Shell32.exe - Backdoorprogrammes Bds/aimbot.bo |
||
---|---|---|
#0
| ||
20.01.2006, 12:05
Ehrenmitglied
Beiträge: 29434 |
||
|
||
20.01.2006, 12:08
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein - Microsoft Windows Explorer Shell Subsystem (Shell32Extender) - Security Accounts Sharing (WksPatch) Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Shell32Extender und WksPatch" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "X " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: Microsoft Windows Explorer Shell Subsystem Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Doppelklick:regsrch.vbs reinkopieren: Security Accounts Sharing Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.01.2006, 18:06
...neu hier
Beiträge: 5 |
#3
Hallo, anbei die Ergebnisse:
ServiceFilter 1.1 by rand1038 Microsoft Windows XP Home Edition Version: 5.1.2600 Service Pack 2 Jan 21, 2006 17:43:06 ---> Begin Service Listing <--- Unknown Service # 5 Service Name: Shell32Extender Display Name: Microsoft Windows Explorer Shell Subsystem Start Mode: Disabled Start Name: LocalSystem Description: This service controls the Windows Explorer GUI. If this service ... Service Type: Own Process Path: "c:\windows\system32\shell32.exe" State: Running Process ID: ... Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 8 Service Name: WksPatch Display Name: Security Accounts Sharing Start Mode: Disabled Start Name: LocalSystem Description: Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende ... Service Type: Own Process Path: c:\windows\system32\drivers\svchost.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 86 Win32 services on this machine. 8 were unrecognized. Script Execution Time: 2,894531 seconds. "no instances of regsrch.vbs found" Sehe noch keinen Fortschritt - irgendwelche Ideen? Gruß |
|
|
||
21.01.2006, 20:47
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: Microsoft Windows Explorer Shell Subsystem Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Doppelklick:regsrch.vbs reinkopieren: Security Accounts Sharing Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.01.2006, 22:41
...neu hier
Beiträge: 5 |
#5
H Sabina,
Anbei nun auch die ergebnisse von regsrch ;-) REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Microsoft Windows Explorer Shell Subsystem" 24.01.2006 22:36:47 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHELL32EXTENDER\0000] "DeviceDesc"="Microsoft Windows Explorer Shell Subsystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Shell32Extender] "DisplayName"="Microsoft Windows Explorer Shell Subsystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SHELL32EXTENDER\0000] "DeviceDesc"="Microsoft Windows Explorer Shell Subsystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Shell32Extender] "DisplayName"="Microsoft Windows Explorer Shell Subsystem" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHELL32EXTENDER\0000] "DeviceDesc"="Microsoft Windows Explorer Shell Subsystem" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Shell32Extender] "DisplayName"="Microsoft Windows Explorer Shell Subsystem" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Security Accounts Sharing" 24.01.2006 22:38:10 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] "DeviceDesc"="Security Accounts Sharing" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch] "DisplayName"="Security Accounts Sharing" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] "DeviceDesc"="Security Accounts Sharing" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WksPatch] "DisplayName"="Security Accounts Sharing" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] "DeviceDesc"="Security Accounts Sharing" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch] "DisplayName"="Security Accounts Sharing" Was kann man anhand dieser Auswertung erkennen? Würdest Du empfehlen, die Maschine neu aufzusetzen? |
|
|
||
25.01.2006, 01:16
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
Formatieren...ja , es waere empfehlenswert, denn der pC ist verseucht. Nur wenn es wirklich unumgaenglich ist, reinigen wir
Mich interessiert die Routine von diesem Backdoor...schauen wir also mal nach: (und mache nichts im Net, was irgendwie "wichtig" ist...also kein Onlinebanking und aehnliches.... ------------------------------------------------------------------------------- stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.01.2006, 21:19
...neu hier
Beiträge: 5 |
#7
Hallo Sabina,
danke für den Hinweis mit den persönlichen Daten. Die Nutzung von Mozilla (Standardbrowser) und Zonealarm (jetzt reaktiviert) helfen da auch nicht? habe cleanup durchgeführt und unten sind die ergebnisse von datfind. Irgendwas erkennbar? Woher weis ich, dass der Trojaner (noch) aktiv ist? Wo verbirgt sich der Trojaner, denn wäre reine Zeitverschwendung, den Computer neu aufzusetzen und dann festzustellen, dass ich ihn in der Datensicherung mit rüberkopiert habe. Was ist ein ausreichender Schutz in Zukunft? Verzeichnis von C:\WINDOWS\system32 25.01.2006 20:24 890 vsconfig.xml 22.01.2006 20:50 13.646 wpa.dbl 21.01.2006 15:56 4.212 zllictbl.dat 20.01.2006 18:38 40.326 perfc009.dat 20.01.2006 18:38 311.938 perfh009.dat 20.01.2006 18:38 48.552 perfc007.dat 20.01.2006 18:38 317.168 perfh007.dat 20.01.2006 18:38 723.744 PerfStringBackup.INI 20.01.2006 08:08 251 spupdwxp.log 20.01.2006 08:07 130.888 FNTCACHE.DAT 19.01.2006 21:17 0 eraseme_63784.exe 05.01.2006 18:39 0 TFTP3716 29.12.2005 03:54 280.064 gdi32.dll 22.12.2005 17:17 183.296 shell32.exe 22.11.2005 23:50 151.566 UninstIPP.isu 13.10.2005 00:11 15.584 spmsg.dll 08.02.2005 00:00 27.648 escimg.dll 08.02.2005 00:00 32.768 esccm.dll 08.02.2005 00:00 30.208 escwiab.dll 26.01.2005 03:48 63.256 zlcommdb.dll 26.01.2005 03:48 71.448 zlcomm.dll Verzeichnis von C:\DOKUME~1\Axel\LOKALE~1\Temp 25.01.2006 20:23 0 TWAIN.LOG 25.01.2006 20:23 2 Twain001.Mtx 25.01.2006 20:22 222 jusched.log 3 Datei(en) 224 Bytes 0 Verzeichnis(se), 1.881.575.424 Bytes frei Verzeichnis von C:\WINDOWS 25.01.2006 20:55 1.932 WindowsUpdate.log 25.01.2006 20:55 8.601 mozver.dat 25.01.2006 20:23 159 wiadebug.log 25.01.2006 20:23 50 wiaservc.log 25.01.2006 20:22 0 0.log 25.01.2006 20:22 2.048 bootstat.dat 25.01.2006 20:21 32.630 SchedLgU.Txt 20.01.2006 08:11 1.347 OEWABLog.txt 20.01.2006 08:10 733.371 setuplog.txt 20.01.2006 08:10 29.039 spupdsvc.log 20.01.2006 08:09 360 DtcInstall.log 20.01.2006 08:09 120.162 wmsetup.log 20.01.2006 08:09 316.640 WMSysPr9.prx 20.01.2006 08:09 12.364 iis6.log 20.01.2006 08:09 39.823 comsetup.log 20.01.2006 08:09 25.134 ntdtcsetup.log 20.01.2006 08:09 5.784 ocmsn.log 20.01.2006 08:09 43.791 tsoc.log 20.01.2006 08:09 4.696 imsins.log 20.01.2006 08:09 5.648 msgsocm.log 20.01.2006 08:09 81.493 ocgen.log 20.01.2006 08:09 87.888 FaxSetup.log 20.01.2006 08:09 854.489 setupapi.log 20.01.2006 08:06 499.373 svcpack.log 20.01.2006 08:06 1.374 imsins.BAK 20.01.2006 01:37 203.952 KB912919.log 20.01.2006 01:37 460 updspapi.log 20.01.2006 01:28 200 cmsetacl.log 20.01.2006 01:27 1.330 sessmgr.setup.log 20.01.2006 00:57 573 medctroc.Log 19.01.2006 21:27 439 system.ini 18.01.2006 18:52 1.125 winamp.ini 17.01.2006 22:58 24 mainser 05.01.2006 18:53 16.478 ModemLog_Smart Link 56K Modem.txt 28.12.2005 01:15 2.818 tm.ini 25.12.2005 12:47 790 stwin05.ini 25.12.2005 12:46 336 d2hnav.ini 25.11.2005 13:44 738 win.ini 22.11.2005 23:46 257 setup.iss 17.11.2005 00:25 165.233 EPSTPLOG.TXT 17.11.2005 00:22 62 EPSMTL32.TXT 17.11.2005 00:21 99.748 EPSTPLOG.BAK 17.11.2005 00:17 25 CDEALCX11Euro.ini 17.11.2005 00:16 8.802 Windows Update.log 20.06.2005 22:04 808 stwin03.ini 03.04.2005 16:03 805 stwin04.ini 15.01.2005 18:53 0 ROUTE 14.01.2005 22:04 76.890 DirectX.log 14.01.2005 20:41 61.960 dasetup.log 14.01.2005 20:41 4.335 ODBCINST.INI 14.01.2005 20:38 6.416 KB829558.log 14.01.2005 20:35 477 ODBC.INI 01.12.2004 10:58 372.118 ntbtlog.txt 03.10.2004 19:40 31.329 SetupWLD.log 03.10.2004 18:53 0 PROSet.INI 28.09.2004 18:59 101 SelectFile.ini 28.09.2004 18:57 2.275 QKeys Setup Log.txt 28.09.2004 18:56 720.896 iun6002.exe 27.09.2004 17:46 823 nsw.log 20.09.2004 21:30 380 Capictrl.INI 20.09.2004 21:18 59 WINPHONE.INI 27.08.2004 10:44 176.357 setupact.log 04.08.2004 00:58 288.768 winhlp32.exe 04.08.2004 00:58 153.600 regedit.exe 04.08.2004 00:58 70.144 notepad.exe 04.08.2004 00:57 10.752 hh.exe 04.08.2004 00:57 1.035.264 explorer.exe 04.08.2004 00:57 50.688 twain_32.dll Verzeichnis von C:\ 25.01.2006 21:04 0 sys.txt 25.01.2006 21:04 6.126 system.txt 25.01.2006 21:04 381 systemtemp.txt 25.01.2006 21:02 94.317 system32.txt 25.01.2006 20:22 805.306.368 pagefile.sys 20.01.2006 01:28 222 boot.ini 20.01.2006 01:09 47.564 NTDETECT.COM 20.01.2006 01:09 251.184 ntldr 24.02.2004 21:22 0 IO.SYS 24.02.2004 21:22 0 CONFIG.SYS 24.02.2004 21:22 0 AUTOEXEC.BAT 24.02.2004 21:22 0 MSDOS.SYS 29.08.2002 13:00 4.952 bootfont.bin 13 Datei(en) 805.711.114 Bytes 0 Verzeichnis(se), 1.881.575.424 Bytes frei |
|
|
||
25.01.2006, 21:40
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4 KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\system32\eraseme_63784.exe C:\WINDOWS\system32\TFTP3716 C:\WINDOWS\iun6002.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken --------------------------------------------------------------------------- Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.01.2006, 21:16
...neu hier
Beiträge: 5 |
#9
Habe eben alle die Hinweise umgesetzt.
Weis nicht, ob das ganze im abgesicherten modus war: Hatte in erinnerung, dass er immer angezeigt wird - egal. Es gab keine log-datei auf dem desktop und blbeta hat nichts gefunden. Was nun? |
|
|
||
27.01.2006, 01:02
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#10
fuehre Registry Search noch mal aus...und poste die logs ..ich will sehen, ob die reg-Datei Wirkung gezeigt hat .
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2006, 12:08
...neu hier
Beiträge: 5 |
#11
unter Laufwerk D nichts gefunden und
unter Laufwerk C 3 Einträge: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] "DeviceDesc"="Security Accounts Sharing" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] "DeviceDesc"="Security Accounts Sharing" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] "DeviceDesc"="Security Accounts Sharing" Welche wirkung? Gruß Axel. |
|
|
||
28.01.2006, 15:02
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#12
Microsoft Windows Explorer Shell Subsystem --> wurde nichts mehr angezeigt ???
------------------------------------------------------------------------ ueberpruefe, ob das gleoscht ist: C:\WINDOWS\system32\eraseme_63784.exe C:\WINDOWS\system32\TFTP3716--> ich hatte den \ vergessen...es kann also sein, dass es noch nicht geloescht ist..... C:\WINDOWS\iun6002.exe Start-->Ausfuehren--> regedit bearbeiten--> suchen--> WKSPATCH Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WKSPATCH\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WKSPATCH\0000] PC neustarten scanne mit allen 4 Scannern, dannn starte den PC neu. http://virus-protect.org/multiavtool.html suche die Scanreporte in C:\AV-CLS, dort die Scanreporte, falls etwas gefunden/geloescht wurde...kopiere es hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit