Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   hostprozess für windows-dienste (https://www.trojaner-board.de/94933-hostprozess-windows-dienste.html)

chdpz 22.01.2011 12:24
Ja, mache ich.

Ist der Rechner jetzt sauber?
Besten Dank nochmal für Deine Hilfe!

markusg 22.01.2011 12:33
naja, du hattest ein rootkit, mit einem rootkit kann ein angreifer alle möglichen enderungen machen, die wir nicht zurückverfolgen können.
1. sofort onlinebanking sperren lassen.
2. solltest du deine daten sichern, dann neu aufsetzen, ich geb dir tipps um das system abzusichern.

chdpz 22.01.2011 13:00
Nach 20 Jahren hinter dem PC hat es mich dann also auch mal erwischt.

Keine Ahnung wo der kleine Kumpel hergekommen ist. :pfui:
Alles aktuell, Virenscanner, Router mit Firewall, komische Dateien immer in der Sandbox aufgemacht, komische Programme in einer VM probiert. Daten werden automatisch an NAS gespiegelt.

Neuaufsetzten dauert eine Weile. Mein wichtigster Rechner mit jeder Menge Programmen drauf... Tipps sind natürlich willkommen!

Kann man die Aktivitäten auf dem Rechner nicht überwachen oder so? Die Antwort kann ich mir auch selbst gebe ...

Bin gerade unterwegs. Kann ja nachher mal das Log von Panda posten. So hat das ganze begonnen, dass Panda eine Datei aus den Lexware Financial Office neutralisiert hat.

Womit sollte ich den anderen Rechner im Netzwerk scannen um zu sehen ob der auch krank ist?

Vielen Dank für die kompetente Hilfe nochmal. :party:

markusg 22.01.2011 13:24
mit gmer.
ja man könnte theoretisch von außen den netzwerk verkehr mit schneiden.
aber deswegen hast du immer noch keine 100 %ige sicherheit.
und naja, 20 jahre schädlingsfrei ist doch ne gute sache. und ich denke mal jeden kanns mal erwischen.
nur würde ich heut zu tage ausschließlich in der sandbox surfen.
das nur pornoseiten infiziert werden, die zeiten sind schon lange vorbei, ohne paraneuer schüren zu wollen, aber jede seite kann betroffen sein, um eine maximale verbreitung zu erreichen, werden heute häufiger große seiten zum angriffs ziehl.

chdpz 22.01.2011 14:54
Habe gmer auf dem anderen Rechner laufen lassen.

Beim ersten mal hat er nach den Starten gleich einen Warmstart hingelegt. Dann hat es aber funktioniert. Hier der Log:

GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-22 14:49:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3120023A rev.3.30
Running: y6pduvfb.exe; Driver: C:\DOKUME~1\chd\LOKALE~1\Temp\pgtdapow.sys


---- System - GMER 1.0.15 ----

SSDT                                                                                                                                  \SystemRoot\system32\DRIVERS\PSINProc.sys (PSINProc Filter Driver for XP32/Panda Security, S.L.)                ZwTerminateProcess [0xF190A416]

INT 0x06                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  F186F16D
INT 0x0E                                                                                                                              \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  F186EFC2

---- Kernel code sections - GMER 1.0.15 ----

.text                                                                                                                                C:\WINDOWS\system32\drivers\hardlock.sys                                                                        section is writeable [0xF161F400, 0x7EE2E, 0xE0000020]
.protect˙˙˙˙hardlockentry point in ".protect˙˙˙˙hardlockentry point in ".protect˙˙˙˙hardlockentry point in ".p" section [0xF16BCA20]  C:\WINDOWS\system32\drivers\hardlock.sys                                                                        entry point in ".protect˙˙˙˙hardlockentry point in ".protect˙˙˙˙hardlockentry point in ".p" section [0xF16BCA20]
.protect˙˙˙˙hardlockunknown last code section [0xF16BC800, 0x4E48, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                                                        unknown last code section [0xF16BC800, 0x4E48, 0xE0000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice                                                                                                                        \FileSystem\Ntfs \Ntfs                                                                                          SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
AttachedDevice                                                                                                                        \FileSystem\Ntfs \Ntfs                                                                                          OODrvled.sys (O&O DriveLED Filter Driver (Win32)/O&O Software GmbH)
AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                                                        OODrvled.sys (O&O DriveLED Filter Driver (Win32)/O&O Software GmbH)
AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                                                        fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg                                                                                                                                  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                           
Reg                                                                                                                                  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODLED3.00.02.01WSSV                                     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

---- EOF - GMER 1.0.15 ----
--- --- ---


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:47 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19