Heftiger CWS - Befall, Bitte HjT-Log anschauen :(

#0
31.05.2004, 23:50
Member

Beiträge: 462
#1 Hi @all,

meinem Sohn sein Rechner war durch einen (offensichtlich heftigen) CWS - Befall (waren auch noch paar Dialer und andere Malware drauf) ziemlich außer Gefecht gesetzt.
Aufgefallen ist es dem Junior, als er garnicht mehr ins Internet kam und auch sein Norton AV nichtmehr updaten konnte.

Ich habe dann über meinen Rechner die notwendigen Tools (Ad-aware 6, Spybot S & D 1.3, sowie CWShredder und HijackThis) downgeloadet und nach der Anleitung hier im Forum mehrmals mit den ersten dreien gescannt und gefixt.

Kann sich bitte einer von euch Profis mal das HijackThis Log anschauen? Ich bin da noch zu unwissend, aber ich habe das Gefühl, da ist noch das eine oder andere "faule Ei" drin.

Logfile of HijackThis v1.97.7
Scan saved at 22:49:16, on 31.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\SKDAEMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SKSMAILD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\MSQX\MSQX32.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [IncrediMail] D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MyEMessenger] C:\Programme\MyEMessenger\MyEMessenger.exe /autorun
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\DOWNLO~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab
O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab

Was kann bzw. sollte da noch gefixt werden? Was ist z.B. mit den ganzen "MyEMessenger"- und diesen
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab
- Einträgen?

Für eure kompetente Hilfe im Voraus, sowie die tolle Anleitung zuoberst dieses Forum´s schon mal recht herzlichen Dank.

PS.: Vor einiger Zeit wollte ich ihm mal seine Festplatte defragmentieren, bin aber gescheitert, da die Defragmentierung nach ca. 10% immer wieder abgebrochen und neu gestartet wurde mit einer eigenartigen Fehlermeldung, irgend ein Prozess sei noch am laufen. Obwohl wir selbst das DSL-Kabel physisch vom Anschluss getrennt hatten, und auch Norton AV´s Dauerüberwachung für diese Zeit abgestellt hatten.
Kann diese Störung durch entsprechende Malware verursacht gewesen sein?
__________
U can get it if u really want! (J.Cliff)
Dieser Beitrag wurde am 01.06.2004 um 18:43 Uhr von RollaCoasta editiert.
Seitenanfang Seitenende
02.06.2004, 16:08
Member
Avatar Dafra

Beiträge: 1122
#2 Fix:
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\MSQX\MSQX32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE


Sonst seh ich nix.
MFG
DAFRA
Seitenanfang Seitenende
02.06.2004, 23:34
Member

Themenstarter

Beiträge: 462
#3 Zunächst mal ein großes MERCI Dafra,

als wir heute mit HijackThis gescannt haben, waren plötzlich wieder etliche R0 und R1 Einträge da. Daraufhin haben wir dann nochmals mit Ad-aware 6 im abgesicherten Modus gescannt, und es hat wieder über 80 Objekte gefunden (überwiegend Dateien, aber auch einige Reg.-Schlüssel und -Einträge). Fast alles CWS und seltsamerweise in nem Verzeichnis "C:\recycled\IrgendwasMitNorton". Sbybot S&D (auch im Safe Mode) hat dann nur einen DSO Exploit gefunden.
CWShredder und Trendmicro Housecall fanden danach nichts.

Dieser Eintrag:
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\MSQX\MSQX32.DLL
war dann allerdings auch nicht mehr da.

Die andern 3 von dir Dafra empfohlenen haben wir dann noch mit HjT gefixt.
Und da ich dem Norton Recycle Bin nicht getraut habe, haben wir den mal entleert.

Hier nun unser neues -

Logfile of HijackThis v1.97.7
Scan saved at 22:46:17, on 02.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\SKDAEMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SKSMAILD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [IncrediMail] D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MyEMessenger] C:\Programme\MyEMessenger\MyEMessenger.exe /autorun
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\DOWNLO~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab
O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

Nochmals wegen dem "MyEMessenger"; ganz sicher dass das Teil ok ist ;)
Wenn ich auf deren HP gehe, wollen die mir gleich was downloaden (myemessengerSS.exe oder so ähnlich). Außerdem sacht mein Junior, er hätte das Teil nie auf den Rechner geladen und wenn er es jetzt über die Systemsteuerung/Software deinstallieren möchte, kommt eine Fehlermeldung, dass "die Deinstallation nicht möglich sei, irgend eine Datei würde fehlen"! Seltsam, oder? :\

Sagt ihr mir bitte, ob das HjT Log jetzt ok ist, und was ihr von dem MyEMessi haltet?
Ich danke euch schon mal sehr herzlich. Habe das Protecus Board auch schon fleißig weiterempfohlen. ;)

MfG
RollaCoasta
__________
U can get it if u really want! (J.Cliff)
Seitenanfang Seitenende
03.06.2004, 15:39
Member

Beiträge: 1095
#4 @rolla

1. schreib mal dazu was für R1 oder R0 Einträge da waren

2. Fixe alles was mit "MyEMessenger" zu tun hat
O4 - HKCU\..\Run: [MyEMessenger] C:\Programme\MyEMessenger\MyEMessenger.exe /autorun
O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab

3. Geh alle O4 EInträge durch. Überprüfe die angegebene Datei bei einem Onlinescan z.B. hier
http://www.kaspersky.com/remoteviruschk.html
Wenn Malware dann Fixen

4. Temporäre Internetfiles löschen

5. Papierkorb leeren

6. Virenscanner updaten und die Ganze Platte scannen

7. Dies hier in Ruhe durchmachen
Nicht vergessen die einzelnen Tools upzudaten
http://www.rokop-security.de/main/article.php?sid=703

Danach neustart machen und nochmal Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 03.06.2004 um 15:43 Uhr von paff editiert.
Seitenanfang Seitenende
03.06.2004, 16:53
Member

Themenstarter

Beiträge: 462
#5 Hi Paff,
allerherzlichsten Dank erstmal, (ich muss noch warten bis mein Sohn vonner Schule kommt).

zu 4. - 6.,
hatten wir gemacht, siehe auch mein Eröffnungs-Post,

7.,
bis auf die "ActiveX"-Einstellung und die Windows-updates, by the way wird das (w98SE) überhaupt noch supported?

zu 1.,
waren alles Sachen mit "search..." die aber nach der erneuten Ad-aware- und Spybot S&D1.3-Behandlung weg waren.

zu 3.,
sollen wir ALLE Dateien aus den 04er Einträgen bei Kaspersky testen? oder nur diese 04er "MyEMessenger"-Datei? (was ich annehme)

MfG
RollaCoasta
__________
U can get it if u really want! (J.Cliff)
Seitenanfang Seitenende
03.06.2004, 17:07
Member

Beiträge: 1095
#6

Zitat

RollaCoasta postete
zu 1.,
waren alles Sachen mit "search..." die aber nach der erneuten Ad-aware- und Spybot S&D1.3-Behandlung weg waren.
Der genau Name wäre wichtig. Dies scheint kein Standard HiJacker zu sein
Deswegen genau Beschreibung

Zitat

zu 3.,
sollen wir ALLE Dateien aus den 04er Einträgen bei Kaspersky testen? oder nur diese 04er "MyEMessenger"-Datei? (was ich annehme)
Wirklich für alle O4 überprüfen ;)


Poste bitte auch das erweiterte HiJackthis Logfile
HJT starten
Config drücken
Misc Tools
Generate StartupList log

Lade dir diese Datei
http://tools.zerosrealm.com/pv.zip
Auspacken und runme.BAT starten
dann "6" eingeben und return

Dann Text der erscheinenden Textdatei posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 03.06.2004 um 17:07 Uhr von paff editiert.
Seitenanfang Seitenende
03.06.2004, 18:14
Member

Themenstarter

Beiträge: 462
#7 hier die ellenlange StartupList noch VOR dem Fixen der MyEMessenger-Einträge,
das "normale HjT-Log" sieht aus wie das am 02.06.04, 23:34 h gepostete, also heute KEINE R0- und R1-Einträge mehr!
und auch die Startseite ist die korrekte.

StartupList report, 03.06.04, 17:24:31
StartupList version: 1.52
Started from : C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\SKDAEMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SKSMAILD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TaskMonitor = C:\WINDOWS\taskmon.exe
SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
Advanced Tools Check = C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
NPROTECT = C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
Hot Key Kbd Daemon = SKDAEMON.EXE
LexStart = Lexstart.exe
LoadQM = loadqm.exe
ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -minimize

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
ccEvtMgr = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
NPROTECT = C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
ScriptBlocking = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
MDM7 = "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

IncrediMail = D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c
MsnMsgr = "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
MyEMessenger = C:\Programme\MyEMessenger\MyEMessenger.exe /autorun

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

ICQ Lite = C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 2/6/2004, 21:8:24)

[rename]
NUL=c:\program files\submit\submithook.dll
NUL=c:\recycled\nprotect\00004917.exe
NUL=c:\recycled\nprotect\00004915.dat
NUL=c:\recycled\nprotect\00004913.dat
NUL=c:\recycled\nprotect\00005196.dll
NUL=c:\recycled\nprotect\00005194.dat
NUL=c:\recycled\nprotect\00005193.dat
NUL=c:\recycled\nprotect\00005009.new
NUL=c:\recycled\nprotect\00004040.dll
NUL=c:\recycled\nprotect\00003814.dll
NUL=c:\recycled\nprotect\00003785.dll
NUL=c:\recycled\nprotect\00003784.dll
NUL=c:\recycled\nprotect\00003783.dll
NUL=c:\recycled\nprotect\00003782.new
NUL=c:\recycled\nprotect\00003781.new
NUL=c:\recycled\nprotect\00003780.dll
NUL=c:\recycled\nprotect\00003776.dll
NUL=c:\recycled\nprotect\00005240.new
NUL=c:\recycled\nprotect\00005239.dll
NUL=c:\recycled\nprotect\00005192.dll
NUL=c:\recycled\nprotect\00005190.exe
NUL=c:\recycled\nprotect\00005188.dat
NUL=c:\recycled\nprotect\00005187.dat
NUL=c:\windows\ndnuninstall6_22.exe
NUL=c:\windows\sdkqh32.dll
NUL=c:\windows\mshp.dll
NUL=c:\windows\submit2.exe
NUL=c:\windows\ndnuninstall5_48.exe
NUL=c:\windows\iege\keywords.dat
NUL=c:\windows\iege\dict.dat
NUL=c:\windows\iege\mssearch.dll
NUL=c:\windows\iege\msiesh.dll
NUL=c:\windows\cookies\thabani@paycounter[1].txt
NUL=c:\windows\cookies\thabani@promo.match[1].txt
NUL=c:\windows\anwendungsdaten\msqx\nettt.dll
NUL=c:\windows\anwendungsdaten\msqx\mfcwt32.dll
NUL=c:\windows\anwendungsdaten\msqx\msqx32.dll.new
NUL=c:\windows\anwendungsdaten\msqx\msiesh.dll
NUL=c:\windows\anwendungsdaten\msqx\netgs.dll
NUL=c:\windows\anwendungsdaten\msqx\advsx.dll
NUL=c:\windows\anwendungsdaten\msqx\keywords.dat
NUL=c:\windows\anwendungsdaten\msqx\dict.dat
NUL=c:\windows\anwendungsdaten\msqx\msqx32.dll
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb sg,,C:\WINDOWS\COMMAND\keyboard.sys

--------------------------------------------------


Enumerating Browser Helper Objects:

NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
(no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing) - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Programmstart beschleunigen.job
Symantec NetDetect.job
Norton AntiVirus - Scan my computer.job

--------------------------------------------------

Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[shizmoo Class]
InProcServer32 = C:\PROGRAMME\SHIZMOO\ICQ_WEBGAMES\ODYSSEY_WEBMOO8.DLL
CODEBASE = http://arcade.icq.com/multiplayer/odyssey_web8.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[IMDownloader Class]
CODEBASE = http://www2.incredimail.com/contents/setup/downloader/imloader.cab

[RdxIE Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RDXIE.DLL
CODEBASE = http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab

[MyEMessengerSetup Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\MYEMES~1.OCX
CODEBASE = http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab

[HouseCall-Kontrolle]
InProcServer32 = C:\WINDOWS\DOWNLO~1\XSCAN53.OCX
CODEBASE = http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 7.755 bytes
Report generated in 0,420 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Wir werden jetzt mal die 04er scannen (hoffentlich finden wir die auch alle ;) )und dann die MyEMessenger Einträge fixen und das PV-Tool anwenden.

Bis hierhin mal THX & Respect ;)
MfG
RollaCoasta
__________
U can get it if u really want! (J.Cliff)
Seitenanfang Seitenende
03.06.2004, 20:34
Member

Beiträge: 1095
#8 @rOLLA

Ich würde mal tippen das es die hier ist
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
Schick mir dei Datei mal bitte an mike_hangover@gozomail.com (Meine FakeEmail)

Das hier kannst du auf jedenfall in HiAJckThis fixen
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab


Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
03.06.2004, 20:45
Member

Themenstarter

Beiträge: 462
#9 Hi Paff,

wollte gerade unser letztes HjT-Log und StartupList posten, ging aber wegen der DoppelPost-Sperre hier im Forum nicht. Aber nun hast du ja geantwortet ;)

Kaspersky hat die MDM.EXE als clean bewertet, soll ich sie dir trotzdem schicken?

Den RdxIE Class-Eintrag fixe ich dann noch, (dauert aber jetzt wieder eine Weile, da der Junior weg musste und erst später wiederkommt).
-----------
hier mein vorbereitetes Post ;)

So, alle 04er Einträge sind laut Kaspersky CLEAN,
bis auf:
ICQLite und MSN-Messi - die beiden konnten wir nicht scannen, da der Kaspersky-Scanner nur Dateien bis 1MB nimmt;
der MyEMessenger wurde wohl vom Vorbesitzer mal auf den Rechner gepackt und später unfachmännisch deinstalliert, da alle Verknüpfungen ins Leere zielen ;) , die beiden Einträge davon haben wir natürlich gefixt.

Hier nun unser neues (und hoffentlich sauberes)

Logfile of HijackThis v1.97.7
Scan saved at 19:15:58, on 03.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\SKDAEMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SKSMAILD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [IncrediMail] D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\DOWNLO~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

und der neue

StartupList report, 03.06.04, 19:10:12
StartupList version: 1.52
Started from : C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\SKDAEMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SKSMAILD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

TaskMonitor = C:\WINDOWS\taskmon.exe
SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
Advanced Tools Check = C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
NPROTECT = C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
Hot Key Kbd Daemon = SKDAEMON.EXE
LexStart = Lexstart.exe
LoadQM = loadqm.exe
ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -minimize

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
ccEvtMgr = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
NPROTECT = C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
ScriptBlocking = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
MDM7 = "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

IncrediMail = D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c
MsnMsgr = "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

ICQ Lite = C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 2/6/2004, 21:8:24)

