Nochmals kleinen, sehr selten auftretenden, Fehler beim Anzeigen der Zombiepfade gefixt.
Zombie - Untote unter Vista?
-
-
-
Ein durch Profan2Cpp verursachtes Speicherleck gefixt - hab's beim Testen von KernelLeak gefunden. Hätte ich mir KernelLeak nicht geschrieben, hätte ich mich doof und dämlich gesucht - so hat's ein paar Sekunden gedauert.
-
Hab Zombie mal auf Windows7 hin angepasst.
-
Noch ein Hinweis: Zombie.exe listet auch manche versteckte Prozesse als Zombies und macht diesbezüglich keine Unterschiede in der Anzeige eines RootKits und eines Zombies.
Ein RootKit das Zombie.exe listet kann man an folgender Sache von einem richtigen Zombieprozess unterscheiden:
Da ein RootKitprozess (anders als ein Zombie) noch nicht beendet wurde, wird bei den Infos über den Prozess im Edit rechts keine
"Prozesses wurde beendet um:" Zeit angezeigt. Desweiteren ist in der Regel der Exitcode nicht 0, sondern 259.
Hier wurde zum Beispiel über den einfachen DCOM-Hider von meiner HP notepad.exe versteckt.
[Blockierte Grafik: http://s4.postimage.org/TgZG9.jpg] -
Neuerdings will mein Internet Explorer 8 sich gleich 2 x ins Internet einloggen. Einige Zeit nach dem Start erscheint nochmals ein Einwahldialog, obwohl ich bereits surfen kann (auch weiterhin). Lehne ich eine neuerliche Einwahl aber ab, werden alle Verbindungen abgebrochen.
Ein Testlauf mit Zombie.exe ergibt zwei separate IE-Instanzen, eine davon ist bereits abgebrochen. Beide Instanzen bleiben sichtbar, selbst wenn ich das IE-Fenster schließe. Nur wenn ich mich dazu entschließe, die Verbindung zu trennen (direkt am entsprechenden Symbol), verschwinden diese Prozesse nach einiger Zeit. Frage: Leide ich unter 'Bundestrojaner'? -
Wie lauten die Daten des beendeten Prozesses aus dem Edit rechts?
Wende dich mal ans Malwareforum hier. -
PID: 2480
Prozesspfad: C:\Programme\Internet Explorer\iexplore.exe
Startzeit des Prozesses: 23.11.2009 um 17:34Uhr, 14sec 773millisec
Prozesses wurde beendet um: 23.11.2009 um 17:51Uhr, 34sec 87millisec
Zeit des Prozesses im Kernelmode: 39sec 917ms
Zeit des Prozesses im Usermode: 30sec 573ms
PID des Elternprozesses: 1588
Adresse des PEB's: 2147319808
Geöffnet mit Zugriffsrechten: $1F0FFF
Anzahl geöffneter Handles auf den Prozess: 2
Pointer Count: 3
Exitcode: 0' Der Elternprozess ist nicht mehr gelistet!
Handleeigentümer ist Prozess 952:
PID: 952
Prozessname: svchost.exe
Prozesspfad: C:\WINDOWS\System32\svchost.exe
Beschreibung des Programmes: Generic Host Process for Win32 Services
Dateiversion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Firma: Microsoft Corporation
Produktname: Microsoft® Windows® Operating System
Produktversion: 5.1.2600.2180
Entwickelt für Betriebssystem: 32-Bit Windows unter NT
Startzeit des Prozesses: 22.11.2009 um 13:41Uhr, 18sec 453millisec
Zeit des Prozesses im Kernelmode: 13sec 920ms
Zeit des Prozesses im Usermode: 13sec 719ms
PID des Elternprozesses: 604
Adresse des PEB's: 2147311616
Geöffnet mit Zugriffsrechten: $1F0FFF
Anzahl geöffneter Handles auf den Prozess: 15
Pointer Count: 1603
Exitcode: 259
Anzahl geöffneter Handles auf Hooks: 0Ich vermute mal, irgend wer hat rausgekriegt, wie man SVCHOST benutzt um einen privaten Kanal ins Internet zu öffnen. Ad maleware-forum: Danke, mach ich!
-
-
Hallo AHT,
dein Modhunter liefert Warnung mit rotem Dreieck zu:
dmserver.dll, obwohl die im korrekten System32-Verzeichnis sitzt,
wo die Originale Microsoft Logical Disk Management-DLL gleichen Namens zu finden ist. dmserver.dll heisst aber auch der DarkMoon Trojaner. Wie stelle ich fest, ob der zurückgegebene Pfad auch der tatsächliche ist, bzw. warum ist das Dreieck rot? Reicht da Pathscan?
Gruss -
In welchem Prozess? Was zeigt ModHunter genau an? Ein rotes Dreieck bedeutet nicht unbedingt Malware. Welche Windowsversion?
-
Hab gerade gesehen, was du meinst -> XP. Das ist keine Malware - die rote Anzeige erfolgt aufgrund einer kleinen "Ungereimtheit" innerhalb der DMSERVER.DLL, die ModHunter nicht berücksichtigt - deshalb steht dort auch evtl..
Worauf du bei ModHunter achten solltest, ist die Anzeige MemoryModul. Wird das mit einem roten Dreieck (nicht grau) in irgendeinem laufenden Prozess angezeigt? Die Sachen, vor denen evtl. steht, sind Hinweise für mich, näher nachzusehen, wenn ich mit der Anwendung an irgendeinem Rechner sitze.
Es wäre insgesammt besser, du wendest dich hier an das Malware Forum.
Die lassen dich einen Systemscan machen und werten dann die Dateien aus - die haben mit dem Auswerten mehr Erfahrung als ich, da ich so etwas noch nie über das Netz getan habe. Finden die nichts, schaue ich noch mal (schreibe grad was neues). Der Thread hier passt auch nicht für so was. -
In Ordnung. Danke für Deine Hinweise!
-
Update hochgeladen - ddas Programm dürfte jetzt auch unter 64bit lauffähig sein (ab Vista).
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!