Trojaner/Hijacker? Kriege "kbdbob.dll" nicht gelöscht

#0
17.09.2004, 13:42
Member

Beiträge: 17
#1 Hallo!

"HijackThis" war schon sehr hilfreich, ebenso wie einige postings, vielen Dank!!

Leider erscheint immer noch eine Virus-Warnmeldung von Norton, bei sämtlichen Suchfunktionen ist es aber nicht zu finden:
C:\windows\System32\kbdbob.dll

Außerdem kann ich momentan den "CWShredder" nicht herunterladen (?)

Hier mein log, kann mir jemand helfen?

Logfile of HijackThis v1.98.2
Scan saved at 13:41:23, on 17.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Program Files\FU Hagen\FU Client\cvpnd.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\windows\System32\svchost.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\windows\System32\ctfmon.exe
C:\Programme\OpenOffice.org1.0\program\soffice.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.spiegel.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tiscali Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=home.tiscali.dk;gopher=proxy.tiscali.dk;http=proxy.tiscali.dk:8080;https=proxy.tiscali.dk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.0.lnk = C:\Programme\OpenOffice.org1.0\program\quickstart.exe
O4 - Global Startup: FernUniHagen FU Client.lnk = C:\Program Files\FU Hagen\FU Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.dk
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - AppInit_DLLs: C:\windows\System32\kbdbob.dll

Vielen Dank ;)
Seitenanfang Seitenende
17.09.2004, 14:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@grainne

Fixe mit dem HijackThis:
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)


#FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten (ohne Admin-Namen und andere private Angaben des OS)

.........................................................................................................
#Gehe in die Registry
Start<Ausfuehren<regedit
Navegiere zu diesem Schluessel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
falls der Wert: "AppInit_DLLs :kbdbob.dll ist, bitte rechts von der Registry loeschen

schliesse die Registry

#Start<Ausfuehren< (reinkopieren)
regsvr32 /u [systemroot]\C:\windows\System32\kbdbob.dll
regsvr32 /u c:\system32\C:\windows\System32\kbdbob.dll

neustarten

#Loesche:
C:\windows\System32\kbdbob.dll
.........................................................................................................

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp

die Datei in den Ordner "c:\base" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.

Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm

#und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen und "Scan clean" klicken.

#Dann noch einmal im Normalmodus mit mwav.exe scannen und posten,was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.09.2004 um 14:27 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.11.2004, 15:25
Member

Themenstarter

Beiträge: 17
#3 Hallo Sabina!
Vielen Dank schon einmal! Hatte einiges probiert, dann ging es eine zeitlang ganz gut... aber anscheinend hatte ich ihn nicht ganz wegbekommen :-(

Im Registry ist kbdbob nicht mehr!

HijackThis kann auch nichts mehr finden; Spybot auch nicht - aber wir bekommen eine zusätzliche andere Warnmeldung:
"Schädlicher Code in Datei C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER...\LOKALE EINSTELLUNGEN\TEMP\ISTACTIVEX.0XE gefunden. Infektion: TrojanDownloader.Win32.IstBar.ao Aktion: Fehlgeschlagen"

Hier nun der log von FindnFix; hoffe, Du oder jemand anderes kann etwas damit anfangen!

Vielen Dank auch noch einmal :-)!

***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...

C:\WINDOWS\SYSTEM32\KBDBOB.DLL +++ File read error
\\?\C:\windows\System32\KBDBOB.DLL +++ File read error

»»»»» (*2*) »»»»»........
KBDBOB.DLL Can't Open!

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»
¯ Access denied ® ..................... KBDBOB.DLL .....57344 26.06.2004

»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\KBDBOB.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL

410. Kbdbob Dll 57,344 . . . . . 6-26-04 4:54 pm
609. Msasn1 Dll 57,344 . . . . A 8-04-04 8:57 am
635. Mshtmler Dll 57,344 . . . . A 8-04-04 8:55 am
188. Dmloader Dll 35,840 . . . . A 8-04-04 8:57 am
339. Imgutil Dll 35,840 . . . . A 8-04-04 8:57 am
213. Dpvacm Dll 21,504 . . . . A 8-04-04 8:57 am
261. Feclient Dll 21,504 . . . . A 8-04-04 8:57 am

____________________________________________________________________________
*By size and date...


C:\WINDOWS\SYSTEM32\
kbdbob.dll Sat 26 Jun 2004 16:54:02 ..... 57.344 56,00 K
msasn1.dll Wed 4 Aug 2004 8:57:24 A.... 57.344 56,00 K
mshtmler.dll Wed 4 Aug 2004 8:55:32 A.... 57.344 56,00 K

