Coolwebsearch und DSO-Exploit, wer kann helfen ? |
||
---|---|---|
#0
| ||
09.07.2004, 01:10
...neu hier
Beiträge: 6 |
||
|
||
09.07.2004, 02:12
Member
Beiträge: 1095 |
#2
@thorsten-1
Geh mal in den abgesicherten Modus von WIN2000 http://www.bsi.de/av/texte/winsave.htm Fixe dies in HiJAckThis (ankreuzen FixChecked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\cdcph.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {48A5C3C6-260E-AE9D-A96F-F7910E4CA2F9} - C:\WINNT\system32\d3qs.dll O4 - HKLM\..\Run: [d3oa32.exe] C:\WINNT\system32\d3oa32.exe Dann neustart und nochmal log posten Währendessen die Dateien gezippt bitte an virus@rokop-secuity.de schicken C:\WINNT\system32\d3oa32.exe C:\WINNT\system32\cdcph.dll Dann das durchführen http://www.rokop-security.de/main/article.php?sid=703 http://www.rokop-security.de/board/index.php?showtopic=3867 Gruß paff TIP:Leg dir einen Virenscanner zu www.freeav.de www.windowsupdate.com wäre auch nicht schlecht __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 09.07.2004 um 02:15 Uhr von paff editiert.
|
|
|
||
09.07.2004, 10:57
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo paff,
Danke erst mal dass Du dich meines Problems annimmst. Ich habe Deine Anweisungen befolgt. 3 Problemchen hatte ich: 1. Im abgesicherten Modus konnte ich nur einige der von Dir angegebenen Teile fixen. Leider musste ich feststellen, dass nicht alle von Dir genannten Dateien mit exakt gleichem Namen zu finden waren. 2. Auch die Datei C:\WINNT\system32\cdcph.dll habe ich nicht gefunden um sie an Rokop zu senden. 3. Beim Neustart des Rchners wurden die beiden Meldungen C:\WINNT\sysyk.exe ist keine zulässige WIN32-Anwendung C:\WINNT\atlcm.exe ist keine zulässige WIN32-Anwendung angezeigt. Was hat das nun zu bedeuten ? Gruß Thorsten Logfile of HijackThis v1.98.0 Scan saved at 11:47:47, on 09.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\KEN!\KENCLI.EXE C:\WINNT\system32\mgabg.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\PDesk\PDesk.exe C:\WINNT\system32\internat.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdcph.dll/index.html#96676 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.134.156:3128;https=192.168.134.156:3128;ftp=192.168.134.156:3128;socks=192.168.134.156:1080 R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: START_PAGE_URL=http://192.168.134.156:3128/ken2000.html |
|
|
||
09.07.2004, 11:25
Member
Beiträge: 1095 |
#4
@Thorsten
irgendwas ist bei dir komisch Dein Log sieht unheimlich kurz aus Es ist verwunderlich das dieser Prozess C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe angezeigt wird obwohl kein Starteintrag im Log steht. Muß wohl als Dienste eingetragen sein. Kein Panik der Prozess ist "GUT" Im kompletten Startlog sieht man auch die gestarteten Dienste Poste bitte mal das komplette Startlog HiJackThis öffnen Drücke config wähle Misc Tools kreuze an "List minor Section" Drücke "Generat StartUpList log" Poste das logfile Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
09.07.2004, 11:46
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo paff,
bin froh, dass Du dich so schnell meldest. Habe Dir nachfolgend den kompletten Startlog gepostet. Bin derzeit ein bischen unsicher weil ich nicht weiß ob ich die von Dir angegebenen nächsten Schritte (Prokop-Erste Hilfe bei Hijackern und die Überprüfung mit e-scan) schon durchführen soll. Ad-aware habe ich schon laufen lassen und auch SpyBot-S&D. Hatte leider wieder Treffer. Konnte Dir dies aber nicht mitteilen, da ich im Forum ja nicht doppelposten darf. Gruß Thorsten StartupList report, 09.07.2004, 12:43:19 StartupList version: 1.52.2 Started from : C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.EXE Detected: Windows 2000 SP4 (WinNT 5.00.2195) Detected: Internet Explorer v6.00 (6.00.2600.0000) * Using default options * Showing rarely important sections ================================================== Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\KEN!\KENCLI.EXE C:\WINNT\system32\mgabg.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\PDesk\PDesk.exe C:\WINNT\system32\internat.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINNT\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Synchronization Manager = mobsync.exe /logon Matrox Powerdesk = C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run internat.exe = internat.exe -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{6A5110B5-E14B-4268-A065-EF89FF33C325}] * StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe [{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] * StubPath = %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl -------------------------------------------------- Shell & screensaver key from C:\WINNT\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=(Kein) drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINNT\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINNT\Explorer\Explorer.exe: not present C:\WINNT\System\Explorer.exe: not present C:\WINNT\System32\Explorer.exe: not present C:\WINNT\Command\Explorer.exe: not present C:\WINNT\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Enumerating Download Program Files: [Update Class] InProcServer32 = C:\WINNT\System32\iuctl.dll CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38166.0909375 [Shockwave Flash Object] InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating Windows NT/2000/XP services Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart) Computerbrowser: %SystemRoot%\System32\services.exe (autostart) DHCP-Client: %SystemRoot%\System32\services.exe (autostart) Verwaltung logischer Datenträger: %SystemRoot%\System32\services.exe (autostart) DNS-Client: %SystemRoot%\System32\services.exe (autostart) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) GhostStartService: C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe (autostart) AVM KEN Klient: C:\Programme\KEN!\KENCLI.EXE (autostart) Server: %SystemRoot%\System32\services.exe (autostart) Arbeitsstationsdienst: %SystemRoot%\System32\services.exe (autostart) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\services.exe (autostart) Nachrichtendienst: %SystemRoot%\System32\services.exe (autostart) MGABGEXE: %SystemRoot%\system32\mgabg.exe (autostart) AVM KEN CAPI: \SystemRoot\System32\Drivers\ndc.sys (autostart) Anmeldedienst: %SystemRoot%\System32\lsass.exe (autostart) Wechselmedien: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Plug & Play: %SystemRoot%\system32\services.exe (autostart) IPSEC-Richtlinienagent: %SystemRoot%\System32\lsass.exe (autostart) Geschützter Speicher: %SystemRoot%\system32\services.exe (autostart) Remote-Registrierungsdienst: %SystemRoot%\system32\regsvc.exe (autostart) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Taskplaner: %SystemRoot%\system32\MSTask.exe (autostart) Dienst "Ausführen als": %SystemRoot%\system32\services.exe (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\services.exe (autostart) Windows-Zeitgeber: %SystemRoot%\System32\services.exe (autostart) Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart) Automatische Updates: %systemroot%\system32\svchost.exe -k wugroup (autostart) -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll WebCheck: C:\WINNT\system32\webcheck.dll SysTray: stobject.dll -------------------------------------------------- End of report, 8.082 bytes Report generated in 0,161 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
|
|
||
09.07.2004, 12:01
Member
Beiträge: 1095 |
#6
Zitat Thorsten-1 posteteLass den mwav.exe ruhig laufen kann nie verkehrt sein. Dein log sieht nämlich sauber aus. Also schauen wir mal was die mwav.exe sagt Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
09.07.2004, 15:53
...neu hier
Themenstarter Beiträge: 6 |
#7
Hey paff !
Vielen Dank. Ich glaube ich bin den Hijacker los. Habe den mwav.exe bzw. 'e Scan laufen lassen. Das Teil lief jetzt fast 2 Stunden. Zu meiner Beunruhigung hatte dieser Virenscanner meines erachtens fast zu viel Erfolg. Über 360 Treffer. Leider kann ich das überhaupt nicht beurteilen, weil sehr viele Dateien meines erachtens im vom gleichen Trojaner befallen waren. Häufigste Information war: C:\WINNT\<Dateiname> infected by "TrojanDownloader.Win32.Agent.an" Virus Anstelle der Endung *Agent.an gab es auch *Agent.ap, *Agent.c und *Small.kc Vielleicht kannst Du mir dazu noch was sagen. Ich hab jetzt nur die Internetstartseite getestet. Muss später mal noch SpyBot-S&D laufen lassen ob dieser DSO-Exploit noch vorhanden ist. Oder hatte der auch mit dem Hijackerproblem zu tun ? Paff, melde dich bitte noch mal. P.S.: Nochmal herzlichen Dank und würde mich gerne revanchieren. Kenne mich aber nur im Bausektor und leider zu wenig im Computersektor aus. |
|
|
||
09.07.2004, 16:09
Member
Beiträge: 1095 |
#8
@Thorsten
Vergißt erstmal den "DSO-Exploit", das ist mehr Painkmache. Der Agobot legt echt böse viel Dateien an. Der legt die in den Freigegebenen Verzeichnissen von Filesharing-Progs an. Ich erinnere mich dunkel WICHTIG. Du mußt unbedingt ein Windowsupdate machen. Dein Windows ist Patchmässig in der Steinzeit. Mit viel Pech hast du nach dem Einloggen ins Internet die ganze Schei*** schon wieder drauf. Auch installier dir eine Virenscanner www.freeav.de ist kostenslos für Privatanwender. Schick mir bitte mal das Logfile der mwav.exe an mike_hangover@gozomail.com Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
09.07.2004, 18:58
...neu hier
Themenstarter Beiträge: 6 |
#9
@ paff
Woher bekomme ich das logfile der mwav.exe ? Apropos Freeav bzw. AntiVir, ich dachte Ad-aware ist vergleichbar oder eher besser? Gruß Thorsten Dieser Beitrag wurde am 09.07.2004 um 19:10 Uhr von Thorsten-1 editiert.
