DSO Exploit geht nicht durch Registrierungsänderung weg + andere Probs! |
||
---|---|---|
#0
| ||
01.08.2004, 22:22
Ehrenmitglied
Beiträge: 29434 |
||
|
||
01.08.2004, 23:39
Member
Themenstarter Beiträge: 12 |
#17
Finde keine Datei shimgapi.dll!!
Was soll ich jetzt machen?! Dieser Beitrag wurde am 02.08.2004 um 00:17 Uhr von matthias3105 editiert.
|
|
|
||
02.08.2004, 01:13
Ehrenmitglied
Beiträge: 29434 |
#18
LOESCHE DANN DIESEN EINTRAG
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32] 2. Konfiguriere Antivirus <alle Dateien< scannen <Heuristic:hoch und mache einen Vollscann mit dem Antivirus #Lade mwav.exe. scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Loesche manuell, was der Scanner nur anzeigt, aber nicht beseitigt. #Lade AdAware free und scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Lade Spywarguard http://www.javacoolsoftware.com/sgdownload.html #Lade Spysweeper http://www.spysweeper.com/ #Lade ClearProg und loesche die TemporaryInternetfiles und Cookies http://www.clearprog.de/ und stelle unter Internetoptionen eine neue Startseite ein. #Lade Firefox als Zweitbrowser...ist sicherer und surfe nur mit diesem Browser http://firefox.dnsalias.org/windows.htm #wenn du dann noch die Nerven dafuer hast, mache noch Onlinescanns http://www.johannrain-softwareentwicklung.business.t-online.de/online_virensuche.htm wenn was nicht klappt...frage...kein Problem ! Dann poste das Log noch mal. gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.08.2004 um 01:29 Uhr von Sabina editiert.
|
|
|
||
02.08.2004, 01:18
Member
Themenstarter Beiträge: 12 |
#19
Habe vorher schon nach deinem ersten Tipp begonnen und system32.dll gelöscht - schlimm??
Werde das jetzt mal versuchen und dann den log posten! / Edit: AntiVir konnte eine .jar Datei nicht löshcne, was ich manuel gemacht habe! Dann hat AntiVir noch 2 Dateien erkannt diese aber weder gelöscht noch sonst irgendwas damit gemacht - was ist da wieder los?! Sollte das durch eScan oder den OnlineScan erkannt werden?? Dieser Beitrag wurde am 02.08.2004 um 01:23 Uhr von matthias3105 editiert.
|
|
|
||
02.08.2004, 01:22
Ehrenmitglied
Beiträge: 29434 |
#20
es ist alles in Ordnung.
Das Backdoor <Virus Mydoom.B wird in die Registry eingetragen: #LOESCHE DANN DIESEN EINTRAG HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32] #und dann scanne mit dem korrekt konfigurierten Antivrus, lade die anderen Tools und scanne, wie oben angegeben. Das wird einige Zeit dauern, bis du alles durchgescannt hast. Also bis morgen. Poste dann das gesaeuberte Log. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.08.2004 um 01:26 Uhr von Sabina editiert.
|
|
|
||
02.08.2004, 01:27
Ehrenmitglied
Beiträge: 29434 |
#21
Dann hat AntiVir noch 2 Dateien erkannt diese aber weder gelöscht noch sonst irgendwas damit gemacht -......
Welche Dateien waren das ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2004, 01:29
Member
Themenstarter Beiträge: 12 |
||
|
||
02.08.2004, 01:31
Ehrenmitglied
Beiträge: 29434 |
#23
Zitat matthias3105 posteteMach es mal lieber nicht...jetzt bekomme ich doch weiche Knie.... Scanne, und dann sehen wir weiter. @Paff, @Raman...koennt ihr euch das mal ansehen ??? http://www.percomp.de/query/show_entry.php?index=1378 Das Backdoor <Virus Mydoom.B wird in die Registry eingetragen: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32] Kann man das ohne Bedenken einfach loeschen ???? Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.08.2004 um 01:38 Uhr von Sabina editiert.
|
|
|
||
02.08.2004, 01:50
Member
Beiträge: 16 |
#24
Hab jetzt einen anderen Namen - weil ich etwas Mist gebaut habe...
Das mit dem Löschen ist leider schon passiert!! Aber nach einem Neustart konnte ich keine Probs feststellen - hoffe da gibts auch keine! Werde jetzt erst mal alles abscannen wie oben beschrieben. |
|
|
||
02.08.2004, 10:01
Member
Beiträge: 1095 |
#25
@mat3105
Poste dann nochmal das HiAJckThis Logfile damit man mal sieht welchen stand du hast. Plus welche Problem im Moment auftreten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
02.08.2004, 10:50
Member
Beiträge: 16 |
#26
Bei dem RegCleaner weiß ich aber nicht, welche Einträge ich löschen kann und welche nicht!?
Wie wende ich den Cleaner an?? Der kann auch erst mal weggelassen werden, oder? |
|
|
||
02.08.2004, 11:05
Ehrenmitglied
Beiträge: 29434 |
#27
@mat1305
RegCleaner 1. zuerst gibt es eine Funktion:Optionen< Sprache...kannst du in Deutsch einstellen. 2. Tools<Registry saeubern<alles durchfuehren< dann kannst du alles loeschen. Falls etwas danach nicht mehr klappt, kann man ueber <Sicherung< alles wieder rueckgaengig machen. Poste dann nach der Reinigung das Log noch mal. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.08.2004 um 11:05 Uhr von Sabina editiert.
|
|
|
||
02.08.2004, 11:58
Member
Beiträge: 16 |
#28
Mit "dann kannst du alles löschen" meinst du, dass der RegCleaner das dann automatisch macht??
|
|
|
||
02.08.2004, 12:08
Ehrenmitglied
Beiträge: 29434 |
#29
Nur wenn du ihn auf <Automatik< einstellst.
Wenn er auf <manuell <eingestellt ist, musst du alles anhaken und dann loeschen. Loesche aber nichts, was unter <Sicherung< ist.!!! Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.08.2004 um 12:09 Uhr von Sabina editiert.
|
|
|
||
02.08.2004, 12:22
Member
Beiträge: 16 |
#30
Habe bei FRegCleaner erst Automatik ausgeführt und dann manuell noch was gelöscht wovon ich sicher bin, dass es weg konnte!
Firefox habe ich einfach in Programme entpackt und die firefox.exe auf den Desktop verknüpft, richtig?? Unter Firefox geht der Online Scan aber nicht und im IE kann ich zwar noch diese Grafik Online Scan anklicken, doch im neuen Fenster, was sich dann öffnet ist alles weiß!? Hier das Logfile: Logfile of HijackThis v1.98.0 Scan saved at 12:27:37, on 02.08.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\IRMON.EXE C:\PROGRAMME\CREATIVE\AUDIOHQ\AHQTB.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\HPZTSB09.EXE C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE C:\WINDOWS\98SAFEREMOVE.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE C:\PROGRAMME\SPYWAREGUARD\SGMAIN.EXE C:\PROGRAMME\SPYWAREGUARD\SGBHP.EXE C:\PROGRAMME\HP\HPCORETECH\COMP\HPTSKMGR.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\DESKTOP\PRUEFUNG.COM R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] IrMon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb09.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [AnyDVD] C:\PROGRAMME\ANYDVD\ANYDVD.EXE O4 - HKLM\..\Run: [98SafeRemove] C:\Windows\98SafeRemove.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\PROGRAMME\HP\HPCORETECH\COMP\HPUIPROT.DLL Was immer noch nicht richtig geht ist, dass im Arbeitsplatz der Inhalt von Ordner nicht angezeigt wird, sondern nur das Symbol für Bilder und das im IE jede Site als VertrauenswürdigeSites angezeigt wird!! Startseite ist aber okay. Allerdings habe ich seit der ganzen Prozedur noch keinen Neustart gemacht!? SCHON BESSER?!?! WAS IST JETZT NOCH ZU TUN??? Dieser Beitrag wurde am 02.08.2004 um 12:30 Uhr von mat3105 editiert.
|
|
|
||
Zitat
Suche bitte eine Shimgapi.dll UND LOESCHE SIELOESCHE AUCH
# %WinDIR%\%SystemDIR%\Shimgapi.dll
# \%WinDIR%\%SystemDIR%\Taskmon.exe
# \%WinDIR%\%Temp%\Message.
# \%My Shared Folder%\activation_crack.*
# \%My Shared Folder%\icq2004_final.*
# \%My Shared Folder%\nuke2004.*
# \%My Shared Folder%\office_crack.*
# \%My Shared Folder%\rootkitXP.*
# \%My Shared Folder%\strip-girl-2.0bdcom_patches.*
# \%My Shared Folder%\winamp5.*
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\%WinDIR%\\%SystemDIR%\\shimgapi.dll"
# [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"TaskMon"="C:\\%WinDIR%\\%SystemDIR%\\taskmon.exe"
# [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"TaskMon"="C:\\%WinDIR%\\%SystemDIR%\\taskmon.exe"
Worm/MyDoom verbreitet sich über den Versand von Emails, wie auch über das P2P Netzwerk KaZaA. Wird der Wurm ausgeführt, öffnet dieser die Windows Notepad.exe (Editor) und zeigt eine Datei mit dem Namen MESSAGE. an. In dieser bekommt der Anwender nur 'Datenmüll' zu sehen.
http://www.hbedv-antivirus.com/ken/vireninfos/mydoom.html
Der Wurm erstellt im Windows Systemverzeichnis eine Datei mit dem Namen "SHIMGAPI.DLL". Diese enthält eine Backdoor Komponente, welche potentielle Angreifer Zugriff über die TCP Ports 3127 bis 3198 auf den Rechner erlaubt.
..............................................................................................................
Scanne also unbedingt mit den Tools, die ich gepostet habe !!!!!!!!!!!!
das ist bestimmt sicherer, als in der Registry zu loeschen !
Konfiguriere Antivirus
<alle Dateien< scannen
<Heuristic:hoch
und mache einen Vollscann mit dem Antivirus
#Lade mwav.exe. scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Loesche manuell, was der Scanner nur anzeigt, aber nicht beseitigt.
#Lade AdAware free und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade Spywarguard
http://www.javacoolsoftware.com/sgdownload.html
#Lade Spysweeper
http://www.spysweeper.com/
#Lade ClearProg und loesche die TemporaryInternetfiles und Cookies
http://www.clearprog.de/
und stelle unter Internetoptionen eine neue Startseite ein.
#Lade Firefox als Zweitbrowser...ist sicherer und surfe nur mit diesem Browser
http://firefox.dnsalias.org/windows.htm
#RegCleaner...Saeubere den Computer von nutzlosen Eintraegen
http://www.chip.de/downloads/c_downloads_8830516.html
#wenn du dann noch die Nerven dafuer hast, mache noch Onlinescanns
http://www.johannrain-softwareentwicklung.business.t-online.de/online_virensuche.htm
Dann poste das Log noch mal.
MfG
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit