Moinsen,

ich wollte heute "Bonjour" entfernen, und hab mal auch ein scan mit GMER gemacht:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-14 12:24:57
Windows 6.0.6000 


---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs    863EF1F8
Device          \FileSystem\fastfat \Fat  8DA051F8

AttachedDevice  \FileSystem\fastfat \Fat  fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Tcp   kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\tdx \Device\Udp   kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Threads - GMER 1.0.14 ----

Thread          4:412                     8DA467D0
Thread          4:420                     8DA467D0
Thread          4:424                     8DA87EB0
Thread          4:428                     8DA87EB0
Thread          4:432                     8DA87EB0
Thread          4:2864                    9D111E60

---- EOF - GMER 1.0.14 ----
         

Jetzt bin ich leicht erschrocken, weil ich:

• 1. Keine Anhung von GMER und seinen Logs hab
• 2. Bei mir (angebliche?) Rootkits gefunden werden
• 3. Ich zu müde bin um grad was zu verstehen

Schonmal Danke..

Darf man den Hergang des Bonjour Entfernes erfahren? Warum, wieso, wesshalb, gab es Probleme? Wie sehen deine logs jetzt aus? Irgendwelche Reste?
Der ist mir nämlich schon lange ein Dorn im Auge.

Und ja, du hast zwei Rootkits auf dem Rechner. Allerdings sind die absolut legitim. Der eine ist von MS der andere von Kaspersky.

Hui, das ging aber schnell!

Zitat:

Darf man den Hergang des Bonjour Entfernes erfahren? Warum, wieso, wesshalb, gab es Probleme? Wie sehen deine logs jetzt aus? Irgendwelche Reste?

Der Hergang: mDNSResponder.exe mit einem gleichnamigen File ersetzt, wollte dann dasselbe mit der .dll machen, was aber nicht geht da die schon verwendet wird..
regsvr32 /u “C:\Progra~1\Bonjour\mdnsNSP.dll oder regsvr32 /u “C:\Program Files\Bonjour\mdnsNSP.dll finktioniert nicht.
"TurnOffBonjour" sagt das der Service nicht da ist.

Aber ich hab dem Ding gleich am Anfang verboten nach Hause zu telefonieren, muaha, Kaspersky ftw.
Gibts ne Möglichkeit rauszufinden wo sich das ding eingehakt hat?

Zitat:

Der ist mir nämlich schon lange ein Dorn im Auge.

Mir auch. Ist ja auch mal ne Frchtheit ohne Nachfrage das Ding mitzuinstallieren, nicht richtig sagen was es tut, und dann auch noch so zu machen, das man es nicht deinstallieren kann

Zitat:

Und ja, du hast zwei Rootkits auf dem Rechner. Allerdings sind die absolut legitim. Der eine ist von MS der andere von Kaspersky.

Und was sind diese "Threads"?

lg.

Edit: in services.msc ist nix von Bonjour zu sehen
Edit2: HJT sagt auch nix von "Unknown file in Winsock LSP"

Zitat:

wollte dann dasselbe mit der .dll machen, was aber nicht geht da die schon verwendet wird.

im abesicherten löschen sollte funktionieren.

Zitat:

Ist ja auch mal ne Frchtheit ohne Nachfrage das Ding mitzuinstallieren, nicht richtig sagen was es tut, und dann auch noch so zu machen, das man es nicht deinstallieren kann

Fullack!

Zitat:

Und was sind diese "Threads"?

was meinst du damit?

Es sind verstecke Dateien die von Kaspersky zm Beispiel angelegt werden um Angriffen durch Schädlinge zu wiederstehen.

Zitat:

in services.msc ist nix von Bonjour zu sehen

Du hast ja auch die .exe ersetzt. Da kann man ja nichts mehr sehen.. ^^

Zitat:

im abesicherten löschen sollte funktionieren.

Okay ich versuchs mal

Zitat:

was meinst du damit?

Das:

---- Threads - GMER 1.0.14 ----

Thread 4:412 8DA467D0
Thread 4:420 8DA467D0
Thread 4:424 8DA87EB0
Thread 4:428 8DA87EB0
Thread 4:432 8DA87EB0
Thread 4:2864 9D111E60

Zitat:

Du hast ja auch die .exe ersetzt. Da kann man ja nichts mehr sehen..

Achso

lg

Edit: Verdammt, USB-Tastatur >.<
Gibts nix Software-mäßiges um dem Spion nachzuspionieren?

Einfach nur GEIL:

Das Ding hockt sogar im Windoof Media Player!!



Kann man alle Prozesse die da aufeglistet sind killen?

Warum möchtest du die Prozesse beenden?

Avenger oder Killbox sollten sich der .dll schnell und bequem entledigen können.

Das die .dll in viele Prozesse integriert ist ist ja logisch.

Ich habs geschafft *dance*

das zeugs is weg!!

über 300 Einträge in der regisrty!