Home » Spyware & Browser Hijacker Support Forum » Dso Exploit und die Datei Pmshared » Themenansicht

Dso Exploit und die Datei Pmshared
#0
27.07.2004, 00:24
XxJooO
...neu hier

Beiträge: 3
#1 Hallo Leuts, ich bin beeindruckt, mit wieviel Engagement in diesem Bord das Problem angegangen wird. Gefunden habe ich Euch erst nach einigem Suchen und nachdem es mir am Samstag in etwa 8 Stunden Arbeit gelungen ist, das Problem zu lösen. Ich konnte die DLL finden und killen und scheinbar läuft alles wieder normal bis auf...
In meinem Temp-Verzeichnis erscheint immer wieder eine Datei PMSHARED ohne Endung, die Datei ist 4 Bytes lang. Sie wird immer dann hinterlassen,wenn ich den IE aufgerufen und geschlossen habe. Die Datei sp.html auf die der Browser umgebogen wurde, erscheint nicht mehr.

Frage: Was ist diese Datei, wo kommt sie her und scher ich mich drum oder muss es doch nicht sein? Sollte ich wohl auch mal meinen HiJackThis-Log hier vorstellen und es ist noch gar nicht alles gekillt?

Dank Euch für Eure Aufmerksamkeit.

Jo
Seitenanfang Seitenende
27.07.2004, 00:35
paff
Member

Beiträge: 1095
#2

Zitat

XxJooO postete
Hallo Leuts, ich bin beeindruckt, mit wieviel Engagement in diesem Bord das Problem angegangen wird. Gefunden habe ich Euch erst nach einigem Suchen und nachdem es mir am Samstag in etwa 8 Stunden Arbeit gelungen ist, das Problem zu lösen. Ich konnte die DLL finden und killen und scheinbar läuft alles wieder normal bis auf...


Frage: Was ist diese Datei, wo kommt sie her und scher ich mich drum oder muss es doch nicht sein? Sollte ich wohl auch mal meinen HiJackThis-Log hier vorstellen und es ist noch gar nicht alles gekillt

1. Welches Problem hast du gelöst

2. HiJackThis Logfile posten kann nie Falsch sein ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
27.07.2004, 00:49
XxJooO
...neu hier

Themenstarter

Beiträge: 3
#3 1. Welches Problem hast du gelöst

2. HiJackThis Logfile posten kann nie Falsch sein ;)

Gruß paff Hallo, das Problem, dass ich wohl auch so ein Adware Teil (idff.dll) auf dem Rechner hatte, dass immer wieder die Seite auf eine sp.html umbog. Diese Datei sp.html stand immer im Temp-Verzeichnis, zusammen mit der Datei PMSHARED. Das Log-File kann ich erst morgen posten, da ich im Moment auf der Arbeit bin. Die DLL und die sp.html bin ich losgeworden, geholfen hat mir dabei BHOdaemon. Mein IE funktioniert wieder wie gewohnt, es belibt diese PMSHARED. Ich kann sie löschen und nach dem nächsten Aufruf von IE ist sie wieder da...
Seitenanfang Seitenende
27.07.2004, 00:57
paff
Member

Beiträge: 1095
#4 Hi XxJooO


Im abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm

Das hier machen
http://www.rokop-security.de/board/index.php?showtopic=3867

Dann erst das Logfile posten

Gruß paff
P.S.
Jetzt arbeiten ist ja echt heftig ;) Beileid
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
27.07.2004, 10:24
XxJooO
...neu hier

Themenstarter

Beiträge: 3
#5 Ok, hab ich gemacht, hier das Log-File:

Logfile of HijackThis v1.98.0
Scan saved at 10:25:04, on 27.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
E:\WINNT\System32\svchost.exe
E:\WIN2000\Norton Internet Security 2004\Norton AntiVirus\navapsvc.exe
E:\Programme\VeriSign\NAVI\naviagent.exe
E:\WINNT\System32\nvsvc32.exe
E:\WINNT\system32\regsvc.exe
E:\WIN2000\Norton Internet Security 2004\Norton AntiVirus\SAVScan.exe
E:\WINNT\system32\MSTask.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
E:\WINNT\system32\stisvc.exe
E:\WINNT\System32\WFXSVC.EXE
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\win2000\WinFax\WFXMOD32.EXE
E:\WINNT\system32\svchost.exe
E:\WINNT\Explorer.EXE
E:\WINNT\system32\RunDll32.exe
E:\WINNT\system32\wfxsnt40.exe
E:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
E:\WINNT\system32\ctfmon.exe
E:\WIN2000\BHODemon 2\BHODemon.exe
E:\WIN2000\AOL 9.0\waol.exe
E:\WIN2000\AOL 9.0\shellmon.exe
E:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
E:\WIN2000\Microsoft Office\Office10\OUTLOOK.EXE
E:\WINNT\msagent\AgentSvr.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
L:\Downloads und Updates\spyware\HijackThis\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\WIN2000\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\WIN2000\Norton Internet Security 2004\Norton AntiVirus\NavShExt.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\WIN2000\Norton Internet Security 2004\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [LVCOMS] E:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] E:\win2000\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] E:\win2000\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] E:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\win2000\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: BHODemon 2.0.lnk = E:\WIN2000\BHODemon 2\BHODemon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\WIN2000\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINNT\system32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp/activedata/symsupportutil.CAB
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2D75377-605F-43E4-A8DB-9CE15DE9D648}: NameServer = 205.188.146.146
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1