41538
Jan 13, 2007, updated at Mar 16, 2007 (UTC)
15058
15
0
VIrusprogramm deaktiviert, Firewall deaktiviert, Antispyware deaktiviert
VIrus/Spyware deaktiviert alles
Hallo Leute,
das Problem ist folgendes:
Irgendwie hat sich ein prog bei mir eingeschlichen, dass beim Start von BitDefender selbigen sofort wieder schließt. Das selbe passiert, wenn ich Spybot S&D starte und wenn ich ZoneAlarm starte.
rgendwo stand, dass man agressiven VIren, Prozesse mit den dementsprechenden Namen wie spybot.exe automatisch blocken, also hab ich die.exe-dateien umbenannt, in etwas völlig anderes.
Damit konnte ich wieder Spybot S&D starten und ein paar Trojaner und Trackin Cookies entfernen. ZoneAlarm startet anscheinend noch andere exe-dateien z:B: vsmon.exe. Damit funktioniert das allerdings nicht, und ich bekomme dauernd die Meldung, dass der vsmon beendet wurd und beim neustarten desselbigen, sofort wieder die meldung, dass er beendet wurde. Mit dem unbenannten Prozess von ZoneAlarm zeigt er mir im Programm einen System Error an, der durchs rebooten gelöst werden kann, was allerdings nicht der Fall ist.
Somit lautet meine Frage: Was kann ich tun, um das PROBLEM in den Griff zu kriegen?
Hier ein kleiner Log von Hijackthis, vielleicht findet ihr Exp. etwas. Danke fürs Lesen!!!!!
Logfile of HijackThis v1.99.1
Scan saved at 11:39:49, on 13.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Softwin\BitDefender8\bdnagent.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\ntvdm.exe
D:\Programme\PokerStars\PokerStars.exe
D:\Programme\hijack\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDNewsAgent] "D:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDMCon] "D:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [a-squared] "D:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: DC++.lnk = D:\Programme\DC++\DCPlusPlus.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
das Problem ist folgendes:
Irgendwie hat sich ein prog bei mir eingeschlichen, dass beim Start von BitDefender selbigen sofort wieder schließt. Das selbe passiert, wenn ich Spybot S&D starte und wenn ich ZoneAlarm starte.
rgendwo stand, dass man agressiven VIren, Prozesse mit den dementsprechenden Namen wie spybot.exe automatisch blocken, also hab ich die.exe-dateien umbenannt, in etwas völlig anderes.
Damit konnte ich wieder Spybot S&D starten und ein paar Trojaner und Trackin Cookies entfernen. ZoneAlarm startet anscheinend noch andere exe-dateien z:B: vsmon.exe. Damit funktioniert das allerdings nicht, und ich bekomme dauernd die Meldung, dass der vsmon beendet wurd und beim neustarten desselbigen, sofort wieder die meldung, dass er beendet wurde. Mit dem unbenannten Prozess von ZoneAlarm zeigt er mir im Programm einen System Error an, der durchs rebooten gelöst werden kann, was allerdings nicht der Fall ist.
Somit lautet meine Frage: Was kann ich tun, um das PROBLEM in den Griff zu kriegen?
Hier ein kleiner Log von Hijackthis, vielleicht findet ihr Exp. etwas. Danke fürs Lesen!!!!!
Logfile of HijackThis v1.99.1
Scan saved at 11:39:49, on 13.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Softwin\BitDefender8\bdnagent.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\ntvdm.exe
D:\Programme\PokerStars\PokerStars.exe
D:\Programme\hijack\HijackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDNewsAgent] "D:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDMCon] "D:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [a-squared] "D:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: DC++.lnk = D:\Programme\DC++\DCPlusPlus.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 47437
Url: https://administrator.de/contentid/47437
Printed on: April 16, 2024 at 19:04 o'clock
15 Comments
Latest comment
Ein Online Scan unter http://safety.live.com machen. Aber am einfachsten und saubersten ist eine Neuinstallation.
Ich würde den Rechner sofort vom Netz nehmen. Einzige Ausnahme: Im gesicherten Modus starten und dann einen online Virusscan machen.
Zweite, vielleicht bessere Methode:
Besorg Dir die letzte Knoppix CD mit den Virenscanner, war bei der ct mal dabei oder einen WinPE CD mit aktuellen Virensignaturen.
Dabei wird von CD aus gebootet und auf das lokale System zugegriffen. Dann kannst Du einen Virenscan durchlaufen lassen.
Und die Pokerstars.exe ist SEHR verdächtig!
schau mal:
http://www.f-secure.com/v-descs/small_la.shtml
Viel Erfolg!
Zweite, vielleicht bessere Methode:
Besorg Dir die letzte Knoppix CD mit den Virenscanner, war bei der ct mal dabei oder einen WinPE CD mit aktuellen Virensignaturen.
Dabei wird von CD aus gebootet und auf das lokale System zugegriffen. Dann kannst Du einen Virenscan durchlaufen lassen.
Und die Pokerstars.exe ist SEHR verdächtig!
schau mal:
http://www.f-secure.com/v-descs/small_la.shtml
Viel Erfolg!
Wie wär's, wenn Ihr Eure Probleme mal bei Hijack This postet?
Nebenbei, ein bissel Brain 1.0 sollte auch ned schaden;
und wenn ich mir so ansehe, was Du für Software auf Deinem Rechner hast, bezweifle ich, daß Du überhaupt weißt, was Urheberrecht ist...
Lonesome Walker
Nebenbei, ein bissel Brain 1.0 sollte auch ned schaden;
und wenn ich mir so ansehe, was Du für Software auf Deinem Rechner hast, bezweifle ich, daß Du überhaupt weißt, was Urheberrecht ist...
Lonesome Walker
Danke für eure Antworten!!!
Der LiveScan hat ein paar Sachen gefunden, unter anderem in system volume information, die mittlerweile gelöscht bzw. deaktiviert wurden. Und in gemeinsame dateien: auch gelöscht.
Das Problem besteht jedoch weiterhin. Außerdem stürzt mein Rechner jedes Mal sofort nach Starten des Abgesichtern Modus ab: BLUE SCREEN: STOP 000000007B
noch ne IDEE?
Der LiveScan hat ein paar Sachen gefunden, unter anderem in system volume information, die mittlerweile gelöscht bzw. deaktiviert wurden. Und in gemeinsame dateien: auch gelöscht.
Das Problem besteht jedoch weiterhin. Außerdem stürzt mein Rechner jedes Mal sofort nach Starten des Abgesichtern Modus ab: BLUE SCREEN: STOP 000000007B
noch ne IDEE?
Ich würde Dir gerne 2 Sachen vorschlagen:
1. Über die Reparaturinstallation bzw. eventuell vorhandenen Sicherungen wieder einspielen
2. Rechner im abgesicherten Modus hochfahren und wichtige Dateien sichern, bzw. Festplatte ausbauen und an einen anderen Rechner anschließen und dann Dateien sichern und DANN:
Mach alles neu!
Begründung:
Wenn sich ein Trojaner mit RootKit-Technik auf Deinen System eingenistet hatte, war es so tief im System verankert, das Du Dir nicht sicher sein kann, was alles zerschossen ist (siehe Bericht der aktuellen ct). Selbst wenn Du alles augenscheinlich gesäubert hast und prima läuft, kann die Nachwirkung Dich in 3 Monaten treffen.
Also investiere Zeit und Geld für ein sauberes System (Zeit) und für ein wenig Sicherheit (Antivirenprogramm und Sicherungsprogramm).
Tue Dir selber ein gefallen und (ohne es Dir unterstellen zu wollen) kaufe diese Software. Kaspersky Antivirus bekommst Du zur Zeit für 30 € und als Sicherungsprogramm würde ich Acronis Trueimage empfehlen, da kannst Du auch ruhig die Version 8 bzw. 9 nehmen (ebenfalls ca. 30 €).
Die beiden genannten Softwaren benutze ich selber, was NICHT bedeutet das andere Firmen schlechte Produkte machen oder Ihre Software schlecht ist. Höre Dich um, lies in den Fachzeitschriften nach, Stiftung Warentest ist auch ein Ratgeber, den man zu Rate ziehen kann.
Wie Lonesome so schön geschrieben hat: Brain 1.0 ist jetzt glaube ich gut gefüttert und immer daran denken: Was sind Dir ein funktionierendes System mit allen Deinen persönlichen Daten wirklich an Zeit und Geld wert.
Ich glaube ich habe mich genug ausgelassen:
Schönes Wochenende.
P.S. NATÜRLICH gehört eine Firewall dazu, die Ihren Namen verdient. Auch hier wieder, umschauen, umhören und sich beraten lassen.
1. Über die Reparaturinstallation bzw. eventuell vorhandenen Sicherungen wieder einspielen
2. Rechner im abgesicherten Modus hochfahren und wichtige Dateien sichern, bzw. Festplatte ausbauen und an einen anderen Rechner anschließen und dann Dateien sichern und DANN:
Mach alles neu!
Begründung:
Wenn sich ein Trojaner mit RootKit-Technik auf Deinen System eingenistet hatte, war es so tief im System verankert, das Du Dir nicht sicher sein kann, was alles zerschossen ist (siehe Bericht der aktuellen ct). Selbst wenn Du alles augenscheinlich gesäubert hast und prima läuft, kann die Nachwirkung Dich in 3 Monaten treffen.
Also investiere Zeit und Geld für ein sauberes System (Zeit) und für ein wenig Sicherheit (Antivirenprogramm und Sicherungsprogramm).
Tue Dir selber ein gefallen und (ohne es Dir unterstellen zu wollen) kaufe diese Software. Kaspersky Antivirus bekommst Du zur Zeit für 30 € und als Sicherungsprogramm würde ich Acronis Trueimage empfehlen, da kannst Du auch ruhig die Version 8 bzw. 9 nehmen (ebenfalls ca. 30 €).
Die beiden genannten Softwaren benutze ich selber, was NICHT bedeutet das andere Firmen schlechte Produkte machen oder Ihre Software schlecht ist. Höre Dich um, lies in den Fachzeitschriften nach, Stiftung Warentest ist auch ein Ratgeber, den man zu Rate ziehen kann.
Wie Lonesome so schön geschrieben hat: Brain 1.0 ist jetzt glaube ich gut gefüttert und immer daran denken: Was sind Dir ein funktionierendes System mit allen Deinen persönlichen Daten wirklich an Zeit und Geld wert.
Ich glaube ich habe mich genug ausgelassen:
Schönes Wochenende.
P.S. NATÜRLICH gehört eine Firewall dazu, die Ihren Namen verdient. Auch hier wieder, umschauen, umhören und sich beraten lassen.
Die Reperatur installtion ist bestimmt ne gute idee.
Du meinst doch die funktion, wenn man von der Windows-CD booetet, oder?
Zu der Sache mit dem abgesicherten Modus: wie gesagt: der stürzt ab, sobald ich ihn starte mit dem bluescreen: 000000007B
Die Seite von Kaspersky ist deaktiviert worden von dem VIrus. Wahrscheinlich hat alles keinen zweck und ich werde diese woche (malwieder) neu installieren....
Danke für eure Bemühungen
PS: wenn ihr Brain 1.0 habt, wisst ihr sicherlich, dass dieser Vorschlag totaler Müll ist. bzw. wenn ihr meinte, meine Version von Brain 1.0 ist verbuggt, dann klärt mich doch bitte auf: z.B: problembezogen, wo brain benutzt werden sollte, um das Problem zu lösen.
Du meinst doch die funktion, wenn man von der Windows-CD booetet, oder?
Zu der Sache mit dem abgesicherten Modus: wie gesagt: der stürzt ab, sobald ich ihn starte mit dem bluescreen: 000000007B
Die Seite von Kaspersky ist deaktiviert worden von dem VIrus. Wahrscheinlich hat alles keinen zweck und ich werde diese woche (malwieder) neu installieren....
Danke für eure Bemühungen
PS: wenn ihr Brain 1.0 habt, wisst ihr sicherlich, dass dieser Vorschlag totaler Müll ist. bzw. wenn ihr meinte, meine Version von Brain 1.0 ist verbuggt, dann klärt mich doch bitte auf: z.B: problembezogen, wo brain benutzt werden sollte, um das Problem zu lösen.
Moin SirDirtyHaryy,
Brain 1.0 bezieht sich eher allgemein als auf Dich, so sehe ich es jedenfalls, denn es kann jeden treffen, egal wie vorsichtig man ist.
Mit anderen Worten:
Dein Beitrag war gerade eine willkommene Einladung für eine <moralische Ansprache> im allgemeinen, also nicht persönlich nehmen.
Falls ich Dir und allen Anderen noch einen, bzw. zwei Tip(s) geben darf:
E-Mail Prog: Bilder nicht aus dem Internet nachladen, anzeige nur in Text-Format und jegliche Skripte deaktivieren.
Browser: Ich nutze deren 2: CrazyBrowser mit der IE-Engine falls ich mal was in der Richtung brauche, aber hauptsächlich den Firefox mit ScriptStoper.
Die Problematik ist, das es sehr grenzwertig sein kann zwischen Vorsichtig und Paranoia.
OK, bis denne.
Brain 1.0 bezieht sich eher allgemein als auf Dich, so sehe ich es jedenfalls, denn es kann jeden treffen, egal wie vorsichtig man ist.
Mit anderen Worten:
Dein Beitrag war gerade eine willkommene Einladung für eine <moralische Ansprache> im allgemeinen, also nicht persönlich nehmen.
Falls ich Dir und allen Anderen noch einen, bzw. zwei Tip(s) geben darf:
E-Mail Prog: Bilder nicht aus dem Internet nachladen, anzeige nur in Text-Format und jegliche Skripte deaktivieren.
Browser: Ich nutze deren 2: CrazyBrowser mit der IE-Engine falls ich mal was in der Richtung brauche, aber hauptsächlich den Firefox mit ScriptStoper.
Die Problematik ist, das es sehr grenzwertig sein kann zwischen Vorsichtig und Paranoia.
OK, bis denne.
Hallo Leute,
mittlerweile hab ich mehr über die Infektion meines Systems rausbekommen:
Der Virus oder die Spyware benutzt Rootkit, um sich im System zu verstecken: nach etlichen Rootkitscan hab ich ein paar Spuren entdeckt und sämtlich Dateien problemlos gelöscht, nur bei wenigen Registryeinträgen, konnte ich mir unter regedt32.exe keinen VOlzugriff zuweisen, um den Ordner inkl. Unterschlüssel "System*" zu löschen. Mittlerweile löscht der VIrus jede Datei, die firewall.exe heisst und blockiert immer noch zclient.exe von zonealarm. Das neue Aufsetzen des Betriebsystem hat nichts gebracht, denn der PC hat sich wieder unabhängig vom Internet selbst infiziert.
Meine einzige Hoffnung besteht darin, dass es bald Scanner gibt, die das Problem lösen, oder hat sonst noch jemand von euch, einen Vorschlag, oder einen Rootkitscanner zu empfehlen?
Vielen Dank für eure Antworten
PS: brain ist jetzt auf Version 1.01 ;=)
mittlerweile hab ich mehr über die Infektion meines Systems rausbekommen:
Der Virus oder die Spyware benutzt Rootkit, um sich im System zu verstecken: nach etlichen Rootkitscan hab ich ein paar Spuren entdeckt und sämtlich Dateien problemlos gelöscht, nur bei wenigen Registryeinträgen, konnte ich mir unter regedt32.exe keinen VOlzugriff zuweisen, um den Ordner inkl. Unterschlüssel "System*" zu löschen. Mittlerweile löscht der VIrus jede Datei, die firewall.exe heisst und blockiert immer noch zclient.exe von zonealarm. Das neue Aufsetzen des Betriebsystem hat nichts gebracht, denn der PC hat sich wieder unabhängig vom Internet selbst infiziert.
