DSO Exploit geht nicht durch Registrierungsänderung weg + andere Probs!

#16

Zitat

matthias3105 postete
Also in ShellServiceObjectDelayLoad steht bei (Standard) (Wert nicht gesetzt) und bei WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" mehr ist da in dem Ordner nicht drinnen!

Suche bitte eine Shimgapi.dll UND LOESCHE SIE

LOESCHE AUCH
# %WinDIR%\%SystemDIR%\Shimgapi.dll
# \%WinDIR%\%SystemDIR%\Taskmon.exe
# \%WinDIR%\%Temp%\Message.
# \%My Shared Folder%\activation_crack.*
# \%My Shared Folder%\icq2004_final.*
# \%My Shared Folder%\nuke2004.*
# \%My Shared Folder%\office_crack.*
# \%My Shared Folder%\rootkitXP.*
# \%My Shared Folder%\strip-girl-2.0bdcom_patches.*
# \%My Shared Folder%\winamp5.*


[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\%WinDIR%\\%SystemDIR%\\shimgapi.dll"

# [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"TaskMon"="C:\\%WinDIR%\\%SystemDIR%\\taskmon.exe"

# [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"TaskMon"="C:\\%WinDIR%\\%SystemDIR%\\taskmon.exe"

Worm/MyDoom verbreitet sich über den Versand von Emails, wie auch über das P2P Netzwerk KaZaA. Wird der Wurm ausgeführt, öffnet dieser die Windows Notepad.exe (Editor) und zeigt eine Datei mit dem Namen MESSAGE. an. In dieser bekommt der Anwender nur 'Datenmüll' zu sehen.
http://www.hbedv-antivirus.com/ken/vireninfos/mydoom.html

Der Wurm erstellt im Windows Systemverzeichnis eine Datei mit dem Namen "SHIMGAPI.DLL". Diese enthält eine Backdoor Komponente, welche potentielle Angreifer Zugriff über die TCP Ports 3127 bis 3198 auf den Rechner erlaubt.

..............................................................................................................
Scanne also unbedingt mit den Tools, die ich gepostet habe !!!!!!!!!!!!
das ist bestimmt sicherer, als in der Registry zu loeschen !
Konfiguriere Antivirus
<alle Dateien< scannen
<Heuristic:hoch

und mache einen Vollscann mit dem Antivirus


#Lade mwav.exe. scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Loesche manuell, was der Scanner nur anzeigt, aber nicht beseitigt.
#Lade AdAware free und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade Spywarguard
http://www.javacoolsoftware.com/sgdownload.html
#Lade Spysweeper
http://www.spysweeper.com/

#Lade ClearProg und loesche die TemporaryInternetfiles und Cookies
http://www.clearprog.de/
und stelle unter Internetoptionen eine neue Startseite ein.
#Lade Firefox als Zweitbrowser...ist sicherer und surfe nur mit diesem Browser
http://firefox.dnsalias.org/windows.htm
#RegCleaner...Saeubere den Computer von nutzlosen Eintraegen
http://www.chip.de/downloads/c_downloads_8830516.html

#wenn du dann noch die Nerven dafuer hast, mache noch Onlinescanns
http://www.johannrain-softwareentwicklung.business.t-online.de/online_virensuche.htm
Dann poste das Log noch mal.


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Finde keine Datei shimgapi.dll!!
Was soll ich jetzt machen?!

#18 LOESCHE DANN DIESEN EINTRAG
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32]


2. Konfiguriere Antivirus
<alle Dateien< scannen
<Heuristic:hoch

und mache einen Vollscann mit dem Antivirus


#Lade mwav.exe. scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Loesche manuell, was der Scanner nur anzeigt, aber nicht beseitigt.
#Lade AdAware free und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade Spywarguard
http://www.javacoolsoftware.com/sgdownload.html
#Lade Spysweeper
http://www.spysweeper.com/

#Lade ClearProg und loesche die TemporaryInternetfiles und Cookies
http://www.clearprog.de/
und stelle unter Internetoptionen eine neue Startseite ein.
#Lade Firefox als Zweitbrowser...ist sicherer und surfe nur mit diesem Browser
http://firefox.dnsalias.org/windows.htm
#wenn du dann noch die Nerven dafuer hast, mache noch Onlinescanns
http://www.johannrain-softwareentwicklung.business.t-online.de/online_virensuche.htm

wenn was nicht klappt...frage...kein Problem !
Dann poste das Log noch mal.

gruss
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#19 Habe vorher schon nach deinem ersten Tipp begonnen und system32.dll gelöscht - schlimm??
Werde das jetzt mal versuchen und dann den log posten!


/ Edit: AntiVir konnte eine .jar Datei nicht löshcne, was ich manuel gemacht habe!
Dann hat AntiVir noch 2 Dateien erkannt diese aber weder gelöscht noch sonst irgendwas damit gemacht - was ist da wieder los?!
Sollte das durch eScan oder den OnlineScan erkannt werden??

#20 es ist alles in Ordnung.

Das Backdoor <Virus Mydoom.B wird in die Registry eingetragen:

#LOESCHE DANN DIESEN EINTRAG
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32]

#und dann scanne mit dem korrekt konfigurierten Antivrus, lade die anderen Tools und scanne, wie oben angegeben.
Das wird einige Zeit dauern, bis du alles durchgescannt hast.
Also bis morgen.
Poste dann das gesaeuberte Log.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Dann hat AntiVir noch 2 Dateien erkannt diese aber weder gelöscht noch sonst irgendwas damit gemacht -......

Welche Dateien waren das ???
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Den kompletten Ordner InProcServer32 löschen?!

Okay, THX bis morgen denne.

#23

Zitat

matthias3105 postete
Den kompletten Ordner InProcServer32 löschen?!

Okay, THX bis morgen denne.

Mach es mal lieber nicht...jetzt bekomme ich doch weiche Knie....
Scanne, und dann sehen wir weiter.

@Paff, @Raman...koennt ihr euch das mal ansehen ???
http://www.percomp.de/query/show_entry.php?index=1378
Das Backdoor <Virus Mydoom.B wird in die Registry eingetragen:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32]
Kann man das ohne Bedenken einfach loeschen ????
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hab jetzt einen anderen Namen - weil ich etwas Mist gebaut habe...


Das mit dem Löschen ist leider schon passiert!!
Aber nach einem Neustart konnte ich keine Probs feststellen - hoffe da gibts auch keine!

Werde jetzt erst mal alles abscannen wie oben beschrieben.

#25 @mat3105

Poste dann nochmal das HiAJckThis Logfile damit man mal sieht welchen stand du hast.
Plus welche Problem im Moment auftreten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#26 Bei dem RegCleaner weiß ich aber nicht, welche Einträge ich löschen kann und welche nicht!?
Wie wende ich den Cleaner an??

Der kann auch erst mal weggelassen werden, oder?

#27 @mat1305
RegCleaner

1. zuerst gibt es eine Funktion:Optionen< Sprache...kannst du in Deutsch einstellen.
2. Tools<Registry saeubern<alles durchfuehren<
dann kannst du alles loeschen.
Falls etwas danach nicht mehr klappt, kann man ueber <Sicherung< alles wieder rueckgaengig machen.

Poste dann nach der Reinigung das Log noch mal.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Mit "dann kannst du alles löschen" meinst du, dass der RegCleaner das dann automatisch macht??

#29 Nur wenn du ihn auf <Automatik< einstellst.
Wenn er auf <manuell <eingestellt ist, musst du alles anhaken und dann loeschen.
Loesche aber nichts, was unter <Sicherung< ist.!!!
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Habe bei FRegCleaner erst Automatik ausgeführt und dann manuell noch was gelöscht wovon ich sicher bin, dass es weg konnte!

Firefox habe ich einfach in Programme entpackt und die firefox.exe auf den Desktop verknüpft, richtig??

Unter Firefox geht der Online Scan aber nicht und im IE kann ich zwar noch diese Grafik Online Scan anklicken, doch im neuen Fenster, was sich dann öffnet ist alles weiß!?

Hier das Logfile:
Logfile of HijackThis v1.98.0
Scan saved at 12:27:37, on 02.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\CREATIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB09.EXE
C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\WINDOWS\98SAFEREMOVE.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAMME\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAMME\SPYWAREGUARD\SGBHP.EXE
C:\PROGRAMME\HP\HPCORETECH\COMP\HPTSKMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\PRUEFUNG.COM

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb09.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AnyDVD] C:\PROGRAMME\ANYDVD\ANYDVD.EXE
O4 - HKLM\..\Run: [98SafeRemove] C:\Windows\98SafeRemove.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) -
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\PROGRAMME\HP\HPCORETECH\COMP\HPUIPROT.DLL


Was immer noch nicht richtig geht ist, dass im Arbeitsplatz der Inhalt von Ordner nicht angezeigt wird, sondern nur das Symbol für Bilder und das im IE jede Site als VertrauenswürdigeSites angezeigt wird!!
Startseite ist aber okay.

Allerdings habe ich seit der ganzen Prozedur noch keinen Neustart gemacht!?


SCHON BESSER?!?! WAS IST JETZT NOCH ZU TUN???