3 items found: 3 files, 0 directories.
Total of file sizes: 172.032 bytes 168,00 K

C:\WINDOWS\SYSTEM32\
dmloader.dll Wed 4 Aug 2004 8:57:18 A.... 35.840 35,00 K
imgutil.dll Wed 4 Aug 2004 8:57:22 A.... 35.840 35,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K

C:\WINDOWS\SYSTEM32\
dpvacm.dll Wed 4 Aug 2004 8:57:18 A.... 21.504 21,00 K
feclient.dll Wed 4 Aug 2004 8:57:18 A.... 21.504 21,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 43.008 bytes 42,00 K

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\KBDBOB.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics

Matching files : 3 Amount in bytes : 172032
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 43008
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...

fgrep: can't open input C:\WINDOWS\SYSTEM32\KBDBOB.DLL


No matches found.

No matches found.

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value does not match
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 31)

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM



»»Performing string scan....
00001150: vk UDeviceNotSelecte
00001190:dTimeout 1 5 _ h vk ' zGDIProce
000011D0:ssHandleQuota" 9 0 ( vk Spooler2
00001210: y e s vk =pswapdisk h
00001250: X vk R TransmissionRetryTimeout vk
00001290: ' USERProcessHandleQuota h X
000012D0: vk > s AppInit_DLLsm 3 C : \ w i n
00001310:d o w s \ S y s t e m 3 2 \ k b d b o b . d l l - 1 7
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
AppInit_DLLsm
--------------
--------------
$0117F: UDeviceNotSelectedTimeout
$011C7: zGDIProcessHandleQuota
$01270: TransmissionRetryTimeout
$012A0: USERProcessHandleQuota
$012F0: AppInit_DLLsm
--------------
--------------
C:\windows\System32\kbdbob.dll
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"=""

.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 62 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "C:\windows\System32\kbdbob.dll"
0000 43 00 3a 00 5c 00 77 00 69 00 6e 00 64 00 6f 00 | C.:.\.w.i.n.d.o.
0010 77 00 73 00 5c 00 53 00 79 00 73 00 74 00 65 00 | w.s.\.S.y.s.t.e.
0020 6d 00 33 00 32 00 5c 00 6b 00 62 00 64 00 62 00 | m.3.2.\.k.b.d.b.
0030 6f 00 62 00 2e 00 64 00 6c 00 6c 00 00 00 | o.b...d.l.l...
-----------------------

»»»»»»Backups list...»»»»»»
15:15:15 up 0 days, 2:48:20
-----------------------
Tue 02 Nov 04 15:15:15


C:\FINDNFIX\
keyback.hiv Tue 2 Nov 2004 15:12:14 A.... 8.192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8.192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Tue 2 Nov 2004 15:12:16 A.... 287 0,28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0,28 K

*Temp backups...

"C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 2 Nov 2004 8192 "keyback2.hi_"
winkey2.re_ 2 Nov 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8.479 bytes 8,28 K
-D---- JUNKXXX 00000000 15:12.14 02/11/2004
A----- STARTIT .BAT 00000060 15:12.14 02/11/2004

-----END------
Seitenanfang Seitenende
02.11.2004, 15:42
Moderator

Beiträge: 7805
#4 Versuch es damit, schreibe, ob es was gefunden/geloescht hat und poste ein neues Log.
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.11.2004, 10:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo@grainne

Wenn das Entfernungstool nichts bringt, mache folgendes:

leere folgende Ordner (nicht die Ordner selbst loeschen)
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*

C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER...\LOKALE EINSTELLUNGEN\TEMP\ISTACTIVEX.0XE

Oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\SYSTEM32\KBDBOB.DLL
PC neustarten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.11.2004 um 10:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.11.2004, 09:17
Member

Themenstarter

Beiträge: 17
#6 Hallo @Ralf!

Vielen Dank! ;) Hat tatsächlich einen "Backdoor.Agent.B" Virus gefunden und gelöscht (beim 2. Durchlauf nach restart des Computers nichts mehr!)
Unten der neue log.

Hallo @Sabina
Auch Dir vielen Dank! ;)
Habe leider "Default User" nicht gefunden - dafür ist aber
C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER...\LOKALE EINSTELLUNGEN\TEMP\
leer

HijackThis habe ich noch nicht gemacht - wollte erst einmal Eure Meinung zu den anderen Sachen hören...

Hier der log aus FindnFix:

»»»»» (*1*) »»»»» .........
»»Read access error(s)...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL

608. Msasn1 Dll 57,344 . . . . A 8-04-04 8:57 am
634. Mshtmler Dll 57,344 . . . . A 8-04-04 8:55 am
188. Dmloader Dll 35,840 . . . . A 8-04-04 8:57 am
339. Imgutil Dll 35,840 . . . . A 8-04-04 8:57 am
213. Dpvacm Dll 21,504 . . . . A 8-04-04 8:57 am
261. Feclient Dll 21,504 . . . . A 8-04-04 8:57 am

____________________________________________________________________________
*By size and date...


C:\WINDOWS\SYSTEM32\
msasn1.dll Wed 4 Aug 2004 8:57:24 A.... 57.344 56,00 K
mshtmler.dll Wed 4 Aug 2004 8:55:32 A.... 57.344 56,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 114.688 bytes 112,00 K

C:\WINDOWS\SYSTEM32\
dmloader.dll Wed 4 Aug 2004 8:57:18 A.... 35.840 35,00 K
imgutil.dll Wed 4 Aug 2004 8:57:22 A.... 35.840 35,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K

C:\WINDOWS\SYSTEM32\
dpvacm.dll Wed 4 Aug 2004 8:57:18 A.... 21.504 21,00 K
feclient.dll Wed 4 Aug 2004 8:57:18 A.... 21.504 21,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 43.008 bytes 42,00 K

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 114688
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 43008
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...



No matches found.

No matches found.

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value Matches
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710
AppInit_DLLs =

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM



»»Performing string scan....
00001150: vk UDeviceNotSelecte
00001190:dTimeout 1 5 _ h vk ' zGDIProce
000011D0:ssHandleQuota" 9 0 ( vk Spooler2
00001210: y e s vk =pswapdisk h
00001250: X vk R TransmissionRetryTimeout vk
00001290: ' USERProcessHandleQuota h X
000012D0: vk > s AppInit_DLLsm 3 C : \ w i n
00001310:d o w s \ S y s t e m 3 2 \ k b d b o b . d l l - 1 7
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
AppInit_DLLsm
--------------
--------------
$0117F: UDeviceNotSelectedTimeout
$011C7: zGDIProcessHandleQuota
$01270: TransmissionRetryTimeout
$012A0: USERProcessHandleQuota
$012F0: AppInit_DLLsm
--------------
--------------
C:\windows\System32\kbdbob.dll
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"=""

.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000 00 00 | ..
-----------------------

»»»»»»Backups list...»»»»»»
08:43:39 up 0 days, 0:49:14
-----------------------
Fri 05 Nov 04 08:43:39


C:\FINDNFIX\
keyback.hiv Tue 2 Nov 2004 15:12:14 A.... 8.192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8.192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Fri 5 Nov 2004 8:39:42 A.... 287 0,28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0,28 K

*Temp backups...

"C:\Dokumente und Einstellungen\Besitzer.USER-OKEW0ZWC8M\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 2 Nov 2004 8192 "keyback2.hi_"
winkey2.re_ 2 Nov 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8.479 bytes 8,28 K
-D---- JUNKXXX 00000000 08:39.40 05/11/2004
A----- STARTIT .BAT 00000060 08:39.40 05/11/2004
Seitenanfang Seitenende
05.11.2004, 09:41
Member

Themenstarter

Beiträge: 17
#7 ...so, habe jetzt auch die Sache mit dem HijackThis und dem "Delete a file on reboot" gemacht. Hoffe, ich bin jetzt endlich alles los!

Viele Grüße von Grainne
Dieser Beitrag wurde am 05.11.2004 um 10:14 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.11.2004, 10:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@ Grainne

Ist noch da:
C:\WINDOWS\SYSTEM32\KBDBOB.DLL
___________________________________________________________
mache folgendes:

Gehe in die Registry
Start<Ausfuehren<regedit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
loesche rechts den Wert:
AppInit_DLLs= KBDBOB.DLL

Start<Ausfuehren<cmd: reinkopieren:
attrib -h %systemroot%\system32\KBDBOB.DLL & ren %systemroot%\SYSTEM32\KBDBOB.DLL Badfile.bad

<enter<
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\SYSTEM32\KBDBOB.DLL
PC neustarten

#Ueberpruefe mit < FindnFix:< ob die dll geloescht ist.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.11.2004 um 10:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: