istactivex.dll - Trojan horse Downloader.Istbar.5.H |
||
---|---|---|
#0
| ||
06.12.2004, 23:01
Member
Beiträge: 16 |
||
|
||
07.12.2004, 14:23
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@aussurucq
Gehe in die Registry Start<Ausfuehren<regedit < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ loesche, wenn es da ist: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: IbestBHO Class - {7E6CDC1C-3B90-47D7-B2A8-24438CA96075} - C:\Program Files\Yahoo! Acesso Gratis\bho.dll O4 - HKCU\..\Run: [Yahoo! Acesso Gratis] "C:\Program Files\Yahoo! Acesso Gratis\autoupdate.exe" O4 - HKCU\..\Run: [SysBrand] C:\Program Files\sysbrand.exe PC neustarten Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #AdAware (free) http://www.lavasoft.de/support/download/ ftp://update.mailscan.info/download/tools/ --->mwav.exe <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml click:mwav.exe und scanne (falls nichts geloescht, sondern nur angezeigt wird, musst du die Malware manuell loeschen) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein se não entenderes alguma coisa, podes escrever em português __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.12.2004 um 14:44 Uhr von Sabina editiert.
|
|
|
||
07.12.2004, 23:56
Member
Themenstarter Beiträge: 16 |
#3
dear sabina, thank very much for your answer
i have full command of english, french, italian, portuguese and spanish anyway i managed to understand a part of your instructions in german ---------------------------- estimada sabina, muito obrigado pela tua resposta sou fluente em inglês, francês, italiano, português e espanhol de qualquer maneira me virei para entender uma parte de suas instruções em alemão -------------------------- 1] go to Registry[?] start<ausführen=run?<regedit? xxx delete where it is xxx 2] voll verstanden 3] datenträgerbereinigung[?] fully understood, and i already did it 4] i download adaware from lavasoft site and run it i download mwav.exe from 'ftp://...' i go to the safe mode with internet access i enter 'www.tu-berlin...' click mwav.exe and scan [if nothing is deleted, you must delete manually] 5] neue start = new home page, gut verstanden ------------------------- bitte, ein wenig mehr erklärung, danke schön, herzlich please explain a little more, thank you very much por favor, me explicar mais um pouco, muito obrigado, mesmo |
|
|
||
08.12.2004, 00:09
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@aussurucq
1. Start-->Run --> escreve : regedit primeiro tu tens que apagar {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} na registry Chave: < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ apage (se há) {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} 2. abre o HijackThis, e marca o seguinte , depois Button "Fix checked" -->> PC neustarten O2 - BHO: IbestBHO Class - {7E6CDC1C-3B90-47D7-B2A8-24438CA96075} - C:\Program Files\Yahoo! Acesso Gratis\bho.dll O4 - HKCU\..\Run: [Yahoo! Acesso Gratis] "C:\Program Files\Yahoo! Acesso Gratis\autoupdate.exe" O4 - HKCU\..\Run: [SysBrand] C:\Program Files\sysbrand.exe 3. Start->Run: copy: cleanmgr #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k isto vai deaparecer: C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll 4. faz download: #AdAware (free) http://www.lavasoft.de/support/download/ ftp://update.mailscan.info/download/tools/ --->mwav.exe 5. -->vai ao Modo de segurança (F8 carregar , quando o PC aranca) 6. click AdAware -->scan click:mwav.exe -->scan 7. depois conta , se os scanners apagaram alguma Malware. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.12.2004 um 00:13 Uhr von Sabina editiert.
|
|
|
||
08.12.2004, 19:52
Member
Themenstarter Beiträge: 16 |
#5
olá sabina, de novo muito obrigado pela tua ajuda e boa vontade em me ajudar quero te perguntar se tu me entendes bem em português, talvez tu prefiras o inglês para assegurar nosso 100% perfeito e total entendimento i want to ask you if you understand me in portuguese, perhaps you prefer in english to ensure our 100% perfect and total understanding [nem sempre entendemos completamente uma língua, eu já fui fluente em alemão há muitos anos, hoje posso usar um pouco o alemão, mas para a informática atual não, pior ainda que eu falo português do brasil e tu falas português de portugal, eu sou uruguaio e falo perfeito português porque faz 34 anos que vivo no brasil, mas meu filhos que são também uruguaios e falam bem o espanhol, eles preferem falar em português por exemplo no caso da informática, if you feel more comfortable please answer me in english, i speak perfectly in english, ok?] FIZ TUDO TUDO O QUE TU ME DIZESTE, DETALHADAMENTE, MAS NO FINAL O TROJAN CONTINÚA ALI, FELIZ DA VIDA COMO SE TAL COISA, VOU PRECISAR QUE ME CONTINUES A AJUDAR, POIS NÃO PODE SER QUE NÃO CONSIGA ELIMINÁ-LO VOLTANDO AO INÍCIO, SE CHAMA 'TROJAN HORSE DOWNLOADER.ISTBAR.5.H', E ESTÁ NO ARQUIVO/FILE C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll MEU AVG DIZ QUE O ARQUIVO ESTÁ 'INFECTED BY AN EMBEDDED OBJECT', TALVEZ ISTO TE AJUDE O GRANDE PROBLEMA QUE EU VEJO É QUE O AVG DIZ QUE O INFECTED FILE EXISTE, SERÁ QUE REALMENTE EXISTE?, PORQUE NÃO CONSEGUIMOS DESCUBRÍ-LO, NEM NENHUMA DAS SCAN ENGINES O DESCOBRE COMO ISTO É POSSÍVEL, SABINA? te conto a seguir os detalhes: 1] run>regedit, abri o registry editor, fui até o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ não há uma Distribution Unit com esse código 2] novo hijackthis, selecionei os 3 items, fix checked scan de novo, os 3 foram deletados reboot/restart/reiniciar/neustarten 3] run>cleanmgr, aparece 'disk clean up on C:', que é a mesma coisa, deletei todos os temporary internet files mas tu dizeste 'vai desaparecer o infected file', eu não o vi, não o encontrei, não o vi, não fiz nada com esse arquivo, eu devia deletá-lo? onde o encontro? onde está esse file? 4] fiz o download do adaware fiz o download do mwav.exe entrei e abri o modo de segurança = safe mode 5] atualizei=updated o adaware fiz o scan com a adaware objects scanned 102.352 11 running processes 393 process modules 2 objects recognized 2 new critical objects, aranha=spider piscando=blinking 0 registry key identified 1 registry value identified 1 file identified 10 negligible objects descrição dos 2 critical objects a] alexa, type reg value, category data miner, object HKEY_USERS.S-1-5-21-14... b] vendor tracking, type IE cache..., data miner, object C:\Documents and Settings... TALVEZ ESTE ERA O FILE INFECTADO QUE QUEREMOS CAÇAR, não sei porque a descrição não estava completa eu decidi 'deleted 2 critical to quarantine' deleted quarantine objects removed total 2 scan summary mru list, 10 objects total, negligible, 'these objects don't pose a Thread' alexa, 1 object total, critical, 'alexa has a TAC rating of 5' tracking cookie, 1 object total, 'tracking cookie has a TAC rating of 3' 6] mwav.exe, eScan antivirus toolkit utility, version 4.6.9 scan option: memory, startup folders, registry, system folders, services, drive, scan all files total files scanned 48.595 total viruses found 8 total errors 19, devo deletar os errors? como os deleto? 6.1] C:\Documents And Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\WHUB852\0006_regular[1].cab, infected by 'Trojan-Downloader.Win32.IstBar.fz' 6.2] C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\8LYN09Q7\prompt[1].htm, infected by 'Trojan-Downloader.JS.IstBar.b' ESTES 2 PARECEM SER DO VIRUS QUE BUSCAMOS! 6.3] C:\Program Files\JC-Email Manager 2.9\jcem.exe, infected by 'Flooder.Mail Spa.Directblaster.35' 6.4] C;\Program Files\jcem_full.exe, infected by 'Flooder.Mail Spam.DirectBlaster.35' ESTES 2 ESTAVAM NO MESMO PROGRAMA QUE EU JÁ DELETEI, NÃO PRECISAMOS NOS PREOCUPAR MAIS COM ELES, POIS NÃO ESTÃO MAIS 6.5] C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\GX2ROT23\classload[1].RBO, infected by 'Trojan.Java.ClassLoader.c' ESTE É OUTRO TROJAN DIFERENTE! 6.6] C:\Documents and Settings\User New\Local settings\Temporary Internet Files\Content.IE5\8LYN09Q7\MediaTicketsInstaller[1].cab, infected by 'not-a-virus: AdAware.MediaTickets.f' 6.7] C:\Program Files\discador terra\Uninstall.exe, tagged as 'not-a-virus:ToolWin32.Reboot' 6.8] C:\Program Files\netmedic.exe, tagged as 'not-a-virus:Tool.Win32.Reboot' ESTES 3 PARECEM NÃO SER PROBLEMA, POIS SÃO 'not-a-avirus' O GRANDE PROBLEMA É QUE O MWAV.EXE NÃO DELETA OS TROJANS QUE ENCONTRA, QUER ME VENDER O PROGRAMA DELE, O QUÊ EU FAÇO? OS TROJANS ESTÃO AI, COMO OS ELIMINAMOS? 