Home
Artikel: eBlaster-Erfahrungen
Links Bilder Kontakt Gästebuch Member
History
Partner
Forum SAP
Netzwerk
 

oder ins Gästebuch schreiben

eBlaster 3.0 von Spectorsoft - Erfahrungen
Wie Löschen, Deinstallieren und Entfernen?

Das Programm ist schnell mal eingespielt; man möchte ja schließlich wissen wo heutzutage die Fallstricke liegen. So gut wie alles wird mitprotokolliert: Tastaturanschläge, Screenshots, Chats, Email, besuchte Internetseiten, usw., sämtliche Daten können an eine beliebige Email-Adresse geschickt werden. Ob man überhaupt ein "befallenes" System hat (eBlaster bzw. Spector), läßt sich mit ElbTecScan (224 KB) herausfinden, ist Freeware, hat dafür aber keine Beschreibung parat, wie mit dieser Information umzugehen ist.

Besonders tückisch an eBlaster ist, daß es fast keine Spuren hinterläßt. Keine .exe im Taskmanager, kein Systemdienst der mitgestartet wird, kein Installationsordner der sich einfach löschen ließe, geschweige denn eine Deinstallationsroutine... geschickt getarnt versteckt es sich in den Windows-System-Ordnern.

Firewalls erkennen zwar den Zugriff in die große weite Welt, aber anscheindend wird eine Lücke im Explorer genutzt, so daß eine explorer.exe (nicht Internet Explorer) angezeigt wird, die nach draußen will, so ein Fenster ist schnell mal weggeklickt

=> der Explorer hat draußen NICHTS verloren!

*************************************************************
Ein kleines Update für die die es genau wissen wollen:

Der Zugriff laut Firewall lautet:
Application: C:\Winnt\explorer.exe
Access: Outbound TCP Access
Object: Protocol TCP, Loc. Port 1089, Rem. node: 64.49.213.137:16771

Sobald eBlaster entfernt ist, hören auch die Zugriffe auf!
*************************************************************

Nach dem Vergleich der Dateistruktur eines frischen Systems (Windows 2000 Prof.) ohne den Teufel und mit einem frischen System mit der Spionagesoftware, in der Eingabeaufforderung von DOS "dir /S > C:\eblaster.txt", kam folgendes heraus:

  • Die Namen der installierten Files variierten vom 1. zum 2. Durchlauf (!!!), daher werden sich nicht alle unten aufgeführten Dateien auch tatsächlich im System finden lassen

  • einige Dateien waren besonders hartnäckig und konnten erst im abgesicherten Modus gelöscht werden (ocxdrv32.dll und olescn32.dll)

  • ocxdrv32.dll musste sogar zweimal (!) im abgesicherten Modus rausgeschmissen werden


    • Anmerkungen:

    Für eBlaster 2.0 kann ich keine Angaben machen, verwiesen sei nur auf diese Site und für Spector 2.1 diese Seite.

    Auf jeden Fall am Ende nochmals einen Check mit ElbTecScan durchführen!

    Einen Registry-Vergleich habe ich nicht angestellt, möglich, daß auch dort noch der ein oder andere Eintrag steht. Anregungen von Euch nehme ich gerne mit auf!


    Hier also die Liste der nach einer eBlaster-Installation neu erstellten Dateien, sie können gefahrlos gelöscht werden:

    C:\WINNT\system32\krnled.dll
    C:\WINNT\system32\krnled.exe
    C:\WINNT\system32\mserrtrc.dll
    C:\WINNT\system32\msrac32.dll
    C:\WINNT\system32\msrac32.exe
    C:\WINNT\system32\mssecrmd.dll
    C:\WINNT\system32\mssecrmd.exe
    C:\WINNT\system32\msvbrnt.chm
    C:\WINNT\system32\nvrcr32.dll
    C:\WINNT\system32\ocxdrv.dll
    C:\WINNT\system32\ocxdrv32.dll
    C:\WINNT\system32\olescn32.dll
    C:\WINNT\system32\rmashlex.dll
    C:\WINNT\system32\rmtcore.dll
    C:\WINNT\system32\shdocew.chm
    C:\WINNT\system32\tsarot32.dll
    C:\WINNT\system32\wmscmod.chm

    Bei diesen Beiden bin ich allerdings nicht sicher, der ElbTec-Scan ist trotz Vorhandensein negativ:

    C:\WINNT\system32\winmsv0lowin.dll
    C:\WINNT\system32\winmsv0lowin.drv