|
Plagegeister aller Art und deren Bekämpfung: Spyware Plagegeister BekämpfenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.02.2006, 07:27 | #1 |
| Spyware Plagegeister Bekämpfen Hallo Trojaner-Board, ich habe einen Scan mit dem svv - tool (-> invisiblethings.org) durchgeführt und dabei folgendes Ergebnis erhalten: C:\Dokumente und Einstellungen\andi\Desktop\svv-2.2>svv check /m ntoskrnl.exe (804d7000 - 806eba00)... suspected! (verdict = 5). module ntoskrnl.exe [0x804d7000 - 0x806eba00]: 0x804db03d (section .text) [RtlPrefetchMemoryNonTemporal()+0] 1 byte(s): exc lusion filter: single byte modification file :c3 memory :90 verdict = 1 0x804dbaa2 (section .text) 18 byte(s): exclusion filter: KeFlushCurrentTb() file :d8 0f 22 d8 c3 0f 20 e0 25 7f ff ff ff 0f 22 e0 0d 80 memory :e0 25 7f ff ff ff 0f 22 e0 0d 80 00 00 00 0f 22 e0 c3 verdict = 1 0x804dbaba (section .text) 1 byte(s): exclusion filter: single byte modifica tion file :c3 memory :00 verdict = 1 0x804de8ea (section .text) 1 byte(s): exclusion filter: single byte modifica tion file :05 memory :06 verdict = 1 0x804e270c [KiServiceTable[25]] 4 byte(s): KiServiceTable HOOK: address 0xf77cd818 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :49 6b 56 80 memory :18 d8 7c f7 verdict = 2 0x804e274c [KiServiceTable[41]] 4 byte(s): KiServiceTable HOOK: address 0xf77cd7d0 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :61 e7 56 80 memory :d0 d7 7c f7 verdict = 2 0x804e275c [KiServiceTable[45]] 4 byte(s): KiServiceTable HOOK: address 0xf77c1a20 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :b8 77 5b 80 memory :20 1a 7c f7 verdict = 2 0x804e27c4 [KiServiceTable[71]] 4 byte(s): KiServiceTable HOOK: address 0xf77c22a8 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :68 ee 56 80 memory :a8 22 7c f7 verdict = 2 0x804e27cc [KiServiceTable[73]] 4 byte(s): KiServiceTable HOOK: address 0xf77cd910 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :28 eb 57 80 memory :10 d9 7c f7 verdict = 2 0x804e2878 [KiServiceTable[116]] 4 byte(s): KiServiceTable HOOK: address 0xf77e7b40 is inside a347bus.sys module [0xf77e6000-0xf780e000] target module path: a347bus.sys file :e3 0c 57 80 memory :40 7b 7e f7 verdict = 2 0x804e2884 [KiServiceTable[119]] 4 byte(s): KiServiceTable HOOK: address 0xf77cd794 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :fb 7a 56 80 memory :94 d7 7c f7 verdict = 2 0x804e2928 [KiServiceTable[160]] 4 byte(s): KiServiceTable HOOK: address 0xf77c22c8 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :71 eb 56 80 memory :c8 22 7c f7 verdict = 2 0x804e296c [KiServiceTable[177]] 4 byte(s): KiServiceTable HOOK: address 0xf77cd866 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :bb b0 56 80 memory :66 d8 7c f7 verdict = 2 0x804e2a6c [KiServiceTable[241]] 4 byte(s): KiServiceTable HOOK: address 0xf77cd0b0 is inside d347bus.sys module [0xf77c0000-0xf77e6000] target module path: d347bus.sys file :27 55 66 80 memory :b0 d0 7c f7 verdict = 2 IDT[6] points to 0xf1c2916d which is inside Haspnt.sys module [0xf1c26000-0xf1c 32000] target module path: \??\C:\WINDOWS\System32\drivers\Haspnt.sys verdict = 5 UNFIXABLE! IDT[14] points to 0xf1c28fc2 which is inside Haspnt.sys module [0xf1c26000-0xf1 c32000] target module path: \??\C:\WINDOWS\System32\drivers\Haspnt.sys verdict = 5 UNFIXABLE! module ntoskrnl.exe: end of details SYSTEM INFECTION LEVEL: 5 0 - BLUE 1 - GREEN 2 - YELLOW 3 - ORANGE 4 - RED --> 5 - DEEPRED SUSPECTED modifications detected. System is probably infected! Voller Entsetzen über dieses erschreckende Ergebnis habe ich einen e-scan durchgeführt, wobei ich in der Virus Log Information folgende Einträge hatte: Object "bridge Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mediamotor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "mediamotor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Weil ich befürchte mir ein Rootkit eingefangen zu haben habe ich einen Scan mit RootkitRevealer durchgeführt: HKLM\SOFTWARE\Classes\gopher 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\gopher\DefaultIcon 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\gopher\shell 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\gopher\shell\open 09.02.2006 04:28 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\gopher\shell\open\command 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 20.01.2005 21:18 58 bytes Data mismatch between Windows API and raw hive data. HKLM\SOFTWARE\Classes\telnet 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\telnet\DefaultIcon 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\telnet\shell 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\telnet\shell\open 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\telnet\shell\open\command 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Ole 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Ole\AppCompat 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Ole\NONREDIST 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Rpc 08.02.2006 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Rpc\ClientProtocols 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Rpc\NameService 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Rpc\NetBios 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Rpc\SecurityService 02.01.2005 18:17 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 20.01.2005 21:21 58 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 20.01.2005 21:22 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 08.02.2006 18:17 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 08.02.2006 18:17 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 06.10.2005 19:58 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf43 11.12.2004 16:12 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\E04822AD18D472EA5B582E6E6F8C6B9A 09.02.2006 04:50 531 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\E04822AD18D472EA5B582E6E6F8C6B9A 09.02.2006 04:50 140 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Anwendungsdaten\Microsoft\Office\Recent\hitb05_virginity_verifier.ppt.LNK 09.02.2006 04:52 581 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO 09.02.2006 04:52 0 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\29CC46F8.emf 09.02.2006 04:52 9.70 KB Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\2AB4C10F.emf 09.02.2006 04:52 62.18 KB Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\71DE6A99.emf 09.02.2006 04:52 51.92 KB Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\8CB78413.emf 09.02.2006 04:52 64.63 KB Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Lokale Einstellungen\Temporary Internet Files\Content.MSO\CFB55FC6.emf 09.02.2006 04:52 63.81 KB Hidden from Windows API. C:\Dokumente und Einstellungen\andi\Recent\hitb05_virginity_verifier.ppt.lnk 09.02.2006 04:52 631 bytes Hidden from Windows API. C:\System Volume Information\_restore{2704B055-898F-42E6-A50D-95530B8585C6}\RP24\A0013529.LNK 22.01.2006 21:05 441 bytes Hidden from Windows API. C:\WINDOWS\system32\CatRoot2\tmp.edb 09.02.2006 04:48 1.01 MB Hidden from Windows API. Daraufhin habe ich auch meine anderen beiden PC´s ge-checkt (ein alter PC und ein Notebook) Der Scan mit SVV-2.2 brachte glücklicherweise einen SYSTEM INFECTION LEVEL: 2 bei beiden Geräten. Aber der e-scan brachte im Fall des älteren PC´s folgendes zutage: Object "aureate/radiate Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "ebates moneymaker Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Und im Fall des Notebooks: Object "smitfraud variant Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "media tickets Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "purityscan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "rapidblaster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.desktop toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "rapidblaster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "bridge Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Diese schlechten Ergebnisse überraschen mich wirtklich total, da ich von Haus aus AntiVir benutze, der auf keiner der genannten Maschinen einen Fund anzeigt. Außerdem benutze ich SpyBot, SpywareBlaster, Ewido, AdAware und selbst bei HijackThis habe ich durchweg grüne (gute) Einträge auf der automatischen Logfile Auswertung herausbekommen. Nun zu den Fragen: -Habe ich auf der Maschine 1 ein Rootkit? -Sollte ich diese neu aufsetzen, oder welche Möglichkeiten habe ich die Kernel Einträge zu fixen? -Wie beseitige ich die von escan gefundenen Viren auf allen drei Geräten? Schoneinmal vielen Dank an alle die mir bei meinen Problemen helfen können. MfG |
17.02.2006, 10:13 | #2 |
| Spyware Plagegeister Bekämpfen Na, fällt dazu niemandem etwas ein?
__________________Zugegeben mein Problem ist auch etwas komplex... Da bleibt mir wohl nichts anderes übrig als neu aufzusetzen. Schönen Dank an alle. MfG |
14.01.2009, 09:16 | #3 |
| Spyware Plagegeister Bekämpfen -Habe ich auf der Maschine 1 ein Rootkit?
__________________Ja du hast ein Rootkit! -Sollte ich diese neu aufsetzen, oder welche Möglichkeiten habe ich die Kernel Einträge zu fixen? Fixen kannst du mit IceSword.exe oder RkUnhooker oder GMER aber wenn du neue startest sind die wieder da. Wie man die löscht weiss ich nicht. -Wie beseitige ich die von escan gefundenen Viren auf allen drei Geräten? ? PS: Hast du eventuel WindowsGenuineAdvantageFix.exe benutzt um windows zu aktivieren dann ist es von ihn wurde ich sagen. |
Themen zu Spyware Plagegeister Bekämpfen |
antivir, browser, dateisystem, desktop, drivers, einstellungen, escan, file, frage, fraud, helfen, hijackthis, hook, infected, internet, log, logfile, logfile auswertung, maßnahme, neu aufsetzen, notebook, rapidblaster, rootkit, scan, smitfraud, software, spyware, system, trojaner-board, träge, vielen dank, viren, virus, windows, windows\system32\drivers |