|
|
|
||
09.07.2004, 19:15
Member
Beiträge: 149 |
#10
@ Thorsten Hallo,
Das mit dem DSO Exploit ist ein Bug ( Fehler des Tools ) Ist bei mir auch Also keine Sorge.. Soweit ich das mitbekommen habe Aber such doch, gibt andere Them über DSO Exploit in diesem Forum |
|
|
||
10.07.2004, 16:50
Ehrenmitglied
Beiträge: 29434 |
#11
Thorsten-1
Wenn du am Scannende von mwav.exe angelangt bist, kopiere das Endlog, also den infizierten Teil ins Forum. MfG Savina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.07.2004 um 16:50 Uhr von Sabina editiert.
|
|
|
||
10.07.2004, 21:47
...neu hier
Themenstarter Beiträge: 6 |
#12
@Sabina
Das heisst also nochmal scannen mit mwav.exe. Aber die beim ersten Scan gefundenen Viren sind doch nun weg. Na ja, dann lass ich dieses Teil halt nochmal 2 Stunden laufen. Wenn' s hilft ! Vieleicht findet er ja wieder was. Kann mir jemand noch meine noch unbeantwortete Frage beantworten. Wäre echt nett. Ist Ad-aware nicht vergleichbar mit Freeav bzw. AntiVir oder sogar eher besser? Oder ist es vieleicht von Vorteil viele verschiedene Virenscanner zu installieren ? |
|
|
||
11.07.2004, 14:31
Ehrenmitglied
Beiträge: 29434 |
#13
Thorsten-1
#Bleibe beim Antivirus als Virenscanner , mit dem aktivierten Guard...und immer updaten ! #die mwav.exe deinstallierst du nach 30 Tagen...dann ist sie nicht mehr free #Der AdAware, Spybot, Spysweeper zum Beispiel...sind keine Virenscanner. den AdAware musst du immer updaten Man kann heuzutage leider nicht genug Spywarescanner haben....... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Aber dadurch haben sich bislang meine Probleme nicht gemindert.
Ad-Aware findet anscheinend ständig Browser-Hijacker mit Herstellerangabe Coolwebsearch und Possible Browser Hijack attempt, SpyBot-S&D findet ein Teil namens DSO-Exploit und der CWShredder findet gar nichts.
Da ich jetzt mit meinem wenigen Computerlatein am Ende bin hoffe ich, dass mir jemand helfen kann.
Ach so, bevor ich meinen Logfile anhänge wollte ich noch 3 Fragen loswerden die ich trotz intensivem Forumlesen nicht klären konnte:
1. Wie deaktiviert bzw. aktiviert man Wiederherstellung ?
2. Was ist der abgesicherte Modus und wie funktioniert er ?
3: Wie „Fixe“ ich irgendwelche schad- oder fehlerhaften Teile ?
Ich hoffe es findet sich auch für mich ein Helfer oder eine Helferin !
Mein Logfile:
Logfile of HijackThis v1.98.0
Scan saved at 02:10:45, on 09.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\ipox32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\system32\d3oa32.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.134.156:3128;https=192.168.134.156:3128;ftp=192.168.134.156:3128;socks=192.168.134.156:1080
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {48A5C3C6-260E-AE9D-A96F-F7910E4CA2F9} - C:\WINNT\system32\d3qs.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [d3oa32.exe] C:\WINNT\system32\d3oa32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.134.156:3128/ken2000.html