Malwarebytes bricht ab -Seite 3 - Paules-PC-Forum.de

markusg · 25.11.2011, 16:26

hi, versuche mal das folgende:
http://dl.surfright.nl/HitmanPro36beta.exe
http://dl.surfright.nl/HitmanPro36beta_x64.exe
der erste link ist die 32 bit version der zweite die 64 bit version, wähle das passende für dein system.
aktiviere die testlizenz und scanne dann.
bitte am ende quarantäne auswählen und das log bei file-upload.net hochladen und link posten

Deacon · 28.11.2011, 11:08

d347bus scheint alcohol oder "klone compakt-Disk" zu sein.
ich hatte das früher auch mal auf meinen PC

**AHT** · 28.11.2011, 16:03

Den meine ich gar nicht - da ist ein Treiber unbenannt (Name besteht nur aus Leerzeichen).
0xF773D000
ist die Adresse des Treibers.

RootKits haben das früher mal getan, um nicht nachvollziebar zu machen, welcher Treiber da geladen wird.
Unter XP gab es da die Moglichkeit, über die DRIVER_OBJECT Struktur (Adresse 0x14) die DRIVER_SECTION Struktur zu ermitteln und darüber die Adresse der PSLoadedModuleList - bzw. die Adresse des Eintrags des Treibers dort - zu erhalten: http://www.inreverse.net/?p=327
Hat man den, kann man den Eintrag des Modulnamen des Treibers dort überschreiben.
Einfache RootKits nutzten diese Technik, um auf möglichst simpele Art nicht nachvollziehbar zu machen, welcher Treiber dort in den Kernel geladen wird. Es war dann nicht nötig, die ganze Liste umzuhacken, die dreifach miteinander verlinkt ist.

Deacon · 28.11.2011, 23:36

Danke für die Info, ich habe interessiert gelesen! Danke!

25.11.2011, 16:26	#31 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	hi, versuche mal das folgende: http://dl.surfright.nl/HitmanPro36beta.exe http://dl.surfright.nl/HitmanPro36beta_x64.exe der erste link ist die 32 bit version der zweite die 64 bit version, wähle das passende für dein system. aktiviere die testlizenz und scanne dann. bitte am ende quarantäne auswählen und das log bei file-upload.net hochladen und link posten __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

28.11.2011, 11:08	#32 (Direktlink)
Deacon Premium Mitglied Registriert seit: 09.06.2007 Ort: Bremen Alter: 38 Beiträge: 8.325	d347bus scheint alcohol oder "klone compakt-Disk" zu sein. ich hatte das früher auch mal auf meinen PC __________________ emulate everything... Free soul! Forenschreck!

28.11.2011, 16:03	#33 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Den meine ich gar nicht - da ist ein Treiber unbenannt (Name besteht nur aus Leerzeichen). 0xF773D000 ist die Adresse des Treibers. RootKits haben das früher mal getan, um nicht nachvollziebar zu machen, welcher Treiber da geladen wird. Unter XP gab es da die Moglichkeit, über die DRIVER_OBJECT Struktur (Adresse 0x14) die DRIVER_SECTION Struktur zu ermitteln und darüber die Adresse der PSLoadedModuleList - bzw. die Adresse des Eintrags des Treibers dort - zu erhalten: http://www.inreverse.net/?p=327 Hat man den, kann man den Eintrag des Modulnamen des Treibers dort überschreiben. Einfache RootKits nutzten diese Technik, um auf möglichst simpele Art nicht nachvollziehbar zu machen, welcher Treiber dort in den Kernel geladen wird. Es war dann nicht nötig, die ganze Liste umzuhacken, die dreifach miteinander verlinkt ist. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (29.11.2011 um 07:55 Uhr)

28.11.2011, 23:36	#34 (Direktlink)
Deacon Premium Mitglied Registriert seit: 09.06.2007 Ort: Bremen Alter: 38 Beiträge: 8.325	Danke für die Info, ich habe interessiert gelesen! Danke! __________________ emulate everything... Free soul! Forenschreck!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Malwarebytes Report	Sparkline	Viren-Forum	9	23.07.2009 12:57