points to 0xf1c28fc2 which is inside Haspnt.sys module [0xf1c26000-0xf1
c32000]
target module path: \??\C:\WINDOWS\System32\drivers\Haspnt.sys
verdict = 5
UNFIXABLE!

module ntoskrnl.exe: end of details

SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!

Voller Entsetzen über dieses erschreckende Ergebnis habe ich einen e-scan durchgeführt, wobei ich in der Virus Log Information folgende Einträge hatte:

Object "bridge Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediamotor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediamotor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Weil ich befürchte mir ein Rootkit eingefangen zu haben habe ich einen Scan mit RootkitRevealer durchgeführt:

HKLM\SOFTWARE\Classes\gopher 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\gopher\DefaultIcon 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\gopher\shell 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\gopher\shell\open 09.02.2006 04:28 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\gopher\shell\open\command 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 20.01.2005 21:18 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\telnet 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\telnet\DefaultIcon 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\telnet\shell 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\telnet\shell\open 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\telnet\shell\open\command 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole\AppCompat 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Ole\NONREDIST 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc 08.02.2006 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\ClientProtocols 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\NameService 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\NetBios 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Rpc\SecurityService 02.01.2005 18:17 0 bytes Security mismatch.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 20.01.2005 21:21 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 20.01.2005 21:22 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 08.02.2006 18:17 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 08.02.2006 18:17 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 06.10.2005 19:58 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf43 11.12.2004 16:12 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\E04822AD18D472EA5B582E6E6F8C6B9A 09.02.2006 04:50 531 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\E04822AD18D472EA5B582E6E6F8C6B9A 09.02.2006 04:50 140 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\Office\Recent\hitb05_virginity_verifier.ppt.LNK 09.02.2006 04:52 581 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO 09.02.2006 04:52 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\29CC46F8.emf 09.02.2006 04:52 9.70 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\2AB4C10F.emf 09.02.2006 04:52 62.18 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\71DE6A99.emf 09.02.2006 04:52 51.92 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\8CB78413.emf 09.02.2006 04:52 64.63 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\CFB55FC6.emf 09.02.2006 04:52 63.81 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\andi\Recent\hitb05_virginity_verifier.ppt.lnk 09.02.2006 04:52 631 bytes Hidden from Windows API.
C:\System Volume Information\_restore{2704B055-898F-42E6-A50D-95530B8585C6}\RP24\A0013529.LNK 22.01.2006 21:05 441 bytes Hidden from Windows API.
C:\WINDOWS\system32\CatRoot2\tmp.edb 09.02.2006 04:48 1.01 MB Hidden from Windows API.


Daraufhin habe ich auch meine anderen beiden PC´s ge-checkt (ein alter PC und ein Notebook)
Der Scan mit SVV-2.2 brachte glücklicherweise einen SYSTEM INFECTION LEVEL: 2 bei beiden Geräten.

Aber der e-scan brachte im Fall des älteren PC´s folgendes zutage:

Object "aureate/radiate Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ebates moneymaker Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Und im Fall des Notebooks:

Object "smitfraud variant Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "rapidblaster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.desktop toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "rapidblaster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "bridge Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Diese schlechten Ergebnisse überraschen mich wirtklich total, da ich von Haus aus AntiVir benutze, der auf keiner der genannten Maschinen einen Fund anzeigt. Außerdem benutze ich SpyBot, SpywareBlaster, Ewido, AdAware und selbst bei HijackThis habe ich durchweg grüne (gute) Einträge auf der automatischen Logfile Auswertung herausbekommen.

Nun zu den Fragen:
-Habe ich auf der Maschine 1 ein Rootkit?
-Sollte ich diese neu aufsetzen, oder welche Möglichkeiten habe ich die Kernel Einträge zu fixen?
-Wie beseitige ich die von escan gefundenen Viren auf allen drei Geräten?

Schoneinmal vielen Dank an alle die mir bei meinen Problemen helfen können.

MfG

Alt 17.02.2006, 10:13   #2
wisky
 
Spyware Plagegeister Bekämpfen - Standard

Spyware Plagegeister Bekämpfen



Na, fällt dazu niemandem etwas ein?
Zugegeben mein Problem ist auch etwas komplex...

Da bleibt mir wohl nichts anderes übrig als neu aufzusetzen.

Schönen Dank an alle.

MfG
__________________


Alt 14.01.2009, 09:16   #3
dddeamon
 
Spyware Plagegeister Bekämpfen - Pfeil

Spyware Plagegeister Bekämpfen



-Habe ich auf der Maschine 1 ein Rootkit?
Ja du hast ein Rootkit!

-Sollte ich diese neu aufsetzen, oder welche Möglichkeiten habe ich die Kernel Einträge zu fixen?

Fixen kannst du mit IceSword.exe oder RkUnhooker oder GMER aber wenn du neue startest sind die wieder da. Wie man die löscht weiss ich nicht.

-Wie beseitige ich die von escan gefundenen Viren auf allen drei Geräten?

?

PS: Hast du eventuel WindowsGenuineAdvantageFix.exe benutzt um windows zu aktivieren dann ist es von ihn wurde ich sagen.
__________________

Antwort

Themen zu Spyware Plagegeister Bekämpfen
antivir, browser, dateisystem, desktop, drivers, einstellungen, escan, file, frage, fraud, helfen, hijackthis, hook, infected, internet, log, logfile, logfile auswertung, maßnahme, neu aufsetzen, notebook, rapidblaster, rootkit, scan, smitfraud, software, spyware, system, trojaner-board, träge, vielen dank, viren, virus, windows, windows\system32\drivers




Ähnliche Themen: Spyware Plagegeister Bekämpfen


  1. istart.webssearches bekämpfen! - Wie? > Log
    Log-Analyse und Auswertung - 28.11.2014 (9)
  2. Holasearch bekämpfen
    Log-Analyse und Auswertung - 04.10.2013 (25)
  3. GVU-Trojaner bekämpfen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2013 (20)
  4. BKAVirus mit webcambefall wie bekämpfen?
    Plagegeister aller Art und deren Bekämpfung - 22.08.2012 (1)
  5. BKA Virus, bekämpfen wie?
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (6)
  6. Bundestrojaner? Wie bekämpfen?
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (1)
  7. exdoer.be.2 bekämpfen?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2011 (4)
  8. Viren bekämpfen....aber wie?
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  9. TR/Dropper.gen wie bekämpfen?
    Plagegeister aller Art und deren Bekämpfung - 23.02.2010 (4)
  10. URL Zone wie bekämpfen
    Plagegeister aller Art und deren Bekämpfung - 15.01.2010 (3)
  11. URL Zone bekämpfen
    Plagegeister aller Art und deren Bekämpfung - 30.10.2009 (15)
  12. Trojaner bekämpfen/entfernen?!
    Plagegeister aller Art und deren Bekämpfung - 24.05.2008 (2)
  13. Spy.Agent.4296 - Wie ist der zu bekämpfen?
    Plagegeister aller Art und deren Bekämpfung - 17.10.2007 (2)
  14. spylocked 3.6 bekämpfen wie?
    Plagegeister aller Art und deren Bekämpfung - 04.05.2007 (3)
  15. Wie kann ich Trojaner bekämpfen?
    Plagegeister aller Art und deren Bekämpfung - 12.05.2005 (19)
  16. BackDoor-BAC.dll bekämpfen, aber wie???
    Plagegeister aller Art und deren Bekämpfung - 14.12.2004 (10)
  17. Desktop Warnung!Wie bekämpfen?
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (1)

Zum Thema Spyware Plagegeister Bekämpfen - Hallo Trojaner-Board, ich habe einen Scan mit dem svv - tool (-> invisiblethings.org) durchgeführt und dabei folgendes Ergebnis erhalten: C:\Dokumente und Einstellungen\andi\Desktop\svv-2.2>svv check /m ntoskrnl.exe (804d7000 - 806eba00)... suspected! (verdict - Spyware Plagegeister Bekämpfen...
Archiv
Du betrachtest: Spyware Plagegeister Bekämpfen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.