"search for" noch nicht ganz verschwunden |
||
---|---|---|
#0
| ||
04.05.2004, 05:25
Moderator
Beiträge: 7805 |
||
|
||
04.05.2004, 11:53
...neu hier
Beiträge: 5 |
#32
Hallo ,
das ding hat auch bei mir zugeschlagen. Startseite ist immer ---Search For...---. Habe schon gescannt und gelöscht mit, CWSchredder Ad-Aware Spybot Win-Patrol Hijack -This Anti-Vir und Norton aber nicht´s hat funktioniert. Alles was ich lösche ist die .dll Datei ,und wenn die weg kommt am nächsten Tag eine neue. Also muß sich irgendwo auf meinem PC eine Datei befinden die diesen .dll Dateien die Tür aufhält. Dank Win-Patrol kann ich früh genug erkennen wann eine neue .dll sich einschleicht, aber das ist ja keine Lösung. Quäle mich jetzt schon zwei Wochen damit rum ,unteranderem in diesem Forum http://www.hwe-forum.de/index.php?board=24;action=display;threadid=4847 hab da schon vier Seiten voll. DAS DING MUß RUNTER!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! So hier ist noch meine Hijack-This Liste ,die schädliche .dll heißt nlhdg.dll. Probleme habe ich mit den BHO Nummern die ich auf dieser Seite http://www.sysinfo.org/bholist.php vergleichen sollte ,konnte meine aber zum teil nicht finden. Ich hoffe hier kann mir jemand helfen. Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe E:\Anti Vir\AVGUARD.EXE E:\Anti Vir\AVWUPSRV.EXE E:\Kerio Firewall\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\System32\CTHELPER.EXE E:\Treiber\Creative\AudioHQ\AHQTBU.EXE E:\Dialer~1\dc.exe E:\WINPAT~1\WinPatrol.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\Anti Vir\AVGNT.EXE E:\Norton\Norton Utilities\NPROTECT.EXE E:\POPUPS~1\POP-UP~1\PSFREE.EXE C:\WINDOWS\System32\nvsvc32.exe E:\Norton\SPEEDD~1\nopdb.exe E:\Kerio Firewall\Personal Firewall 4\kpf4gui.exe E:\Kerio Firewall\Personal Firewall 4\kpf4gui.exe C:\Programme\Internet Explorer\iexplore.exe E:\Anti Vir\AVWIN.EXE C:\Dokumente und Einstellungen\X\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {87CB6B4C-6A34-4C03-9327-FF57EF11F113} - (no file) O2 - BHO: (no name) - {9EAE0271-8094-487B-96CC-A5150ED8C0D0} - (no file) O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O2 - BHO: (no name) - {D082F453-EE91-4101-91B3-0B649EB9B1E7} - (no file) O2 - BHO: (no name) - {FF90ECB8-47B8-4C68-971C-7FDE53F159C0} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "E:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] E:\Treiber\Creative\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [AudioHQU] E:\Treiber\Creative\AudioHQ\AHQTBU.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Dialer Control] E:\Dialer~1\dc.exe O4 - HKLM\..\Run: [WinPatrol] "e:\WINPAT~1\WinPatrol.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] E:\Anti Vir\AVGNT.EXE /min O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "E:\POPUPS~1\POP-UP~1\PSFREE.EXE" O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {1DB3B8DD-5801-443F-B2D5-9BF8912B980E} (dmgrax2Ctrl Class) - http://www.lxsystems.com/downloads/Install.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{26A21027-6B04-4107-849A-B9283DE4686D}: NameServer = 217.237.151.33 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{26A21027-6B04-4107-849A-B9283DE4686D}: NameServer = 217.237.151.33 194.25.2.129 |
|
|
||
04.05.2004, 12:05
Moderator
Beiträge: 7805 |
#33
Downloade diesen scanner:
http://www.mwti.net/antivirus/free_utilities.asp Fixe dann das hier: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {87CB6B4C-6A34-4C03-9327-FF57EF11F113} - (no file) O2 - BHO: (no name) - {9EAE0271-8094-487B-96CC-A5150ED8C0D0} - (no file) O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O2 - BHO: (no name) - {D082F453-EE91-4101-91B3-0B649EB9B1E7} - (no file) O2 - BHO: (no name) - {FF90ECB8-47B8-4C68-971C-7FDE53F159C0} - (no file) Dann bitte in den abgesicherten Modus starten und dort den Scanner aufrufen und die Festplatte reinigen lassen. Poste dann mal, welche Viren der scanner gefunden und welche er nicht reinigen/loeschen konnte.... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.05.2004, 13:09
...neu hier
Beiträge: 5 |
#34
Hallo,
habe mir jetzt den Free eScan Antivirus Toolkit Utility runtergeladen (wenn das der richtige ist). Muß gleich mal probieren. Aber was kann passieren wenn ich alle BHO´s lösche ? Denn ich weiß das eine der BHO´s --O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)--in der Tabelle für Spybot Search&Destroy (gutes antispy Programm) steht. Was kann passieren wenn ich die BHO´s lösche ,und vielleicht wichtige Einträge somit von meinem PC entferne (durch löschen wichtiger nicht infizierter Dateien) ? |
|
|
||
04.05.2004, 15:06
Moderator
Beiträge: 7805 |
#35
Also normalerweise waere das der Eintrag fuer Spybot, aber wie du in der Erklaerung siehst"(no file) ", die Spybot Datei ist nicht mehr da. Einfach loeschen und dann mit Spybot einfach neu installieren.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.05.2004, 18:18
...neu hier
Beiträge: 9 |
#36
Er ist tot!!! Dieser Drecksack von Hijacker...
Hallo Leute. Da ich selber von diesem Superdingen befallen war, hab ich mich daran gesetzt das Dingen zu finden und zur Strecke zu bringen. Es hat mich ziemliche Nerven gekostet, aber es hat sich gelohnt. Zur Sache. Die Geschichte mit den Spyware Scannern is ja ganz in Ordnung aber es bringt nichts. Das Teil setzt sich über ein Script in das System. Das Teil fungiert unter zwei Namen, 1. Js.searchx.cc, 2. your.search.cc. Macht euch keine Hoffnungen das ihr das Teil per manueller Suche finden werdet. Auch mit "Hijack This" bringt es nichts, das Teil is nach nem Reboot wieder da, auch nach aktuellem Patch des IE. Es werden mehrere Dateien überschrieben, die weder in der Größe, oder im Datum geändert werden. Ihr könnt ihn auch nicht im Abgesicherten Modus zur Strecke bringen... Ihr müßt es über die Reparaturkonsole machen. Folgende Datein müßen gelöscht und von der Windows XP Cd ersetzt werden: svchost.exe lsass.exe smss.exe (diese Sicherheitshalber mit ersetzen!!!) Zwei Dateien hab ich auch noch gelöscht weil die im System nix verloren hatten und ich die nich kannte: Kill.ini und Killapps.exe Wer weiß wo die herkommen kann sich ja melden... Die IP Adresse von dem Teil lautet 81.211.105.79 oder 81.211.105.39 Unbedingt nach Mshop.dll oder Mrhop.dll suchen und löschen!!! Falls ihr wißt wann der Angriff statt gefunden hat ersetzt sämtliche Systemdateien mit diesem Datum auch löschen und ersetzen. Aus folgenden Verzeichnissen: C:\Windows\System32 C:\Windows\System32\DllCache Systemwiederherstellung bringt nichts!!!! Natürlich das letzte Servicepack vom IE runterladen... Falls ihr Fragen habt könnt ihr mir ne Mail schicken. Ihr könnt dann eine Liste haben mit allen Prozessen die im Leerlaufprozess laufen dürfen und wie man Ports unter XP dicht macht... Endlich is der Hund wech... Mail to: juppmcclane@web.de Dieser Beitrag wurde am 04.05.2004 um 18:21 Uhr von jupp mcclane editiert.
|
|
|
||
04.05.2004, 18:46
Moderator
Beiträge: 7805 |
#37
Die Killapps.exe duerfte zu einer Creativ labs Soundkarte gehoeren.
und wenn das alles ist, was du gemacht hast, warten wir, ob er nicht doch noch wieder kommt. by the way: Die Mshop.dll und Mrhop.dll Datenamen gibt es nur auf deinem System, leider waehlt die "Hauptmalware" immer wechselnde Zufallsnamen. Ich hoffe du bist ihn wirklich los. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.05.2004, 18:50
...neu hier
Beiträge: 9 |
#38
Er ist endgültig weg....
Hab gerade noch mal die Registry durchwühlt und nix gefunden. Habe mir den PE-Explorer runtergeladen und den ersetzten Dateien ein "Timestamp" verpasst, so das wenn was geändert wird in den Datein sofort eine Warnung gegeben wird und man sieht welche Datei und was in der Datei geändert wird sieht.... Dieser Beitrag wurde am 04.05.2004 um 18:54 Uhr von jupp mcclane editiert.
|
|
|
||
04.05.2004, 19:17
Member
Themenstarter Beiträge: 13 |
#39
Hi Raman, habe heute die KBDAJ.dll mit Hilfe der Wiederherstellungskonsole in KBDAJ.txt umbenannt (löschen lies sich die verdammte Datei nicht!). Anschließend habe ich Ad-aware 2mal drüberlaufen lassen (hat im 1. Schritt elf Einträge gefunden, einschl. einer weiteren dll.; letztere konnte aber im 2. Schritt gelöscht werden, allerdings waren weitere drei Einträge da). Nach Ad-Aware noch den CWShredder und Clearprog. Sollte ich nun noch etwas veranlassen? Mein Logfile sieht wie folgt aus:
Logfile of HijackThis v1.97.7 Scan saved at 19:16:48, on 04.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AntiVirenKit\AVKService.exe C:\Programme\AntiVirenKit\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 9.0\aoltray.exe C:\Tools\Common\Bin\WinCinemaMgr.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Logitech\ImageStudio\LowLight.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Freeware\Sonstige Programme\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Tools\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {18804613-25DC-431E-8EFD-4D3FDEC0F90B} - C:\WINDOWS\System32\nbl.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Tools\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Tools\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Tools\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Tools\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: AIM (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37885.4241898148 Ich nehme an, dass ich den R1 fixen kann bzw. sollte (?) Was noch? Was bedeutet fixen, ist der Eintrag dann gelöscht? ERSTMAL HERZLICHEN DANK RAMAN! Hoffe bin das Teil los (willst du es noch per Mail haben?) und werde niemehr eins bekommen, verwende künftig den Mozilla Firefox. MFG Thor |
|
|
||
04.05.2004, 19:26
Member
Beiträge: 1122 |
#40
Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {18804613-25DC-431E-8EFD-4D3FDEC0F90B} - C:\WINDOWS\System32\nbl.dll (file missing) So ich glaube du hast echt geschafft ... Fixen bedeutet der Eintrag wird entfernet, nicht die Datei. MFG DAFRA |
|
|
||
04.05.2004, 19:28
Moderator
Beiträge: 7805 |
#41
Ja, fix die Eintraege noch, wenn du die Datei noch hast, mal her damit (wird aber wohl Backdoor.agent.ac sein) und dann zu guter letzt mit diesem scanner im abgesichertenModus nochmal scannen lassen:
http://www.mwti.net/antivirus/free_utilities.asp __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.05.2004, 20:37
...neu hier
Beiträge: 9 |
#42
Defenitiv wech...
Hi raman. Er ist endgültig weg. Habe wie gesagt in der Reparaturconsole lsass.exe, svchost.exe und smss.exe aus den verzeichnissen SYSTEM32 und DLLCACHE gelöscht und von der WinXP CD ersetzt und renamed. Desweiteren habe ich die Registry Einträge aus diesen Pfaden gelöscht: HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN bis auf den STANDARD Wert alles gelöscht. XP schreibt die Daten und Werte nach dem Patchen und Start des IE wieder allein in die Registry. Ich hab mir die Daten und Werte von meinem zweit rechner geholt. Habe natürlich vorher das System mit ClearProg gescannt und danach die ganze Geschichte gemacht... Der Hijacker hat sich wie gesagt in die SVCHOST.EXE geschrieben und die geändert. Selbst wenn man vorher die RegEinträge gefixt hatte, stand wieder derselbe Eintrag in der Registry... MfG Jupp McClane Dieser Beitrag wurde am 04.05.2004 um 20:39 Uhr von jupp mcclane editiert.
|
|
|
||
04.05.2004, 20:53
Member
Beiträge: 1095 |
#43
Zitat jupp mcclane posteteWoher weißt du das ? Würde mich sehr interessieren Zitat Uberprüfe bitte das nochGruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 04.05.2004 um 20:59 Uhr von paff editiert.
|
|
|
||
04.05.2004, 21:38
...neu hier
Beiträge: 9 |
#44
Hi paff!!!
Das war reiner Zufall, das ich das gesehen habe. Da ich für unsere Firma ein Update Teste und die Exe bearbeiten muß, habe ich mir die svchost.exe mal mit nem Disassembler angeschaut und mit der meines zweit Rechners verglichen, Svcohst.exe auf den infizierten Rechner hatte eine Zeile mehr. In dem Tool gibt's einen Punkt Namens Dependency Scanner. Dort kann man sehen welche DLL's noch mit der svchost.exe zusammen arbeiten und da war eine dll zuviel als auf dem zweit Rechner. Das war die Mshop.dll. Jedes mal wenn man die Registry gesäubert hatte, (sprich Einträge auf Standard Werte umschreiben) wurde von der svchost.exe die Mshop.dll mitgestartet. Das habe ich mit dem Prozessexplorer festgestellt. Dieses Tool schlüsselt auch nochmal Sämtliche laufende Prozeße auf. Bei dem ersten Start des IE kam die Startseite die ich eingetragen hatte, beim zweiten Start die von "Search for" (welch Graus) und gleichzeitig ging von der svchost.exe die mshop.dll mit hoch... und alles war wieder beim alten. Search for kam wieder und der Super Hinweis das man doch Spyware auf dem Rechner hat... Dieser Beitrag wurde am 04.05.2004 um 21:53 Uhr von jupp mcclane editiert.
|
|
|
||
04.05.2004, 22:05
Member
Beiträge: 1095 |
#45
Danke für die Info
Hast du die Dateien aufgehoben? Könnten ganz interessant sein. Zitat
Wie können die Dateien dann gleich groß sein? Kanns nicht sein, das es irgendwo in der Registry noch einen Eintrag gibt die der "svchost.exe" "befiehlt" die Mshop.dll mitzuladen? Das muß ich auch noch fragen Du bist sicher das es sich um die selbe Datei handelt Es gibt verschiedene Schreibweisen Svcohst oder Scvhost oder svchost Wurde auch schonmal von einen Wurm benutzt! Entschuldige bitte meine Fragerei Wenn's dir zuviel wird sags einfach Gruß paff P.S. Hast du das aus meinen vorigen Post mal abgecheckt. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 04.05.2004 um 22:07 Uhr von paff editiert.
|
|
|
||
__________
MfG Ralf
SEO-Spam Hunter