[rename]
NUL=c:\program files\submit\submithook.dll
NUL=c:\recycled\nprotect\00004917.exe
NUL=c:\recycled\nprotect\00004915.dat
NUL=c:\recycled\nprotect\00004913.dat
NUL=c:\recycled\nprotect\00005196.dll
NUL=c:\recycled\nprotect\00005194.dat
NUL=c:\recycled\nprotect\00005193.dat
NUL=c:\recycled\nprotect\00005009.new
NUL=c:\recycled\nprotect\00004040.dll
NUL=c:\recycled\nprotect\00003814.dll
NUL=c:\recycled\nprotect\00003785.dll
NUL=c:\recycled\nprotect\00003784.dll
NUL=c:\recycled\nprotect\00003783.dll
NUL=c:\recycled\nprotect\00003782.new
NUL=c:\recycled\nprotect\00003781.new
NUL=c:\recycled\nprotect\00003780.dll
NUL=c:\recycled\nprotect\00003776.dll
NUL=c:\recycled\nprotect\00005240.new
NUL=c:\recycled\nprotect\00005239.dll
NUL=c:\recycled\nprotect\00005192.dll
NUL=c:\recycled\nprotect\00005190.exe
NUL=c:\recycled\nprotect\00005188.dat
NUL=c:\recycled\nprotect\00005187.dat
NUL=c:\windows\ndnuninstall6_22.exe
NUL=c:\windows\sdkqh32.dll
NUL=c:\windows\mshp.dll
NUL=c:\windows\submit2.exe
NUL=c:\windows\ndnuninstall5_48.exe
NUL=c:\windows\iege\keywords.dat
NUL=c:\windows\iege\dict.dat
NUL=c:\windows\iege\mssearch.dll
NUL=c:\windows\iege\msiesh.dll
NUL=c:\windows\cookies\thabani@paycounter[1].txt
NUL=c:\windows\cookies\thabani@promo.match[1].txt
NUL=c:\windows\anwendungsdaten\msqx\nettt.dll
NUL=c:\windows\anwendungsdaten\msqx\mfcwt32.dll
NUL=c:\windows\anwendungsdaten\msqx\msqx32.dll.new
NUL=c:\windows\anwendungsdaten\msqx\msiesh.dll
NUL=c:\windows\anwendungsdaten\msqx\netgs.dll
NUL=c:\windows\anwendungsdaten\msqx\advsx.dll
NUL=c:\windows\anwendungsdaten\msqx\keywords.dat
NUL=c:\windows\anwendungsdaten\msqx\dict.dat
NUL=c:\windows\anwendungsdaten\msqx\msqx32.dll
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb sg,,C:\WINDOWS\COMMAND\keyboard.sys

--------------------------------------------------


Enumerating Browser Helper Objects:

NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
(no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing) - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Programmstart beschleunigen.job
Symantec NetDetect.job
Norton AntiVirus - Scan my computer.job

--------------------------------------------------

Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[shizmoo Class]
InProcServer32 = C:\PROGRAMME\SHIZMOO\ICQ_WEBGAMES\ODYSSEY_WEBMOO8.DLL
CODEBASE = http://arcade.icq.com/multiplayer/odyssey_web8.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[IMDownloader Class]
CODEBASE = http://www2.incredimail.com/contents/setup/downloader/imloader.cab

[RdxIE Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RDXIE.DLL
CODEBASE = http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab

[HouseCall-Kontrolle]
InProcServer32 = C:\WINDOWS\DOWNLO~1\XSCAN53.OCX
CODEBASE = http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 7.528 bytes
Report generated in 0,428 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Das mit dem PV-Tool habe ich leider nicht ganz geblickt. Zum einen ging nach der empfohlenen Vorgehensweise nur ne englische Bedienungsanleitung auf, zum andern stand in der beigefügten "shadow.txt"-Datei was von einer "runme9x.bat" für w98, diese war aber in dem päckchen nicht dabei ;)
Falls die Diagnose mit diesem Tool noch notwendig ist, schreib mir bitte genau (bin doch so ´n oller Newby) wie ich das anwenden muss.

Von hier aus sieht es jedenfalls so aus, als ob jetzt alles in Ordnung sei. Aber ich will eurem fachmännischen Urteil da auf keinen Fall vorgreifen.

Jedenfalls nochmal ganz vielen herzlichen Dank (mir gehn die Attribute aus *g), wir sind echt happy, dass so Leutz wie ihr hier ihr kompetentes Wissen und ihre Zeit so ehrenamtlich zur Verfügung stellen und helfen. ;) ;) ;)

MfG
RollaCoasta
__________
U can get it if u really want! (J.Cliff)
Seitenanfang Seitenende
03.06.2004, 21:44
Member

Beiträge: 1095
#10 @Rolla

Schock mir bitte die Datei mdm.exe aber gezippt.
Nur aus Interesse.

Zur PV.zip

Ich hab die heute Mittag runtergeladen und da war die runme9x.bat noch dabei. Jetzt ist SIe nicht mehr dabei, warum auch immer. Müßte ich auf Arbeit noch haben. Kann Sie dir ja als Gegenleistung für die mdm.exe dann schicken ;)

Gruß paff
------------------Nachtrag
Starte die runme.bat
dann wähle 1 für Explorer DLL's und
poste das ergebnis
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 03.06.2004 um 21:50 Uhr von paff editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: