hijacker IE Umleitung auf auto.search.msn.com

#0
14.06.2004, 21:47
...neu hier

Themenstarter

Beiträge: 10
#16 Hallo paff,

ich habe Dir und rokop die dll gesendet und bei mir gelöscht. Ich habe mir die dll im Ultra-edit angeschaut und ich glaube sie könnte identisch mit dem aus dem Thread zu sein, aber vielleicht erkennt ihr mehr.
Ich weis auch nicht was für eine Programmiersprache das ist, oder nur Registriebefehle??
Bei mir ist noch alles im grünen Bereich. Achso die Datei ist vom 29.01.2000 ist die schon solange auf meinem PC, oder kann man da eine dll mit altem Datum erzeugen??

danke an alle für die Hilfe, das nerven hat ein Ende!!

gruss
micha
Dieser Beitrag wurde am 14.06.2004 um 21:51 Uhr von meikel-k editiert.
Seitenanfang Seitenende
15.06.2004, 09:19
Member

Beiträge: 1095
#17

Zitat

meikel-k postete
Achso die Datei ist vom 29.01.2000 ist die schon solange auf meinem PC, oder kann man da eine dll mit altem Datum erzeugen??
Ja, man kann leicht eine DLL mit alten Datum erzeugen. Ist die Zeit identisch zu den anderen Dateien im Verzeichnis?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
15.06.2004, 18:45
...neu hier

Themenstarter

Beiträge: 10
#18 Hallo paff,

nein die dll hat kein identisches Datum , hat als einzige Datei dieses Datum.
Immernoch keine Umleitung, ich denke der Spuk ist vorbei, Jubel!!

gruss
micha
Seitenanfang Seitenende
05.07.2004, 01:56
...neu hier

Beiträge: 8
#19 Guten Abend Leute, so wie es aussieht habe ich das teil auch auf dem rechner... nur kann ich a) die besagte .dll nicht bei mir finden und b) funktioniert der download von hijackthis bei mir irgendwie heute nicht, d.h ich krieg das Prog nicht auf den rechner.

XP-clean-vs5.50 habe ich aber schon drauf.

Wie gesagt ist das selbe syndrom, anstelle der normalen leeren startseite bekomme ich eine die sich zwar als "about:blank" in der URL tarnt, sich aber weder durch umstellen löschen läßt, adaware und spybot finden die besagte "auto.search..." hostumleitung zwar, kriegen sie aber nicht endgültig runter vom rechner.

EDIT: hab hijackthis auf den rechner bekommen... aber nun muß ich erst mal schlafen gehen, sonst killt mich morgen mein chef.

Noch schnell mein log:

Logfile of HijackThis v1.98.0
Scan saved at 02:09:26, on 05.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\win.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
c:\programme\internet explorer\iexplore.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\XPcleanv5\XPclean.exe
L:\hijackthis_198\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\dial.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe
O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Programme\RSNet\RSEDNClient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/hb/files.chm::/file.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v45/yacscom.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020825/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://xpehbam.biz/a/load.exe
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll
Dieser Beitrag wurde am 05.07.2004 um 02:00 Uhr von Karnstein editiert.
Seitenanfang Seitenende
05.07.2004, 10:10
Member

Beiträge: 1095
#20 Hi Karnstein

Das ist scheinbar eine neue Variante des auto.search.msn.com
+ verschiedenste andere HiJacker

Also erst mal dies probieren

Geh mal bitte in den Safemode von XP
http://www.bsi.de/av/texte/winsave.htm

Fixe dann diese Einträge in HiJackThis
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\dial.dll (file missing)
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/hb/files.chm::/file.exe
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://xpehbam.biz/a/load.exe
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll

Dann Normalen neustart machen, ins Internet gehen
und noch HiJackthis logfile erstellen und hier posten

Gruß paff
P.S:
Bitte die Dateien
C:\WINDOWS\System32\HKNQTWZ].dll
C:\WINDOWS\win.exe
in ein zip-File packen und an virus@protecus.de und mike_hangover@gozomail.com schicken
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 05.07.2004 um 10:11 Uhr von paff editiert.
Seitenanfang Seitenende
05.07.2004, 19:12
...neu hier

Beiträge: 8
#21 So hab das Zeug mal im abgesicherten Modus alles runtergeschmissen, aber es ist zäh und baut sich wieder auf:

Hier das log nach dem fixen der angegebenen Dateien:



Logfile of HijackThis v1.98.0
Scan saved at 19:19:19, on 05.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\iexplore.exe
L:\hijackthis_198\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v45/yacscom.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020825/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll


Email ist schon draussen..

PS: hab noch paar bekannte sachen aus dem autostart rausgeschmissen um es übersichtlicher zu machen.
Seitenanfang Seitenende
05.07.2004, 19:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 @Karnstein
Das scheint ein neuer Virus zu sein...deshalb die ganzen Scanner, die ich empfehle...in der Hoffnung, das einer den Virus erkennt und loescht.....


Fixe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll

neustarten
und gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt

#gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

loesche rechts den Wert, wenn er da ist.

2 .Dann suche eine C:\WINNT\system32\msxword.dll
C:\WINDOWS\System32\HKNQTWZ].dll

und, wenn sie da sind loesche sie.

3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 Lokalhost drinstehen .
Alles andere loeschen

neustarten


Falls du die HKNQTWZ].dll nicht gefunden hast...versuche sie mit diesem Tool zu finden
#Lade das Tool ...scanne und dann klicke die einzelnen Prozesse an....bis du C:\WINDOWS\System32\HKNQTWZ].dll gefunden hast...dann klick und <unload<
http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27

##Deaktiviere kurz deinen Virenscanner und lade Antivirus
http://www.free-av.de/
Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
Scan starten

Dann lade mwav.exe ...30 Tage free und scanne <alle Datein<
http://www.mwti.net/antivirus/free_utilities.asp

1. Doppelklicken Sie in der Systemsteuerung auf Internetoptionen.
2. Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen.
3. Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben.
4. Klicken Sie auf OK.

dann stelle unter InternetOptionen eine neue Startseite ein und poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 19:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 20:33
Member

Beiträge: 1095
#23 @karnstein

Schau mal bitte in der Registry (Start/ausführen/regedit)
welche Datei unter diesem Schlüssel aufgeführt ist.
Schau mal bitte was unter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95204-7D77-11D2-9F81-00104B107C96}
In dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben?

Sehr wichtig!!!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 05.07.2004 um 20:33 Uhr von paff editiert.
Seitenanfang Seitenende
05.07.2004, 20:55
...neu hier

Beiträge: 8
#24 also wenn ich da nach "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95204-7D77-11D2-9F81-00104B107C96}" suche, dann finde ich den in nem ordner mit der adresse und ner datei, die (standard) heißt und die zahlenkennung als wert hat, und das bekomme ich dann raus wenn ich den schüsselnamen kopiere:

"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\TypeLib"

Wenn ich nach "inprocserver32" suche, dann findet er 2 sachen

"standard" wert = "%SystemRoot%\System32\mshtml.dll"
"Thread" wert = "Apartment"

wenn ich bei "standard" mir den schlüsselnamen kopiere bekomme ich: "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3050f499-98b5-11cf-bb82-00aa00bdce0b}\InProcServer32"

Hilft euch das jetzt weiter?
Seitenanfang Seitenende
05.07.2004, 21:11
Member

Beiträge: 1095
#25 @Karnstein

Schick mir bitte die Datei
"%SystemRoot%\System32\mshtml.dll"
<->
c:\windows\System32\mshtml.dll

aber gezippt an
mike_hangover@gozomail.com (Meine FakeEmail)

+ such bitte in der Registry alle EInträge mit "mshtml.dll"
Poste diese hier

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
05.07.2004, 21:20
Member

Beiträge: 1095
#26 @Karnstein
Check mal bitte das noch

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}

Welche Dateien stehen da

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 05.07.2004 um 21:26 Uhr von paff editiert.
Seitenanfang Seitenende
06.07.2004, 00:38
...neu hier

Beiträge: 8
#27 Also...

1. ich habe alles gemacht was Sabina vorgeschlagen hat:

- die 4 sachen via hijackthis gekillt, regenerieren sich aber sofort wieder

- abgesicherter modus, mit regedit die HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} gekillt, die Werte waren aber nach dem restart wieder da... ich habe es aber richtig verstanden das ich nur den wert und nicht das ganze teil kille, oder?

-msxword.dll wurde in der reg nicht gefunden
-HKNQTWZ].dll habe ich mit dem als link angebenen prog gekillt, nach dem restart war es aber wieder da.

-antivir ist durchgelaufen, ich habe nur den punkt mit der Heuristik nicht gefunden

-mwav.exe lief gerade 2h über meine gesammte platte, hat par schöne sachen ausgehoben die meine anti-virus+trojanerprogs nicht gefunden haben.

-i-net optionen wurden bearbeitet...

- zu dem:

Zitat

3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 Lokalhost drinstehen .
Alles andere loeschen

neustarten
habe ich auch gemacht, a) leider erst als letzten schritt und b) wenn ich es mit dem editor öffne finde ich den msn.home drin, nach nem umeditieren kann ich die host-datei aber nur noch als .txt abspeichern.


aktuelles hijackthislog:

Logfile of HijackThis v1.98.0
Scan saved at 00:29:07, on 06.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
c:\programme\internet explorer\iexplore.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\regedit.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
L:\hijackthis_198\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v45/yacscom.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020825/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll

@paff:

-email ist draussen

- mshmtl finde ich in:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs

res://mshtml.dll/repost.htm
res://mshtml.dll/about.moz
res://mshtml.dll/blank.htm


- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}
habe ich auch gerade gesucht:

hat 4 unterebenen mit folgenden dateien:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\VersionIndependentProgID

wert: PopKillerFilter.POPUPKillerFilterPP

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\TypeLib

wert: {63B95211-7D77-11D2-9F80-00104B107C96}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\Programmable

wert: nicht gesetzt

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\ProgID

wert: PopKillerFilter.POPUPKillerFilterPP.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\InprocServer32

wert: C:\WINDOWS\System32\HKNQTWZ].dll
wert: Apartment


Und auch wenn ich ungerne vor dem teil kapituliere, ich geh nun erst mal pennen, asonsten haut mich morgen mein chef noch.

Thx für die hilfe bisher,

Nicco
Seitenanfang Seitenende
06.07.2004, 09:24
Member

Beiträge: 1095
#28 @karnstein

Also, irgendwo versteckt sich noch eine Datei, die bei Windowsstart oder beim starten des Explorers immer wieder diese Einträge setzt. Die müssen wir finden.

Lad dir mal bitte diese Datei
http://tools.zerosrealm.com/downloads/pv.zip
und entpacke Sie in ein Verzeichnis.

Dann die "runme.bat" starten
Dann kannst du dir für den Explorer, den Internet Explorer jeweils die DLL's anziegen lassen.

Mach dies mal für 1-5
Speichere jeweils die Dateien. Jetzt kannst du die Logfile mal selber durchschauen ob irgendwo eine "ominöse" DLL angezeigt wird, deren Namen so ähnlich wie msxword.dll oder HKNQTWZ].dll ist. Achte auch auf DLL's die hinter der Versionsnummer keine Beschreibung haben.
Oder schick mir einfach die 5 Textdateien.

Gruß paff
P.S.
Wenn was unklar ist einfach melden
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
06.07.2004, 09:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 Karnstein

C:\WINDOWS\regedit.exe
nachdem du gemacht hast, was @Paff gepostet hat, ueberpruefe das bitte mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.07.2004 um 09:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.07.2004, 12:00
Member

Beiträge: 1095
#30

Zitat

Schau mal bitte in der Registry (Start/ausführen/regedit)
welche Datei unter diesem Schlüssel aufgeführt ist.
Schau mal bitte was unter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95204-7D77-11D2-9F81-00104B107C96}
In dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben?

Zitat

C:\WINDOWS\regedit.exe
nachdem du gemacht hast, was @Paff gepostet hat, ueberpruefe das bitte mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html

__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: