Home » Viren, Trojaner & Malware Forum » RootkitRevealer findet "InprocServer32*"; was ist das? » Themenansicht
RootkitRevealer findet "InprocServer32*"; was ist das? |
||
|---|---|---|
| #0
| ||
|
16.09.2006, 00:57
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
20.09.2006, 00:23
Member
Beiträge: 11 |
#17
Hallo Sabina,
erst mal vielen Dank für die Mail, hatte nen bischen Probleme mit meinem Alzheimer. Hab JScript ausgeschaltet und nicht an eine 2. Seite gedacht, sorry, muß auch dringend ins Bett, meine Tochter ruft schon. Also mit der xwev.exe bin ich bei Virustotal weitergekommen. Das ist wohl eine Datei vom Rootkit Revealer selbst. Hab auch mal folgende Tools ausprobiert: Blacklight, BitDefender Rootkit Uncover 1.0, Sophos Sargui Exe, als auch Hookanalyser und Ice Sword. Die ersten drei haben nichts gefunden . Bei dem Scan von Ice Sword bin ih mir genauso wenig sicher wie dem geposteten von Sysinternals Rootkitrevealer. Melde mich nächstes WoEnde mal wieder , da ich jetzt erst mal auswärts bin. Aber vielen Dank noch mal für die nette Hilfe. Ach ja, was macht den eigentlich Avenger so, ist das so eine Art Kill BoX für Schädlinge ?? Wenn Du mehr weißt, oder Dir noch mehr einfällt zu meinem Log den ich gepostet habe dann kannst Du Dich ja noch mal melden. Tschau RH oder auch SS.  P.S.: Ach ja, ein kleines Problemchen hätt ich auch noch : Kannst Du mir sagen warum mein Drucker keine Farben mehr ausspuckt?? Hab schon alles versucht und auch schon bei WiBoard im Forum gepostet, grübel???  P.S.: Hab das jetzt auch mit ReDellNull verstanden, doch vorher wüßte ich gerne , ob der InProcServer nicht doch ggf. was gutes auf meinem System ist. Oder sind Enbeded Nulls in der Reg immer schlecht ?? Werde CMD und Reg Dell nach meiner Abwesenheit mal ausprobieren..... Dieser Beitrag wurde am 20.09.2006 um 00:26 Uhr von Rödelhennes editiert.
|
|
|
|
|
|
|
20.09.2006, 00:45
Ehrenmitglied
Beiträge: 29434 |
#18
Druckerprobleme - keine Ahnung
 das musst du einen Techniker fragen...was deinen Rechner betrifft, so wuerde ich mir nicht soviele Sorgen machen, je mehr man graebt, desto unsicherer wird man. die 0-Eintraege in der Registry kannst du rausloeschen , oder lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.10.2006, 23:51
Member
Beiträge: 11 |
#19
Hallo Sabina,
bin auch beim Board bei HiJakThis unterwegs mit meinem Problem und habe auch sonst nicht viel Zeit. Sorry. RegDelNull hab ich mir jetzt von Sysinternals runtergeladen und wie gehts jetzt weiter? Hab die letzte Anleitung irgendwie falsch verstanden ? Würd mich freuen wenn Du mir nochmal hilfst? Würd die enbedded o doch mal gerne löschen! CU RH oder bei HJT Forum: Silversurfer. |
|
|
|
|
|
|
24.10.2006, 23:54
Ehrenmitglied
Beiträge: 29434 |
#20
eigentlich habe ich es auf meiner seite an einem beispiel genau erklaert, du musst dich dann durchwurschteln
http://virus-protect.org/regdelnull.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.10.2006, 23:58
Member
Beiträge: 11 |
#21
Hey Du bist ja online.
Hab gerad die Anleitung angesehen und werd s noch mal versuchen. Außerdem hab ich mal den geposteten Log von RootkitRev. angesehen und festgestellt, daß mit dem Spooler ein Eintrag besteht: C:\WINDOWS\system32\spool\PRINTERS\FP00003.SHD 03.09.2006 17:26 0 bytes Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32\spool\PRINTERS\FP00003.SPL 03.09.2006 17:26 0 bytes Visible in Windows API, but not in MFT or directory index. Könnte es nicht sein, daß mein Druckerproblem / Farben hiermit zusammenhängt??? Ach ja, jetzt fällt mir auf, daß Du auf der Seite regdelnul HKLM -s geschrieben hast, heißt es aber nicht : regdelnull (mit Doppel ll) HKLM -s ??? Jetzt kann ich mir auch das nichtfunzen erklären. Werds jetzt noch mal versuchen. RH / SS Dieser Beitrag wurde am 25.10.2006 um 00:01 Uhr von Rödelhennes editiert.
|
|
|
|
|
|
|
25.10.2006, 00:05
Ehrenmitglied
Beiträge: 29434 |
#22
ich verstehe nur als normaluser was von Hardware und von Druckern verstehe ich 0 , weil ich keinen habe... jedoch:
- ist eine Farbpatrone eingelegt  - ueberpruefe, ob die Farbpatrone korrekt geoeffnet ist, man muss sie beim korrekten Einlegen normalerweise oeffnen - ueberpruefe, ob die Farbe nicht eingetrocknet ist, oder ob die Duese verstopft ist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.10.2006, 01:05
Member
Beiträge: 11 |
#23
Hallo Sabina, Du "Normaluserin"
 , war mal auf Deiner Seite. jetzt nach nochmaligem Studium des Forums weiß ih auch wie ich RegdelNull eingeben soll, nur weiß ich nicht, wie ich nach dem Befehl cmd und der dann auftauchenden DOS Box hinter dem C:\ das : Dokumente und Einstellungen/Uwe wegbekommen soll. Bin kein Programmierer und kenne mich auf der DOS Ebene nicht so richtig aus. Hab mal die Box kopiert: Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\Uwe> C:\Dokumente und Einstellungen\Uwe>regdelnull HKLM -s Der Befehl "regdelnull" ist entweder falsch geschrieben oder konnte nicht gefunden werden. ??? P.S.: Hab mal den Befehl netstat hinter dem Uwe eingegeben um mal meine Verbindungen zu testen, benutze zwar ein Skript svckxp oder so ähnlich welches mir die blöden Netbios Ports dicht gemacht hat, aber man weiß ja nie. Nach der Abfrage erhielt ich zusätzlich zu den beiden Lokalhost Angaben noch die IP 193.108.95.15:http ich glaub als wartend angezeigt. Gleichzeitig meldete mein Sicherheitsproggi von AVM Fritz Protect die Meldung: Möchten Sie die Verbindung von 15.95.108.193.in-addr.arpa zulassen ??? Was soll ich davon halten ??? Interessieren Dich eigentlich auch Logs von HJT ? Bin bei meinen Recherchen hier allerdings nicht fündig geworden, das ist glaub ich auch normal, wenn man ein Rootkit beheimatet? Oder? Sorry CU Dieser Beitrag wurde am 25.10.2006 um 01:24 Uhr von Rödelhennes editiert.
|
|
|
|
|
|
|
25.10.2006, 01:28
Ehrenmitglied
Beiträge: 29434 |
#24
versuche es mal mit tuneup, das proggie loescht auch 0-Dateien
http://virus-protect.org/reinigungstoolsregistry.html wende an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner ansonsten bleibe ich dabei, meiner Meinung nach brauchst du dir um diesen Eintrag keine grauen haare wachsen zu lassen, nicht alle versteckten Dateien sind boese. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.10.2006, 08:30
Member
Beiträge: 1132 |
#25
Hi Rödelhennes,
kopiere die regdelnull.exe ins Hauptverzeichnis von C: (ist doch das Systemverzeichnis? Die regdelnull.exe muss vom Hauptverzeichnis der Systempartition aus gestartet werden). Öffne die DOS-Box mit dem cmd-Befehl => gebe cd:\ ein => enter, dann gelangst Du ins Hauptverzeichnis von c:. Gib regdelnull HKLM -s ein, dann sollte es funktionieren. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
25.10.2006, 12:19
Member
Beiträge: 11 |
#26
Hei Heron , Hei Sabina,
Tune Up hab ich schon drauf. Beim Löschen der o Einträge hat es allerdings nicht geholfen. Werd es heute Abend mal mit cd:\ versuchen. Oder kann ich die exe auch aus den Dokumenten und Einstellungen heraus starten? Bekomme mit dem normalen Manöver nämlich den Pfad nicht weg? Werd mal versuchen. Hab zufällig mal den Spyware Guard von Sysinternals aufgerufen. Der hatte ein BHO bemeckert. Log lässt sich leider nicht kopieren? Startseite ...www.google.de/ geändert zu www.google.de Hab mich für das New Value entschieden. Dann kam die Aufforderung zu Browser Page Changing Value Name Search Bar, Old Value: New Value:http:\\www.google.de\ie. Hab mich dann für Restore old value entschieden. Dann kam der Alert IE changes Value Name : Search Bar Old Value: none New Value: Hab mich dann für Restore Old Value entshieden ??? Danach hab ich mal Tune Up laufen lassen : mit folgendem Ergebnis des RegCleaners: VBA Collection Object --------------------- Der InprocServer32-Schlüssel "HKEY_CLASSES_ROOT\CLSID\{A4C4671C-499F-101B-BB78-00AA00383CBB}\InprocServer32" enthält keine Daten. Dieser Unterschlüssel des Objektes kann daher gelöscht werden. GOPHER ------ Der Schlüssel "HKEY_CLASSES_ROOT\GOPHER\shell\open" ist unvollständig, da der Unterschlüssel "command" fehlt. Die Aktion "Öffnen" des Dateityps funktioniert daher nicht. Unvollständiger Eintrag "{2CCBABCB-6427-4A55-B091-49864623C43F}" ---------------------------------------------------------------- Der Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2CCBABCB-6427-4A55-B091-49864623C43F}" enthält keine der von Windows zur Deinstallation benötigten Werte und kann daher gelöscht werden. Hab die drei Einträge mal gelöscht. Mal sehn was Rootkit Revealer so sagt? Den Gopher hatte ich eigentlich bei jedem clean Vorgang von Tune Up dabei aber der Eintrag erschien immer wieder neu? Wer weiß was? Dieser Beitrag wurde am 26.10.2006 um 00:17 Uhr von Rödelhennes editiert.
|
|
|
|
|
|
|
29.10.2006, 22:22
Member
Beiträge: 11 |
#27
Also,
versuche über cmd dann den Befehl regdelnull -s im c:\ unterzubringen. Doch leider bekomme ich nach der Eingabe von cmd folgendes im DOS Fenster gezeigt: c:\Dokumente und Einstellungen\Uwe und das bekomme ich nicht gelöscht??? Sorry bin so selten auf dos Ebene unterwegs und ein dos - Handbuch hab ich auch nicht. Bitte helft doch noch mal einem DAU. Damit ich die Enbeded 0 wegbekomme. |
|
|
|
|
|
|
30.10.2006, 00:01
Ehrenmitglied
Beiträge: 29434 |
#28
am besten kopiert man die Datei "regdelnul.exe" in folgenden Ordner --> C:\
ich hatte die RegDelnull.exe erst auf dem Desktop, dann habe ich sie in c:\ kopiert.  wenn du in Ausfuehren - cmd eingibst, muesste c:\ erscheinen  dann in DOS eingegeben: regdelnull hklm -s  der scan beginnt:  __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.10.2006 um 00:22 Uhr von Sabina editiert.
|
|
|
|
|
|
|
30.10.2006, 10:12
Member
Beiträge: 1132 |
#29
Also, Rödelhennes, noch mal zum Mitschreiben:
Die Datei "regdelnull.exe" nach "C:\" (Hauptverzeichnis) kopieren. Start => Ausführen => cmd dann öffnet sich das DOS-Fenster mit dem aktuellen Pfad: "c:\Dokumente und Einstellungen\Uwe >" Jetzt gibst Du hinter dem ">"-Zeichen (der Cursor steht sowieso schon da) den Befehl "cd:\" (ohne Anführungszeichen) ein und drückst "Enter". Danach wird angezeigt "C:\ >" Danach tippst Du den Befehl "regdelnull hklm -s" (wieder ohne Anführungszeichen) ein und bestätigst mit "Enter". So schwer kann das doch nicht sein! Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
31.10.2006, 11:03
Member
Beiträge: 11 |
#30
Hallo Sabina, hallo Heron,
erst mal Danke für soviel Nachsicht mit mir, aber irgendwie mache ich zwar alles richtig, bis zu dem Punkt, wo ich cd:\ eingebe (hinter dem Dokumente und Einst.). Dann erscheint nämlich wieder c:\Dokumente und Einstellungen\Uwe ??? Ich komme im DOS einfach nicht an das schlichte c:\. Sorry, aber ich glaub ich lasse das einfach mal so stehen, ggf. ist das ja auch von der Software "AnyDVD" von Slysoft?? Dann brauch ich den Eintrag noch??? Ansonsten sagte mir mein AVIRA Scanner Gestern, ich hätte auf C:\Programme\Hitman Pro\updates.exe und auf c:\Programme\Hitman Pro\srhelper.exe einen Wurm mit dem Namen: Worm IM.Betzam ??? Meine Recherche hat hierzu allerdings noch nichts ergeben, weder bei Avira noch bei Sophos Virenlekikon. Eine Überprüfung bei Virustotal verlief auch negativ. Keiner der Scanner erkannte etwas??? Hilfe erwünscht??? CU Rödelhennes |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
C:\Dokumente und Einstellungen\uwe\Lokale Einstellungen\Temp\xwev.exe
__________
MfG Sabina
rund um die PC-Sicherheit