7] também em safe mode deletei todos os conteúdos de C:\Windows\Temp C:\Documents and Settings\Owner\Local Settings\Temp restart/neustarten 8] em modo normal de operação, no painel de controle, internet options deletei todo em cookies e temporary internet files 9] fiz mais um scan com o avg 10] fiz mais um hijackthis, veja log abaixo, sabina muito obrigado novamente ------------------------- Logfile of HijackThis v1.98.2 Scan saved at 13:44:21, on 8/12/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\System32\rundll32.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\The Cleaner\tca.exe C:\Program Files\The Cleaner\tcm.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Messenger\msmsgs.exe C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe C:\Program Files\POPDiscador\POPDiscador.exe C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe C:\Program Files\VIA\RAID\raid_tool.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\PROGRA~1\VITALS~1\Net.Medic\Program\syshook.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\UserNew\Local Settings\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mt2net.com.br:3000/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\PROGRA~1\iGv6\igshop.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [Discador iG] "C:\Program Files\iGv6\Discador iG.exe" boot O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [discador] C:\Program Files\Speedy\Speedy 0.98\DISCADOR.EXE O4 - HKCU\..\Run: [popbanner] C:\Program Files\POPDiscador\POPDiscador.exe --banner O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Net.Medic.lnk = C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\PROGRA~1\iGv6\igshop.dll (file missing) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096654570609 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7FB004C0-02E4-4D2D-95BB-A40FBDAF4F4F}: NameServer = 200.204.0.10 200.204.0.138 --------------------------------- |
|
|
||
08.12.2004, 20:05
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@aussurucq
Registry: <HKEY_CLASSES_ROOT: apagar: ISTactivex.Installer <HKEY_CLASSES_ROOT: apagar: ISTactivex.Installer.1 HKEY_CURRENT_USER\Software\ apagar: IST HKEY_CLASSES_ROOT:TYPELIB\ apagar: {8C752C5E-3C10-4076-AF0A-FFC69FA20D1B}\c:\windows\downloaded program files\istactivex.dll HKEY_LOCAL_MACHINE:Software\microsoft\windows\currentversion\moduleusage\ apagar: C:/WINDOWS/Downloaded Program Files/ISTactivex.dll\ HKEY_LOCAL_MACHINE:Software\Microsoft\Windows\CurrentVersion\SharedDLLs\ apagar: c:\windows\downloaded program files\istactivex.dll para eleminar: <C:\Documents and Settings\User New\Local settings\Temporary Internet Files\Content.IE5\8LYN09Q7\MediaTicketsInstaller[1].cab <C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\GX2ROT23\classload[1].RBO, infected by 'Trojan.Java.ClassLoader.c' <C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k ou isso: den Internet-Cache komplett per Hand löschen: Explorer - Rechtsklick auf C:\Windows\Temporary Internet Files\Content.IE5 - Suchen - Starten Löschen Sie nun alle Dateien außer(exepto) der Datei Index.dat 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: c:\windows\downloaded program files\istactivex.dll 4.) PC neustarten 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: c:\windows\downloaded program files\istactivex.inf PC neustarten ___________________________________________________________________ Para evitar futuras infeccões: Firefox (Browser-->Alternativa IE ) http://www.mozilla.org/projects/firefox/ TEST MS-IE 6, SP1 zeigt das Resultat eines einzigen Seiten-Aufrufs im Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen. Als Browser wurde ein • IE 5.0 (1. Test) • IE 6, SP1, gepatcht (2. Test) unter Win98 verwendet. • Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden ! Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand". Das Protokoll besteht aus 3 Teilen: • Modifikationen im System bei/durch den Seitenaufruf • HijackThis-Log (ausgewertet) • Virenscan (KAV) Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen: • 98 (!!) Objekte gefunden 1 Process • 32 Registry-Schlüssel • 53 Registry Werte • 11 Dateien • 1 Ordne Resumée: Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser. In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen. ------------------------------------------------------------------------------------ http://inetexplorer.mvps.org/info.htm When you visit the url *http://snurl.com/1yer* you will be taken to *http://www.pornstarguru.com/page.php?x=329614&m=* The site is a "game". You visit the page and the owner gets 'cash'; the more hits he (or she) gets, the higher the ranking of the owner, who is hoping to become a 'porn star guru' by getting to the top of the charts.. real kid stuff, but kid stuff with a nasty bite - the pornstarguru site above will try to hijack your home page, hijack your search engine and install SPYWARE that tries to 'phone home'. If you have an older version of IE, or your security settings are wrong, and you do not have a firewall installed it will succeed. Solche Downloader stecken in aktiven Skripten von war*hier nicht!* oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.12.2004 um 20:28 Uhr von Sabina editiert.
|
|
|
||
08.12.2004, 23:39
Member
Themenstarter Beiträge: 16 |
#7
muito obrigado mais uma vez, sabina
1] tu me pedistes para buscar e deletar 6 files, em 3 keys do registry editor, nenhum deles existe, então nada feito 2] voltei a deletar tudo o possível no cleanmgr, há um item que não consigo deletar 'WebClient/PublisherTemporaryFiles' 3] buscando o file C:\Windows\Temporary Internet Files\Content.IE5\, a resposta é 'unavailable', nada feito 4] hijackthis>config>miscellaneous tools>delete a file on reboot, eu escrevi expressamente C:\Windows\Downloaded Program Files\istactivex.dll\, und neustarten o trojan continua lá segundo avg, nenhum novidade muito obrigado aussurucq |
|
|
||
08.12.2004, 23:55
Ehrenmitglied
Beiträge: 29434 |
#8
no Modo de Segurança , por favor: (F8 carregar, enquanto o PC reiniciar)
Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur:..somente delete #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k ___________________________________________________________________- 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) copiar isto com rato (lado direito)...não escrever (!) c:\windows\downloaded program files\istactivex.dll 4.) PC neustarten 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) copiar isto com rato (lado direito)...não escrever (!) C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J 4.) PC neustarten suche "istactivex.dll" mit diesem Tool: http://bilder.informationsarchiv.net/GrayGhost/Software/delete_invalid_file.exe #Search&Destroy http://www.safer-networking.org/de/download/index.html depois conta se o teu Antivirus esta mais"content" __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.12.2004 um 00:09 Uhr von Sabina editiert.
|
|
|
||
09.12.2004, 20:17
Member
Themenstarter Beiträge: 16 |
#9
minha amiga sabina, muito obrigado mais uma vez
estou fazendo tudo isso que tu me destes e mais algumas coisas, estou muito interessado em eliminar a merda desse trojan volto logo a falar contigo, não desisti aussurucq ------------------------------ my friend sabina, thank you very much once more i am doing all that that you gave me and some other things, i am very worried in eliminating the shit of this trojan i ill be back quickly to speak with you, i did not give up aussurucq ----------------------------- |
|
|
||
10.12.2004, 01:14
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@aussurucq
Eu acho que o teu Antivirus é "sensivel" a mais Quando se faz uma limpeza do disco rigido (Datentraegerbereinigung) no modo de segurança e para todas as contas existentes (User New), os <Temporary Internet Files< <C:\Documents and Settings\User New\Temporary Internet Files\ ficam vazios depois deve se também ver , se os Files aqui são de confiança: <C:\Windows\Downloaded Programm Files\ e assim não deve haver mais Malware __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.12.2004 um 01:23 Uhr von Sabina editiert.
|
|
|
||
10.12.2004, 21:01
Member
Themenstarter Beiträge: 16 |
#11
olá sabina, obrigado mais uma vez
tu estas me dizendo que meu antivirus grisoft está dizendo bobagem? quer dizer que esse trojan não existe? eu te confesso que eu já pensei que talvez não exista, que seja exagero do avg e agora o quê que eu faço? faço de conta que esse trojan não existe, mesmo que o avg siga me dizendo que sim existe? eu concordo que pode não existir porque já fizemos de tudo para encontrá-lo e nenhuma tool o encontra, o qual faz pensar que há alguma coisa estranha eu não só fiz tudo que tu me destes, eu apliquei outras tools também que eu consegui, e nenhuma encontra nada o quê tu farias, esquecer e continuar? estou completamente de acordo contigo que depois de todas as limpezas que eu já fiz não deveria haver mais nada, a bobagem é que o avg continua dizendo que está ali te conto as últimas coisas que fiz: 1] fiz tudo sempre só em safe mode no downloaded program files, há um file meio suspeito 'WUWebControlClass' = que quer dizer 'windows update web control class', é um programa da microsoft, diz que é 'type: ActiveX Control', me chamou a atenção porque isso de 'ActiveX' se parece com o trojan 'istactivex.dll' não o deletei por medo de criar problema tu deletarias esse? 2] run>cleanmgr, de novo deletei temporary internet files e cookies, no clean up disk me diz uma coisa, sabina: 'dateien' em alemão é cookies? 3] tentei 'delete file on reboot' com o hijackthis no safe mode, mas os files que eu quero deletar meu computador não os reconhece porque diz que não os tem, diz 'this path does not exist' e não pode posso fazer nada aqui tem uma coisa que tu me dizes que me confunde: 'copiar com o mouse, rightclick=rechtsklicken, não escrever' eu não posso fazer nada disso, quando quero 'delete file on reboot', tenho uma caixa 'enter file to delete on reboot' , eu só posso escrever ali o nome completo do file que vou delete se eu conseguisse encontrar o file com o trojan, o deleto manual e fim, acabou mas não encontro nenhum file com istactivex, ou istbar já tentei com vários endereços=paths parecidos e não aparece nada o avg diz que o trojan está em "C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll\" buscando manualmente encontrei "C:\Documents and Settings\User New\Local Settings\Temp\Temporary Internet Files\Content.IE5\" o curioso é que pedindo para encontrar, o windows não encontra este file, o que o faz suspeito mas esse último folder 'Content.IE5' tem dentro um único file "index.dat" de 32 Kb, que tu mesma me dizeste que eu não delete tu queres deletar ste file? posso deletar o 'index.dat'? e agora o quê tu me dizes? aussurucq |
|
|
||
10.12.2004, 23:48
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@aussurucq
#o 'index.dat' nunca mexe !!!!!!!!! #se lá no :\Documents and Settings\User New\Temporary Internet Files\Content.IE5\ não haver mais nada...está tudo limpo. #"Dateien" são : Files , exe, dll..... #se o eScan também não encontrou mais nada ...oPC está realmente limpo #isto era para copiar no HijackThis (para ter a Garantia, que o Pfad está correcto, ....escrevendo as vezes dá erros . #C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J Giant-Antispyscanner [15 Tage free] http://www.giantcompany.com/(lfkvww55pduddm45u110ti45)/download.aspx?skip=true&prodID=70 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.12.2004 um 23:50 Uhr von Sabina editiert.
|
|
|
||
13.12.2004, 21:23
Member
Themenstarter Beiträge: 16 |
#13
hallo sabina, hoje as coisas pioraram, por incrível que pareça
meu antivirus grisoft avg apareceu hoje com um pacote grande de atualização, é claro que fiz o download, então descubro que se tornou mais esperto ainda agora diz que eu tenho 3 arquivos com virus + o velho trojan que já conhecemos o novo vírus se chama Java/ByteVerify e são todos os 4 'infected embedded objects', que o avg não pode remover nem pôr em quarentena os 3 novos arquivos infectados são a] C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\GX2ROT23\classload[1].RBO\GelAccess.class b] tudo igual, só a última parte é ...\InsecureClassLoader.class c] tudo igual, só a última parte é ...\Installer.class veja que a 1ª parte destes 3 files é igual ao início do arquivo que tem o trojan, ou seja os 4 files começam com 'C:\Documents and Settings\User New\Local Settings\Temporary Internet Files\Content.IE5\... quer dizer que os 4 estariam no mesmo folder, mas nem eu nem a função 'search' os encontram outra coisa interessante é que o único lugar em que encontrei 'Content.IE5' foi no 'C:\Documents and Settings\User New\Local settings\Temp\Temporary Internet Files\Content.IE5' lembra este folder que tem só o file 'index.dat'? mas a diferença está em que este folder tem '\Temp\' e os infectados não o quê que eu faço? começo a aplicar os tools de scan que tu já me destes? ou tento encontrar outra ajuda buscando no google? ou faço de conta que não tenho nenhum vírus nem nenhum trojan, e continúo minha vida? mit freunlichem grüssen aussurucq |
|
|
||
14.12.2004, 00:17
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@aussurucq
1) Start --> Run --> typ ein: %systemroot%/temp 2) Start --> Run --> typ ein: %temp% #ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs - Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME) - Download-Listen des Netscape/Opera http://www.clearprog.de/downloads.php saeubere den PC #TuneUp2004 (30 Tage free) http://www.tuneup.de/download/ Eu vejo só uma solução: manda o problema directamente para o mail do apoio do teu Virenscanner . E espera o que eles dizem. Depois conta me. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.12.2004 um 00:26 Uhr von Sabina editiert.
|
|
|
||
16.12.2004, 22:43
Member
Themenstarter Beiträge: 16 |
#15
olá sabina, felizmente meu problema acabou, consegui depois de 13 dias eliminar o vírus e o trojan
não sei exatamente qual tool foi que os limpou, mas acredito que foi quando deletei tudo o que encontrei com as 2 sugestões que tu me destes aqui acima no último topic teu 'start>run>%temp%' e a outra tambem fiz quase junto tds-3 com o avg disabled + safe mode 'clearprog' [tune up não consegui download] só posso te agradecer tudo que tu fizestes por mim MUITO OBRIGADOOOOOO!!!! tenho um lindo cartão de natal que posso te mandar, se me envias um e-mail ao <tool_eng_hugo@rodrigo.pro.br> obrigadaço, aussurucq |
|
|
||
weil ich sehr wenig deutsch spreche, wenn so danke schön!!
--------------------------------------
hi everybody somewhere!
thanks for having stopped here and be willing to help me, i need very much your support
i got the trojan known as 'istactivex.dll', it was discovered by avg, but i don't any tools to remove it
the infected file is
C:\Documents and Settings\User New\Temporary Internet Files\Content.IE5\WHUB852J\0006_regular[1].cab:\istactivex.dll
here is my highjackthis log, so as you'll be able to tell me what, where and to remove it
Logfile of HijackThis v1.98.2
Scan saved at 14:01:46, on 4/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\POPDiscador\POPDiscador.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\VITALS~1\Net.Medic\Program\syshook.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\UserNew\Local Settings\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mt2net.com.br:3000/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IbestBHO Class - {7E6CDC1C-3B90-47D7-B2A8-24438CA96075} - C:\Program Files\Yahoo! Acesso Gratis\bho.dll
O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\PROGRA~1\iGv6\igshop.dll
O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\PROGRA~1\iGv6\igshop.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [Discador iG] "C:\Program Files\iGv6\Discador iG.exe" boot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [discador] C:\Program Files\Speedy\Speedy 0.98\DISCADOR.EXE
O4 - HKCU\..\Run: [Yahoo! Acesso Gratis] "C:\Program Files\Yahoo! Acesso Gratis\autoupdate.exe"
O4 - HKCU\..\Run: [popbanner] C:\Program Files\POPDiscador\POPDiscador.exe --banner
O4 - HKCU\..\Run: [SysBrand] C:\Program Files\sysbrand.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: Net.Medic.lnk = C:\Program Files\VitalSigns\Net.Medic\Program\netMedic.exe
O4 - Global Startup: raid_tool.exe.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\PROGRA~1\iGv6\igshop.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096654570609
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FB004C0-02E4-4D2D-95BB-A40FBDAF4F4F}: NameServer = 200.204.0.10 200.204.0.138
i look imediately forward to hear from you
since i'm a newcomer in this site, i don't know if i'll be e-mailed when you have news for me
in any event tell me something to my direct e-mail
tool_eng_hugo@rodrigo.pro.br
---------------------------
vielen kankt noch einmal, ich warte