Meine einzige Hoffnung besteht darin, dass es bald Scanner gibt, die das Problem lösen, oder hat sonst noch jemand von euch, einen Vorschlag, oder einen Rootkitscanner zu empfehlen?
Vielen Dank für eure Antworten
PS: brain ist jetzt auf Version 1.01 ;=)
Hallo Leute,
mittlerweile hab ich mehr über die
Infektion meines Systems rausbekommen:
Der Virus oder die Spyware benutzt Rootkit,
um sich im System zu verstecken: nach
etlichen Rootkitscan hab ich ein paar Spuren
entdeckt und sämtlich Dateien problemlos
gelöscht, nur bei wenigen
Registryeinträgen, konnte ich mir unter
regedt32.exe keinen VOlzugriff zuweisen, um
den Ordner inkl. Unterschlüssel
"System*" zu löschen.
Mittlerweile löscht der VIrus jede
Datei, die firewall.exe heisst und blockiert
immer noch zclient.exe von zonealarm. Das
neue Aufsetzen des Betriebsystem hat nichts
gebracht, denn der PC hat sich wieder
unabhängig vom Internet selbst
infiziert.
Meine einzige Hoffnung besteht darin, dass
es bald Scanner gibt, die das Problem
lösen, oder hat sonst noch jemand von
euch, einen Vorschlag, oder einen
Rootkitscanner zu empfehlen?
Vielen Dank für eure Antworten
PS: brain ist jetzt auf Version 1.01 ;=)
mittlerweile hab ich mehr über die
Infektion meines Systems rausbekommen:
Der Virus oder die Spyware benutzt Rootkit,
um sich im System zu verstecken: nach
etlichen Rootkitscan hab ich ein paar Spuren
entdeckt und sämtlich Dateien problemlos
gelöscht, nur bei wenigen
Registryeinträgen, konnte ich mir unter
regedt32.exe keinen VOlzugriff zuweisen, um
den Ordner inkl. Unterschlüssel
"System*" zu löschen.
Mittlerweile löscht der VIrus jede
Datei, die firewall.exe heisst und blockiert
immer noch zclient.exe von zonealarm. Das
neue Aufsetzen des Betriebsystem hat nichts
gebracht, denn der PC hat sich wieder
unabhängig vom Internet selbst
infiziert.
Meine einzige Hoffnung besteht darin, dass
es bald Scanner gibt, die das Problem
lösen, oder hat sonst noch jemand von
euch, einen Vorschlag, oder einen
Rootkitscanner zu empfehlen?
Vielen Dank für eure Antworten
PS: brain ist jetzt auf Version 1.01 ;=)
Moin, schau mal bitte unter:
http://www.zdnet.de/security/praxis/0,39029462,39141280,00.htm
http://software-portal.faz.net/ie/47508/F-Secure_BlackLight_Rootkit_Eli ...
nach.
Der erste link ist eine Übersicht zu dem Thema und der zweite ist, naja erklärt sich von alleine.
UNd darf man fragen, ob Du nur die Partition mit dem Betriebssystem neu aufgesetzt hast, oder alles neu gemacht hast?
Danke für die Tipps, werd ich testen: ich hab nur das Betriebssystem runtergeschmissen, und das dann neu drauf gemacht: hatte mich wohl unverständlich ausgedrückt----
so hier ein paar ergebnisse:
wisst ihr wie diese dateien finde??
Bei der Suche werden sie natürlich nicht angezeigt, egal ob man systemordner und versteckte auch durchsucht...
ModuleName Image Base Address Size Path Product Company Description
0xF72C1000 98304 ???
RKREVEAL150.SYS 0xF79B9000 8192 ???
PROCEXP100.SYS 0xF799B000 8192 ???
grspmn.sys 0xF7A37000 8192 ???
ASHAVMON.SYS 0xEF58C000 20480 ???
mchInjDrv.sys 0xF0557000 4096 ???
dump_nvata.sys 0xEBC00000 102400 ???
dump_WMILIB.SYS 0xF79BF000 8192 ???
vsdatant.sys 0xEE957000 368640 ???
a347bus.sys 0xF735E000 163840 ???
Service name Syscall Address Hooked Module Product Company Description
NtOpenKey, ZwOpenKey 119 0xF736BFA4 YES a347bus.sys
NtQueryKey, ZwQueryKey 160 0xF73605FC YES a347bus.sys
NtOpenFile, ZwOpenFile 116 0xEE96FFD0 YES vsdatant.sys
NtEnumerateValueKey, ZwEnumerateValueKey 73 0xF736C120 YES a347bus.sys
NtLoadKey, ZwLoadKey 98 0xEE9894F0 YES vsdatant.sys
NtQueryValueKey, ZwQueryValueKey 177 0xF736C076 YES a347bus.sys
NtSetSystemPowerState, ZwSetSystemPowerState 241 0xF736B550 YES a347bus.sys
NtSetValueKey, ZwSetValueKey 247 0xEE988EA0 YES vsdatant.sys
NtSetInformationFile, ZwSetInformationFile 224 0xEE9702F0 YES vsdatant.sys
NtReplaceKey, ZwReplaceKey 193 0xEE9897C0 YES vsdatant.sys
NtRestoreKey, ZwRestoreKey 204 0xEE989A50 YES vsdatant.sys
NtClose, ZwClose 25 0xF736C028 YES a347bus.sys
NtCreateFile, ZwCreateFile 37 0xEE96FB70 YES vsdatant.sys
NtCreateKey, ZwCreateKey 41 0xEE988944 YES vsdatant.sys
NtCreatePagingFile, ZwCreatePagingFile 45 0xF735FB00 YES a347bus.sys
NtDeleteValueKey, ZwDeleteValueKey 65 0xEE989100 YES vsdatant.sys
NtEnumerateKey, ZwEnumerateKey 71 0xF73605DC YES a347bus.sys
NtDeleteFile, ZwDeleteFile 62 0xEE970180 YES vsdatant.sys
NtDeleteKey, ZwDeleteKey 63 0xEE989330 YES vsdatant.sys
NtWriteVirtualMemory, ZwWriteVirtualMemory 277 0xF015268A YES bcftdi.SYS Jetico Personal Firewall TDI Filter Driver Jetico, Inc. Jetico Personal Firewall TDI Filter Driver
NtConnectPort, ZwConnectPort 31 0xF01525BE YES bcftdi.SYS Jetico Personal Firewall TDI Filter Driver Jetico, Inc. Jetico Personal Firewall TDI Filter Driver
NtCreateThread, ZwCreateThread 53 0xF01523F8 YES bcftdi.SYS Jetico Personal Firewall TDI Filter Driver Jetico, Inc. Jetico Personal Firewall TDI Filter Driver
NtCreatePort, ZwCreatePort 46 0xF015250E YES bcftdi.SYS Jetico Personal Firewall TDI Filter Driver Jetico, Inc. Jetico Personal Firewall TDI Filter Driver
wisst ihr wie diese dateien finde??
Bei der Suche werden sie natürlich nicht angezeigt, egal ob man systemordner und versteckte auch durchsucht...
ModuleName Image Base Address Size Path Product Company Description
0xF72C1000 98304 ???
RKREVEAL150.SYS 0xF79B9000 8192 ???
PROCEXP100.SYS 0xF799B000 8192 ???
grspmn.sys 0xF7A37000 8192 ???
ASHAVMON.SYS 0xEF58C000 20480 ???
mchInjDrv.sys 0xF0557000 4096 ???
dump_nvata.sys 0xEBC00000 102400 ???
dump_WMILIB.SYS 0xF79BF000 8192 ???
vsdatant.sys 0xEE957000 368640 ???
a347bus.sys 0xF735E000 163840 ???
Service name Syscall Address Hooked Module Product Company Description
NtOpenKey, ZwOpenKey 119 0xF736BFA4 YES a347bus.sys
NtQueryKey, ZwQueryKey 160 0xF73605FC YES a347bus.sys
NtOpenFile, ZwOpenFile 116 0xEE96FFD0 YES vsdatant.sys
NtEnumerateValueKey, ZwEnumerateValueKey 73 0xF736C120 YES a347bus.sys
NtLoadKey, ZwLoadKey 98 0xEE9894F0 YES vsdatant.sys
NtQueryValueKey, ZwQueryValueKey 177 0xF736C076 YES a347bus.sys
NtSetSystemPowerState, ZwSetSystemPowerState 241 0xF736B550 YES a347bus.sys
NtSetValueKey, ZwSetValueKey 247 0xEE988EA0 YES vsdatant.sys
NtSetInformationFile, ZwSetInformationFile 224 0xEE9702F0 YES vsdatant.sys
NtReplaceKey, ZwReplaceKey 193 0xEE9897C0 YES vsdatant.sys
NtRestoreKey, ZwRestoreKey 204 0xEE989A50 YES vsdatant.sys
NtClose, ZwClose 25 0xF736C028 YES a347bus.sys
NtCreateFile, ZwCreateFile 37 0xEE96FB70 YES vsdatant.sys
NtCreateKey, ZwCreateKey 41 0xEE988944 YES vsdatant.sys
NtCreatePagingFile, ZwCreatePagingFile 45 0xF735FB00 YES a347bus.sys
NtDeleteValueKey, ZwDeleteValueKey 65 0xEE989100 YES vsdatant.sys
NtEnumerateKey, ZwEnumerateKey 71 0xF73605DC YES a347bus.sys
NtDeleteFile, ZwDeleteFile 62 0xEE970180 YES vsdatant.sys
NtDeleteKey, ZwDeleteKey 63 0xEE989330 YES vsdatant.sys
NtWriteVirtualMemory, ZwWriteVirtualMemory 277 0xF015268A YES bcftdi.SYS Jetico Personal Firewall TDI Filter Driver Jetico, Inc. Jetico Personal Firewall TDI Filter Driver
NtConnectPort, ZwConnectPort 31 0xF01525BE YES bcftdi.SYS Jetico Personal Firewall TDI Filter Driver Jetico, Inc. Jetico Personal Firewall TDI Filter Driver
NtCreateThread, ZwCreateThread 53 0xF01523F8 YES bcftdi.SYS Jetico Personal Firewall TDI Filter Driver Jetico, Inc. Jetico Personal Firewall TDI Filter Driver
NtCreatePort, ZwCreatePort 46 0xF015250E YES bcftdi.SYS Jetico Personal Firewall TDI Filter Driver Jetico, Inc. Jetico Personal Firewall TDI Filter Driver
Hallo Leute,
nochmal ein kleines Update zu diesem VIrus/ROotkit, der weit verbreitet scheint, denn andere User in anderen Foren haben ähnliche Probleme:
Symptome:
Dateien werden gelöscht:
Tunep Up Utilities: Regcleaner
alles egal von wem: firewall.exe
Zlclient.exe von zonealarm
Websites werden geblockt:
www.sophos.de
www.kasperksy.com
etliche andere
abgesicherter Modus ist nicht mehr startbar> sofortiger Neustart
Systemwiederherstellung ist korrupt, und hängt sich selbst auf.
Mögliche Ursachen:
03D:\WINDOWS\system32\wmdrtc32.dll Worm/Warezov.ET.16 Der Virus kann nicht ntfernt werden.
09D:\WINDOWS\system32\wmdrtc32.dll
03D:\WINDOWS\system32\wmdrtc32.dl_ Worm/Warezov.ET.16 Der Virus kann nicht entfernt werden.
09D:\WINDOWS\system32\wmdrtc32.dl_
03D:\WINDOWS\system32\drivers\sfmpn.sys TR/Drop.Warezov.A.1 Der Virus kann nicht entfernt werden.
09D:\WINDOWS\system32\drivers\sfmpn.sys
03D:\WINDOWS\Temp\AVTEMPDIR\Dd18.tar TR/Rkit.Linux.A.E.3 Der Virus kann nicht entfernt werden.
09D:\WINDOWS\Temp\AVTEMPDIR\Dd18.tar
Vielen Dank für euere Antworten!
nochmal ein kleines Update zu diesem VIrus/ROotkit, der weit verbreitet scheint, denn andere User in anderen Foren haben ähnliche Probleme:
Symptome:
Dateien werden gelöscht:
Tunep Up Utilities: Regcleaner
alles egal von wem: firewall.exe
Zlclient.exe von zonealarm
Websites werden geblockt:
www.sophos.de
www.kasperksy.com
etliche andere
abgesicherter Modus ist nicht mehr startbar> sofortiger Neustart
Systemwiederherstellung ist korrupt, und hängt sich selbst auf.
Mögliche Ursachen:
03D:\WINDOWS\system32\wmdrtc32.dll Worm/Warezov.ET.16 Der Virus kann nicht ntfernt werden.
09D:\WINDOWS\system32\wmdrtc32.dll
03D:\WINDOWS\system32\wmdrtc32.dl_ Worm/Warezov.ET.16 Der Virus kann nicht entfernt werden.
09D:\WINDOWS\system32\wmdrtc32.dl_
03D:\WINDOWS\system32\drivers\sfmpn.sys TR/Drop.Warezov.A.1 Der Virus kann nicht entfernt werden.
09D:\WINDOWS\system32\drivers\sfmpn.sys
03D:\WINDOWS\Temp\AVTEMPDIR\Dd18.tar TR/Rkit.Linux.A.E.3 Der Virus kann nicht entfernt werden.
09D:\WINDOWS\Temp\AVTEMPDIR\Dd18.tar
Vielen Dank für euere Antworten!
einen Hatte ich noch vergessen. Einen sehr hartnäckigen Rootkit!
03D:\RECYCLER\S-1-5-21-789336058-2077806209-839522115-1003\Dd18.tar TR/Rkit.Linux.A.E.3
03D:\RECYCLER\S-1-5-21-789336058-2077806209-839522115-1003\Dd18.tar TR/Rkit.Linux.A.E.3
einen Hatte ich noch vergessen. Einen sehr hartnäckigen Rootkit!
03D:\RECYCLER\S-1-5-21-789336058-2077806209-839522115-1003\Dd18.tar TR/Rkit.Linux.A.E.3
03D:\RECYCLER\S-1-5-21-789336058-2077806209-839522115-1003\Dd18.tar TR/Rkit.Linux.A.E.3
ASHAVMOM.EXE
ist in Ahampoo Antivirus. Ich hatte sehr erhebliche Probleme, bei denen zuerst alles Mögliche als Ursache infrage kam. Die Brenner wurden ausgetauscht, weil irgenwie scheinbar Ursache, dann Service ohne Finden Hardwarefehler, dann sorgfältigste Neuinsallation. Bald wieder zunehmend Bluescreen. Über die Ereignisanzeige wurde alles mögliche angezeigt, nur nichts zutreffendes. Irgendwann ein paarmal auf dem Bluscreen: "ASHAVMON.SYS".
Nach der Deinstallation (!) von Ahampoo Antivirus läuft der PC wieder zuverlässig rund.
ist in Ahampoo Antivirus. Ich hatte sehr erhebliche Probleme, bei denen zuerst alles Mögliche als Ursache infrage kam. Die Brenner wurden ausgetauscht, weil irgenwie scheinbar Ursache, dann Service ohne Finden Hardwarefehler, dann sorgfältigste Neuinsallation. Bald wieder zunehmend Bluescreen. Über die Ereignisanzeige wurde alles mögliche angezeigt, nur nichts zutreffendes. Irgendwann ein paarmal auf dem Bluscreen: "ASHAVMON.SYS".
Nach der Deinstallation (!) von Ahampoo Antivirus läuft der PC wieder zuverlässig rund.
