DSO Exploit geht nicht durch Registrierungsänderung weg + andere Probs!

#0
01.08.2004, 22:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16

Zitat

matthias3105 postete
Also in ShellServiceObjectDelayLoad steht bei (Standard) (Wert nicht gesetzt) und bei WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" mehr ist da in dem Ordner nicht drinnen!
Suche bitte eine Shimgapi.dll UND LOESCHE SIE

LOESCHE AUCH
# %WinDIR%\%SystemDIR%\Shimgapi.dll
# \%WinDIR%\%SystemDIR%\Taskmon.exe
# \%WinDIR%\%Temp%\Message.
# \%My Shared Folder%\activation_crack.*
# \%My Shared Folder%\icq2004_final.*
# \%My Shared Folder%\nuke2004.*
# \%My Shared Folder%\office_crack.*
# \%My Shared Folder%\rootkitXP.*
# \%My Shared Folder%\strip-girl-2.0bdcom_patches.*
# \%My Shared Folder%\winamp5.*


[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\%WinDIR%\\%SystemDIR%\\shimgapi.dll"

# [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"TaskMon"="C:\\%WinDIR%\\%SystemDIR%\\taskmon.exe"

# [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"TaskMon"="C:\\%WinDIR%\\%SystemDIR%\\taskmon.exe"

Worm/MyDoom verbreitet sich über den Versand von Emails, wie auch über das P2P Netzwerk KaZaA. Wird der Wurm ausgeführt, öffnet dieser die Windows Notepad.exe (Editor) und zeigt eine Datei mit dem Namen MESSAGE. an. In dieser bekommt der Anwender nur 'Datenmüll' zu sehen.
http://www.hbedv-antivirus.com/ken/vireninfos/mydoom.html

Der Wurm erstellt im Windows Systemverzeichnis eine Datei mit dem Namen "SHIMGAPI.DLL". Diese enthält eine Backdoor Komponente, welche potentielle Angreifer Zugriff über die TCP Ports 3127 bis 3198 auf den Rechner erlaubt.

..............................................................................................................
Scanne also unbedingt mit den Tools, die ich gepostet habe !!!!!!!!!!!!
das ist bestimmt sicherer, als in der Registry zu loeschen !
Konfiguriere Antivirus
<alle Dateien< scannen
<Heuristic:hoch

und mache einen Vollscann mit dem Antivirus


#Lade mwav.exe. scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Loesche manuell, was der Scanner nur anzeigt, aber nicht beseitigt.
#Lade AdAware free und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade Spywarguard
http://www.javacoolsoftware.com/sgdownload.html
#Lade Spysweeper
http://www.spysweeper.com/

#Lade ClearProg und loesche die TemporaryInternetfiles und Cookies
http://www.clearprog.de/
und stelle unter Internetoptionen eine neue Startseite ein.
#Lade Firefox als Zweitbrowser...ist sicherer und surfe nur mit diesem Browser
http://firefox.dnsalias.org/windows.htm
#RegCleaner...Saeubere den Computer von nutzlosen Eintraegen
http://www.chip.de/downloads/c_downloads_8830516.html

#wenn du dann noch die Nerven dafuer hast, mache noch Onlinescanns
http://www.johannrain-softwareentwicklung.business.t-online.de/online_virensuche.htm
Dann poste das Log noch mal.


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.08.2004 um 22:37 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.08.2004, 23:39
Member

Themenstarter

Beiträge: 12
#17 Finde keine Datei shimgapi.dll!!
Was soll ich jetzt machen?!
Dieser Beitrag wurde am 02.08.2004 um 00:17 Uhr von matthias3105 editiert.
Seitenanfang Seitenende
02.08.2004, 01:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 LOESCHE DANN DIESEN EINTRAG
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32]


2. Konfiguriere Antivirus
<alle Dateien< scannen
<Heuristic:hoch

und mache einen Vollscann mit dem Antivirus


#Lade mwav.exe. scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Loesche manuell, was der Scanner nur anzeigt, aber nicht beseitigt.
#Lade AdAware free und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade Spywarguard
http://www.javacoolsoftware.com/sgdownload.html
#Lade Spysweeper
http://www.spysweeper.com/

#Lade ClearProg und loesche die TemporaryInternetfiles und Cookies
http://www.clearprog.de/
und stelle unter Internetoptionen eine neue Startseite ein.
#Lade Firefox als Zweitbrowser...ist sicherer und surfe nur mit diesem Browser
http://firefox.dnsalias.org/windows.htm
#wenn du dann noch die Nerven dafuer hast, mache noch Onlinescanns
http://www.johannrain-softwareentwicklung.business.t-online.de/online_virensuche.htm

wenn was nicht klappt...frage...kein Problem !
Dann poste das Log noch mal.

gruss
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.08.2004 um 01:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.08.2004, 01:18
Member

Themenstarter

Beiträge: 12
#19 Habe vorher schon nach deinem ersten Tipp begonnen und system32.dll gelöscht - schlimm??
Werde das jetzt mal versuchen und dann den log posten!


/ Edit: AntiVir konnte eine .jar Datei nicht löshcne, was ich manuel gemacht habe!
Dann hat AntiVir noch 2 Dateien erkannt diese aber weder gelöscht noch sonst irgendwas damit gemacht - was ist da wieder los?!
Sollte das durch eScan oder den OnlineScan erkannt werden??
Dieser Beitrag wurde am 02.08.2004 um 01:23 Uhr von matthias3105 editiert.
Seitenanfang Seitenende
02.08.2004, 01:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 es ist alles in Ordnung.

Das Backdoor <Virus Mydoom.B wird in die Registry eingetragen:

#LOESCHE DANN DIESEN EINTRAG
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32]

#und dann scanne mit dem korrekt konfigurierten Antivrus, lade die anderen Tools und scanne, wie oben angegeben.
Das wird einige Zeit dauern, bis du alles durchgescannt hast.
Also bis morgen.
Poste dann das gesaeuberte Log.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.08.2004 um 01:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.08.2004, 01:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Dann hat AntiVir noch 2 Dateien erkannt diese aber weder gelöscht noch sonst irgendwas damit gemacht -......

Welche Dateien waren das ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2004, 01:29
Member

Themenstarter

Beiträge: 12
#22 Den kompletten Ordner InProcServer32 löschen?!

Okay, THX bis morgen denne.
Seitenanfang Seitenende
02.08.2004, 01:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23

Zitat

matthias3105 postete
Den kompletten Ordner InProcServer32 löschen?!

Okay, THX bis morgen denne.
Mach es mal lieber nicht...jetzt bekomme ich doch weiche Knie.... ;)
Scanne, und dann sehen wir weiter.

@Paff, @Raman...koennt ihr euch das mal ansehen ???
http://www.percomp.de/query/show_entry.php?index=1378
Das Backdoor <Virus Mydoom.B wird in die Registry eingetragen:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32]
Kann man das ohne Bedenken einfach loeschen ????
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.08.2004 um 01:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.08.2004, 01:50
Member

Beiträge: 16
#24 Hab jetzt einen anderen Namen - weil ich etwas Mist gebaut habe...


Das mit dem Löschen ist leider schon passiert!!
Aber nach einem Neustart konnte ich keine Probs feststellen - hoffe da gibts auch keine!

Werde jetzt erst mal alles abscannen wie oben beschrieben.
Seitenanfang Seitenende
02.08.2004, 10:01
Member

Beiträge: 1095
#25 @mat3105

Poste dann nochmal das HiAJckThis Logfile damit man mal sieht welchen stand du hast.
Plus welche Problem im Moment auftreten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
02.08.2004, 10:50
Member

Beiträge: 16
#26 Bei dem RegCleaner weiß ich aber nicht, welche Einträge ich löschen kann und welche nicht!?
Wie wende ich den Cleaner an??

Der kann auch erst mal weggelassen werden, oder?
Seitenanfang Seitenende
02.08.2004, 11:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 @mat1305
RegCleaner

1. zuerst gibt es eine Funktion:Optionen< Sprache...kannst du in Deutsch einstellen.
2. Tools<Registry saeubern<alles durchfuehren<
dann kannst du alles loeschen.
Falls etwas danach nicht mehr klappt, kann man ueber <Sicherung< alles wieder rueckgaengig machen.

Poste dann nach der Reinigung das Log noch mal.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.08.2004 um 11:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.08.2004, 11:58
Member

Beiträge: 16
#28 Mit "dann kannst du alles löschen" meinst du, dass der RegCleaner das dann automatisch macht??
Seitenanfang Seitenende
02.08.2004, 12:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 Nur wenn du ihn auf <Automatik< einstellst.
Wenn er auf <manuell <eingestellt ist, musst du alles anhaken und dann loeschen.
Loesche aber nichts, was unter <Sicherung< ist.!!!
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.08.2004 um 12:09 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.08.2004, 12:22
Member

Beiträge: 16
#30 Habe bei FRegCleaner erst Automatik ausgeführt und dann manuell noch was gelöscht wovon ich sicher bin, dass es weg konnte!

Firefox habe ich einfach in Programme entpackt und die firefox.exe auf den Desktop verknüpft, richtig??

Unter Firefox geht der Online Scan aber nicht und im IE kann ich zwar noch diese Grafik Online Scan anklicken, doch im neuen Fenster, was sich dann öffnet ist alles weiß!?

Hier das Logfile:
Logfile of HijackThis v1.98.0
Scan saved at 12:27:37, on 02.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\CREATIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB09.EXE
C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\WINDOWS\98SAFEREMOVE.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAMME\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAMME\SPYWAREGUARD\SGBHP.EXE
C:\PROGRAMME\HP\HPCORETECH\COMP\HPTSKMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\PRUEFUNG.COM

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb09.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AnyDVD] C:\PROGRAMME\ANYDVD\ANYDVD.EXE
O4 - HKLM\..\Run: [98SafeRemove] C:\Windows\98SafeRemove.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) -
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\PROGRAMME\HP\HPCORETECH\COMP\HPUIPROT.DLL


Was immer noch nicht richtig geht ist, dass im Arbeitsplatz der Inhalt von Ordner nicht angezeigt wird, sondern nur das Symbol für Bilder und das im IE jede Site als VertrauenswürdigeSites angezeigt wird!!
Startseite ist aber okay.

Allerdings habe ich seit der ganzen Prozedur noch keinen Neustart gemacht!?


SCHON BESSER?!?! WAS IST JETZT NOCH ZU TUN???
Dieser Beitrag wurde am 02.08.2004 um 12:30 Uhr von mat3105 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: