Coolwebsearch und DSO-Exploit, wer kann helfen ?

#1 Leider hat es auch meinen Computer erwischt. Und ich vermute fast, dass ich mir nicht nur ein Problem eingefangen habe. Trotz meiner wenigen Computerkenntnisse habe ich es geschafft, die oft empfohlenen Programme herunterzuladen (Ad-Aware, SpyBot-S&D, msav, CWShredder, HijackThis) und ein Logfile zu erstellen. Jippiie!!
Aber dadurch haben sich bislang meine Probleme nicht gemindert.
Ad-Aware findet anscheinend ständig Browser-Hijacker mit Herstellerangabe Coolwebsearch und Possible Browser Hijack attempt, SpyBot-S&D findet ein Teil namens DSO-Exploit und der CWShredder findet gar nichts.
Da ich jetzt mit meinem wenigen Computerlatein am Ende bin hoffe ich, dass mir jemand helfen kann.
Ach so, bevor ich meinen Logfile anhänge wollte ich noch 3 Fragen loswerden die ich trotz intensivem Forumlesen nicht klären konnte:

1. Wie deaktiviert bzw. aktiviert man Wiederherstellung ?
2. Was ist der abgesicherte Modus und wie funktioniert er ?
3: Wie „Fixe“ ich irgendwelche schad- oder fehlerhaften Teile ?

Ich hoffe es findet sich auch für mich ein Helfer oder eine Helferin !

Mein Logfile:

Logfile of HijackThis v1.98.0
Scan saved at 02:10:45, on 09.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\ipox32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\system32\d3oa32.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.134.156:3128;https=192.168.134.156:3128;ftp=192.168.134.156:3128;socks=192.168.134.156:1080
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {48A5C3C6-260E-AE9D-A96F-F7910E4CA2F9} - C:\WINNT\system32\d3qs.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [d3oa32.exe] C:\WINNT\system32\d3oa32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.134.156:3128/ken2000.html

#2 @thorsten-1

Geh mal in den abgesicherten Modus von WIN2000
http://www.bsi.de/av/texte/winsave.htm

Fixe dies in HiJAckThis (ankreuzen FixChecked drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {48A5C3C6-260E-AE9D-A96F-F7910E4CA2F9} - C:\WINNT\system32\d3qs.dll
O4 - HKLM\..\Run: [d3oa32.exe] C:\WINNT\system32\d3oa32.exe

Dann neustart und nochmal log posten


Währendessen die Dateien gezippt bitte an virus@rokop-secuity.de schicken
C:\WINNT\system32\d3oa32.exe
C:\WINNT\system32\cdcph.dll

Dann das durchführen
http://www.rokop-security.de/main/article.php?sid=703
http://www.rokop-security.de/board/index.php?showtopic=3867

Gruß paff
TIP:Leg dir einen Virenscanner zu www.freeav.de
www.windowsupdate.com wäre auch nicht schlecht
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Hallo paff,

Danke erst mal dass Du dich meines Problems annimmst.
Ich habe Deine Anweisungen befolgt.
3 Problemchen hatte ich:

1. Im abgesicherten Modus konnte ich nur einige der von Dir angegebenen Teile fixen. Leider musste ich feststellen, dass nicht alle von Dir genannten Dateien mit exakt gleichem Namen zu finden waren.

2. Auch die Datei C:\WINNT\system32\cdcph.dll habe ich nicht gefunden um sie an Rokop zu senden.

3. Beim Neustart des Rchners wurden die beiden Meldungen

C:\WINNT\sysyk.exe ist keine zulässige WIN32-Anwendung
C:\WINNT\atlcm.exe ist keine zulässige WIN32-Anwendung

angezeigt.

Was hat das nun zu bedeuten ?

Gruß Thorsten



Logfile of HijackThis v1.98.0
Scan saved at 11:47:47, on 09.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\cdcph.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdcph.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.134.156:3128;https=192.168.134.156:3128;ftp=192.168.134.156:3128;socks=192.168.134.156:1080
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://192.168.134.156:3128/ken2000.html

#4 @Thorsten

irgendwas ist bei dir komisch
Dein Log sieht unheimlich kurz aus
Es ist verwunderlich das dieser Prozess
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
angezeigt wird obwohl kein Starteintrag im Log steht.
Muß wohl als Dienste eingetragen sein. Kein Panik der Prozess ist "GUT"
Im kompletten Startlog sieht man auch die gestarteten Dienste

Poste bitte mal das komplette Startlog

HiJackThis öffnen
Drücke config
wähle Misc Tools
kreuze an "List minor Section"
Drücke "Generat StartUpList log"

Poste das logfile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Hallo paff,

bin froh, dass Du dich so schnell meldest.
Habe Dir nachfolgend den kompletten Startlog gepostet.
Bin derzeit ein bischen unsicher weil ich nicht weiß ob ich die von Dir angegebenen nächsten Schritte (Prokop-Erste Hilfe bei Hijackern und die Überprüfung mit e-scan) schon durchführen soll.
Ad-aware habe ich schon laufen lassen und auch SpyBot-S&D.
Hatte leider wieder Treffer.
Konnte Dir dies aber nicht mitteilen, da ich im Forum ja nicht doppelposten darf.

Gruß Thorsten


StartupList report, 09.07.2004, 12:43:19
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
Matrox Powerdesk = C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = "C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=(Kein)
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINNT\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38166.0909375

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart)
Computerbrowser: %SystemRoot%\System32\services.exe (autostart)
DHCP-Client: %SystemRoot%\System32\services.exe (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\services.exe (autostart)
DNS-Client: %SystemRoot%\System32\services.exe (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
GhostStartService: C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe (autostart)
AVM KEN Klient: C:\Programme\KEN!\KENCLI.EXE (autostart)
Server: %SystemRoot%\System32\services.exe (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\services.exe (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\services.exe (autostart)
Nachrichtendienst: %SystemRoot%\System32\services.exe (autostart)
MGABGEXE: %SystemRoot%\system32\mgabg.exe (autostart)
AVM KEN CAPI: \SystemRoot\System32\Drivers\ndc.sys (autostart)
Anmeldedienst: %SystemRoot%\System32\lsass.exe (autostart)
Wechselmedien: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Richtlinienagent: %SystemRoot%\System32\lsass.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\services.exe (autostart)
Remote-Registrierungsdienst: %SystemRoot%\system32\regsvc.exe (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Taskplaner: %SystemRoot%\system32\MSTask.exe (autostart)
Dienst "Ausführen als": %SystemRoot%\system32\services.exe (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\services.exe (autostart)
Windows-Zeitgeber: %SystemRoot%\System32\services.exe (autostart)
Windows-Verwaltungsinstrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)
Automatische Updates: %systemroot%\system32\svchost.exe -k wugroup (autostart)


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\system32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 8.082 bytes
Report generated in 0,161 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

#6

Zitat

Thorsten-1 postete
Hallo paff,

Bin derzeit ein bischen unsicher weil ich nicht weiß ob ich die von Dir angegebenen nächsten Schritte (Rokop-Erste Hilfe bei Hijackern und die Überprüfung mit e-scan) schon durchführen soll.
Ad-aware habe ich schon laufen lassen und auch SpyBot-S&D.
Hatte leider wieder Treffer.
Konnte Dir dies aber nicht mitteilen, da ich im Forum ja nicht doppelposten darf.

Lass den mwav.exe ruhig laufen kann nie verkehrt sein.
Dein log sieht nämlich sauber aus.

Also schauen wir mal was die mwav.exe sagt

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Hey paff !
Vielen Dank. Ich glaube ich bin den Hijacker los.
Habe den mwav.exe bzw. 'e Scan laufen lassen. Das Teil lief jetzt fast 2 Stunden.
Zu meiner Beunruhigung hatte dieser Virenscanner meines erachtens fast zu viel Erfolg. Über 360 Treffer.
Leider kann ich das überhaupt nicht beurteilen, weil sehr viele Dateien meines erachtens im vom gleichen Trojaner befallen waren.

Häufigste Information war:
C:\WINNT\<Dateiname> infected by "TrojanDownloader.Win32.Agent.an" Virus

Anstelle der Endung *Agent.an gab es auch *Agent.ap, *Agent.c und *Small.kc

Vielleicht kannst Du mir dazu noch was sagen.
Ich hab jetzt nur die Internetstartseite getestet. Muss später mal noch SpyBot-S&D laufen lassen ob dieser DSO-Exploit noch vorhanden ist.
Oder hatte der auch mit dem Hijackerproblem zu tun ?

Paff, melde dich bitte noch mal.

P.S.: Nochmal herzlichen Dank und würde mich gerne revanchieren. Kenne mich aber nur im Bausektor und leider zu wenig im Computersektor aus.

#8 @Thorsten

Vergißt erstmal den "DSO-Exploit", das ist mehr Painkmache.
Der Agobot legt echt böse viel Dateien an. Der legt die in den Freigegebenen Verzeichnissen von Filesharing-Progs an.
Ich erinnere mich dunkel

WICHTIG.
Du mußt unbedingt ein Windowsupdate machen. Dein Windows ist Patchmässig in der Steinzeit. Mit viel Pech hast du nach dem Einloggen ins Internet die ganze Schei*** schon wieder drauf.

Auch installier dir eine Virenscanner
www.freeav.de ist kostenslos für Privatanwender.

Schick mir bitte mal das Logfile der mwav.exe an
mike_hangover@gozomail.com

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#9 @ paff


Woher bekomme ich das logfile der mwav.exe ?

Apropos Freeav bzw. AntiVir, ich dachte Ad-aware ist vergleichbar oder eher besser?

Gruß Thorsten

#10 @ Thorsten Hallo,
Das mit dem DSO Exploit ist ein Bug ( Fehler des Tools )
Ist bei mir auch Also keine Sorge..

Soweit ich das mitbekommen habe Aber such doch, gibt andere Them über DSO Exploit in diesem Forum

#11 Thorsten-1
Wenn du am Scannende von mwav.exe angelangt bist, kopiere das Endlog, also den infizierten Teil ins Forum.

MfG
Savina
__________
MfG Sabina

rund um die PC-Sicherheit

#12 @Sabina

Das heisst also nochmal scannen mit mwav.exe.
Aber die beim ersten Scan gefundenen Viren sind doch nun weg.
Na ja, dann lass ich dieses Teil halt nochmal 2 Stunden laufen. Wenn' s hilft !
Vieleicht findet er ja wieder was.

Kann mir jemand noch meine noch unbeantwortete Frage beantworten. Wäre echt nett.
Ist Ad-aware nicht vergleichbar mit Freeav bzw. AntiVir oder sogar eher besser?
Oder ist es vieleicht von Vorteil viele verschiedene Virenscanner zu installieren ?

#13 Thorsten-1

#Bleibe beim Antivirus als Virenscanner , mit dem aktivierten Guard...und immer updaten !
#die mwav.exe deinstallierst du nach 30 Tagen...dann ist sie nicht mehr free
#Der AdAware, Spybot, Spysweeper zum Beispiel...sind keine Virenscanner.
den AdAware musst du immer updaten
Man kann heuzutage leider nicht genug Spywarescanner haben.......

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit