Trojaner-Board - HackerDefender Rootkit

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - HackerDefender Rootkit (https://www.trojaner-board.de/72203-hackerdefender-rootkit.html)

HackerDefender Rootkit

Hallo Leute,

Ich habe mir heute Abend das Programm UnhackMe runtergeladen und es gleich durchlaufen lassen. Dabei wurde ein Key mit dem Namen ''Hacker Defender100'' in \SYSTEM\CurrentControlSet\Services gefunden. Das Programm UnhackMe sagte:
Attention!
An invisible software service found.
It is suspicious to the Trojan Class: HackerDefender Rootkit. ?

Nun frage ich mich, ob ich den Key löschen soll oder nicht. Über eine Antwort wäre ich sehr dankbar.

Mit freundlichen Grüßen

kaninchen

1. Rootkitsuche mit Gmer:

Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop.
Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet).
Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls Gmer etwas findet klicke auf Ja, um einen vollständigen Scan zu machen).
Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde).
Wenn der Scan fertig ist, drücke auf "Copy"
Füge den Text hier im Board mit "STRG + V" ein

mfg, Kaos

Hier die Logdatei:

GMER 1.0.15.14944 - http://www.gmer.net
Rootkit scan 2009-04-19 20:04:58
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwEnumerateKey [0xB9EDCC7E]
SSDT sptd.sys ZwEnumerateValueKey [0xB9EDCFF6]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89E525D0
Device \FileSystem\Fastfat \Fat 8997B0E8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Okay, Gmer-Log sieht gut.

Arbeite bitte folgende Punkte ab:

Räume ein System mit CCleaner auf.
Scanne dein System mit Malwarebytes Anti-Malware und poste das Ergebnis.
System mit Superantispyware scannen und ebenfalls das Ergebnis posten (Scan im abgesicherten Modus kannst du weg lassen).

mfg, Kaos

Guten Morgen,

Ich habe mein System mit dem CCleaner aufgeräumt.

Hier, die Logfile von Malwarebytes' Anti Malware:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1928
Windows 5.1.2600 Service Pack 3

20.04.2009 11:24:36
mbam-log-2009-04-20 (11-24-36).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 134837
Laufzeit: 1 hour(s), 37 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und die Logfile von SUPERAntiSpyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/20/2009 at 09:43 AM

Application Version : 4.26.1000

Core Rules Database Version : 3852
Trace Rules Database Version: 1805

Scan type : Complete Scan
Total Scan Time : 01:34:31

Memory items scanned : 423
Memory threats detected : 0
Registry items scanned : 5726
Registry threats detected : 0
File items scanned : 61831
File threats detected : 0

Ich hab mir UnhackMe mal angesehen. Du solltest es gleich wieder deinstallieren.

Hast du auf Demo geklickt? Und dort kamen die Meldungen?

Malwarebytes könntest du mal Updaten und dann einen Quickscan machen.

mal kurz reinhüpfe

WOT warnt vor dieser Seite die UnhackMe anbietet.
Warnung: Diese Seite hat einen schlechten Ruf!

wieder raushüpf und ich hoff es hat etwas weitergeholfen :)

Hi,

Vielen Dank für die Informationen. Das Programm UnhackMe (Demo Version) habe ich nun deinstalliert und Malwarebytes' Anti-Malware habe ich geupdatet und einen Quickscan durchführen lassen, hier die Logfile:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2014
Windows 5.1.2600 Service Pack 3

20.04.2009 16:36:15
mbam-log-2009-04-20 (16-36-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 76658
Laufzeit: 3 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Liebe Grüße

kaninchen

Gut, dann sollte mit deinem System alles in Ordnung sein. Warum hast du dir diesen Scanner überhaupt geladen? Gab es irgendwelche Hinweise, dass etwas mit deinem System nicht stimmt?

Bei mir warnt garnicht vor der Seite h**p://greatis.com/unhackme/. Es ist auch keine Scareware oder direkt schädlich, allerdings schlecht gemacht, wie ich finde. Wenn man sich das Demo ansieht, wirkt es so, als ob man infiziert wäre. Ich halte nichts von diesem Tool, vorallem, weil es etwas kosten soll und da gibt es genügend alternativen, die auch noch besser sind.

mfg, Kaos