Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rootkit? (https://www.trojaner-board.de/53950-rootkit.html)

-SkY- 14.06.2008 11:29
Rootkit?
 
Moinsen,

ich wollte heute "Bonjour" entfernen, und hab mal auch ein scan mit GMER gemacht:

Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-14 12:24:57
Windows 6.0.6000


---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs    863EF1F8
Device          \FileSystem\fastfat \Fat  8DA051F8

AttachedDevice  \FileSystem\fastfat \Fat  fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Tcp  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\tdx \Device\Udp  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Threads - GMER 1.0.14 ----

Thread          4:412                    8DA467D0
Thread          4:420                    8DA467D0
Thread          4:424                    8DA87EB0
Thread          4:428                    8DA87EB0
Thread          4:432                    8DA87EB0
Thread          4:2864                    9D111E60

---- EOF - GMER 1.0.14 ----
Jetzt bin ich leicht erschrocken, weil ich:
  • 1. Keine Anhung von GMER und seinen Logs hab :D
  • 2. Bei mir (angebliche?) Rootkits gefunden werden
  • 3. Ich zu müde bin um grad was zu verstehen :sleepy:

Schonmal Danke..

undoreal 14.06.2008 11:32
Darf man den Hergang des Bonjour Entfernes erfahren? Warum, wieso, wesshalb, gab es Probleme? Wie sehen deine logs jetzt aus? Irgendwelche Reste?
Der ist mir nämlich schon lange ein Dorn im Auge.

Und ja, du hast zwei Rootkits auf dem Rechner. Allerdings sind die absolut legitim. Der eine ist von MS der andere von Kaspersky.

-SkY- 14.06.2008 11:42
Hui, das ging aber schnell!

Zitat:
Darf man den Hergang des Bonjour Entfernes erfahren? Warum, wieso, wesshalb, gab es Probleme? Wie sehen deine logs jetzt aus? Irgendwelche Reste?
Der Hergang: mDNSResponder.exe mit einem gleichnamigen File ersetzt, wollte dann dasselbe mit der .dll machen, was aber nicht geht da die schon verwendet wird..
regsvr32 /u “C:\Progra~1\Bonjour\mdnsNSP.dll oder regsvr32 /u “C:\Program Files\Bonjour\mdnsNSP.dll finktioniert nicht.
"TurnOffBonjour" sagt das der Service nicht da ist.

Aber ich hab dem Ding gleich am Anfang verboten nach Hause zu telefonieren, muaha, Kaspersky ftw.
Gibts ne Möglichkeit rauszufinden wo sich das ding eingehakt hat?

Zitat:
Der ist mir nämlich schon lange ein Dorn im Auge.
Mir auch. Ist ja auch mal ne Frchtheit ohne Nachfrage das Ding mitzuinstallieren, nicht richtig sagen was es tut, und dann auch noch so zu machen, das man es nicht deinstallieren kann :balla:

Zitat:
Und ja, du hast zwei Rootkits auf dem Rechner. Allerdings sind die absolut legitim. Der eine ist von MS der andere von Kaspersky.
Und was sind diese "Threads"?

lg.

Edit: in services.msc ist nix von Bonjour zu sehen
Edit2: HJT sagt auch nix von "Unknown file in Winsock LSP"

undoreal 14.06.2008 11:58
Zitat:
wollte dann dasselbe mit der .dll machen, was aber nicht geht da die schon verwendet wird.
im abesicherten löschen sollte funktionieren.

Zitat:
Ist ja auch mal ne Frchtheit ohne Nachfrage das Ding mitzuinstallieren, nicht richtig sagen was es tut, und dann auch noch so zu machen, das man es nicht deinstallieren kann
Fullack!

Zitat:
Und was sind diese "Threads"?
was meinst du damit?

Es sind verstecke Dateien die von Kaspersky zm Beispiel angelegt werden um Angriffen durch Schädlinge zu wiederstehen.

Zitat:
in services.msc ist nix von Bonjour zu sehen
Du hast ja auch die .exe ersetzt. Da kann man ja nichts mehr sehen.. ^^

-SkY- 14.06.2008 12:02
Zitat:
im abesicherten löschen sollte funktionieren.
Okay ich versuchs mal :)

Zitat:
was meinst du damit?
Das:

---- Threads - GMER 1.0.14 ----

Thread 4:412 8DA467D0
Thread 4:420 8DA467D0
Thread 4:424 8DA87EB0
Thread 4:428 8DA87EB0
Thread 4:432 8DA87EB0
Thread 4:2864 9D111E60

Zitat:
Du hast ja auch die .exe ersetzt. Da kann man ja nichts mehr sehen..
Achso :D

lg :)

Edit: Verdammt, USB-Tastatur >.<
Gibts nix Software-mäßiges um dem Spion nachzuspionieren? :D

-SkY- 14.06.2008 12:18
Einfach nur GEIL:

Das Ding hockt sogar im Windoof Media Player!!

http://www.abload.de/img/unbenanntb8y.jpg

Kann man alle Prozesse die da aufeglistet sind killen?

undoreal 14.06.2008 13:08
Warum möchtest du die Prozesse beenden?

Avenger oder Killbox sollten sich der .dll schnell und bequem entledigen können.

Das die .dll in viele Prozesse integriert ist ist ja logisch.

-SkY- 14.06.2008 13:17
Ich habs geschafft *dance*

das zeugs is weg!!

über 300 Einträge in der regisrty!


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131