"search for" noch nicht ganz verschwunden

#0
04.05.2004, 05:25
Moderator

Beiträge: 7805
#31 Es gibt viele CWS Varianten. Vieleicht hattest du eine "einfache", ich wuensch es dir zumindest. ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.05.2004, 11:53
...neu hier

Beiträge: 5
#32 Hallo ,
das ding hat auch bei mir zugeschlagen.
Startseite ist immer ---Search For...---.
Habe schon gescannt und gelöscht mit,
CWSchredder
Ad-Aware
Spybot
Win-Patrol
Hijack -This
Anti-Vir
und Norton aber nicht´s hat funktioniert.
Alles was ich lösche ist die .dll Datei ,und wenn die weg kommt am nächsten Tag eine neue.
Also muß sich irgendwo auf meinem PC eine Datei befinden die diesen .dll Dateien die Tür aufhält.
Dank Win-Patrol kann ich früh genug erkennen wann eine neue .dll sich einschleicht, aber das ist ja keine Lösung.
Quäle mich jetzt schon zwei Wochen damit rum ,unteranderem in diesem Forum http://www.hwe-forum.de/index.php?board=24;action=display;threadid=4847 hab da schon vier Seiten voll.
DAS DING MUß RUNTER!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

So hier ist noch meine Hijack-This Liste ,die schädliche .dll heißt nlhdg.dll.
Probleme habe ich mit den BHO Nummern die ich auf dieser Seite http://www.sysinfo.org/bholist.php vergleichen sollte ,konnte meine aber zum teil nicht finden.
Ich hoffe hier kann mir jemand helfen.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Anti Vir\AVGUARD.EXE
E:\Anti Vir\AVWUPSRV.EXE
E:\Kerio Firewall\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Treiber\Creative\AudioHQ\AHQTBU.EXE
E:\Dialer~1\dc.exe
E:\WINPAT~1\WinPatrol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Anti Vir\AVGNT.EXE
E:\Norton\Norton Utilities\NPROTECT.EXE
E:\POPUPS~1\POP-UP~1\PSFREE.EXE
C:\WINDOWS\System32\nvsvc32.exe
E:\Norton\SPEEDD~1\nopdb.exe
E:\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
E:\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Anti Vir\AVWIN.EXE
C:\Dokumente und Einstellungen\X\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {87CB6B4C-6A34-4C03-9327-FF57EF11F113} - (no file)
O2 - BHO: (no name) - {9EAE0271-8094-487B-96CC-A5150ED8C0D0} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {D082F453-EE91-4101-91B3-0B649EB9B1E7} - (no file)
O2 - BHO: (no name) - {FF90ECB8-47B8-4C68-971C-7FDE53F159C0} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "E:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Treiber\Creative\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AudioHQU] E:\Treiber\Creative\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dialer Control] E:\Dialer~1\dc.exe
O4 - HKLM\..\Run: [WinPatrol] "e:\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] E:\Anti Vir\AVGNT.EXE /min
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "E:\POPUPS~1\POP-UP~1\PSFREE.EXE"
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1DB3B8DD-5801-443F-B2D5-9BF8912B980E} (dmgrax2Ctrl Class) - http://www.lxsystems.com/downloads/Install.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26A21027-6B04-4107-849A-B9283DE4686D}: NameServer = 217.237.151.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{26A21027-6B04-4107-849A-B9283DE4686D}: NameServer = 217.237.151.33 194.25.2.129
Seitenanfang Seitenende
04.05.2004, 12:05
Moderator

Beiträge: 7805
#33 Downloade diesen scanner:

http://www.mwti.net/antivirus/free_utilities.asp

Fixe dann das hier:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nlhdg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {87CB6B4C-6A34-4C03-9327-FF57EF11F113} - (no file)
O2 - BHO: (no name) - {9EAE0271-8094-487B-96CC-A5150ED8C0D0} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {D082F453-EE91-4101-91B3-0B649EB9B1E7} - (no file)
O2 - BHO: (no name) - {FF90ECB8-47B8-4C68-971C-7FDE53F159C0} - (no file)

Dann bitte in den abgesicherten Modus starten und dort den Scanner aufrufen und die Festplatte reinigen lassen.

Poste dann mal, welche Viren der scanner gefunden und welche er nicht reinigen/loeschen konnte....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.05.2004, 13:09
...neu hier

Beiträge: 5
#34 Hallo,
habe mir jetzt den Free eScan Antivirus Toolkit Utility runtergeladen (wenn das der richtige ist).
Muß gleich mal probieren.
Aber was kann passieren wenn ich alle BHO´s lösche ?
Denn ich weiß das eine der BHO´s --O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)--in der Tabelle für Spybot Search&Destroy (gutes antispy Programm) steht.
Was kann passieren wenn ich die BHO´s lösche ,und vielleicht wichtige Einträge somit von meinem PC entferne (durch löschen wichtiger nicht infizierter Dateien) ?
Seitenanfang Seitenende
04.05.2004, 15:06
Moderator

Beiträge: 7805
#35 Also normalerweise waere das der Eintrag fuer Spybot, aber wie du in der Erklaerung siehst"(no file) ", die Spybot Datei ist nicht mehr da. Einfach loeschen und dann mit Spybot einfach neu installieren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.05.2004, 18:18
...neu hier

Beiträge: 9
#36 Er ist tot!!! Dieser Drecksack von Hijacker...

Hallo Leute. Da ich selber von diesem Superdingen befallen war, hab ich mich daran gesetzt das Dingen zu finden und zur Strecke zu bringen. Es hat mich ziemliche Nerven gekostet, aber es hat sich gelohnt. Zur Sache. Die Geschichte mit den Spyware Scannern is ja ganz in Ordnung aber es bringt nichts. Das Teil setzt sich über ein Script in das System. Das Teil fungiert unter zwei Namen, 1. Js.searchx.cc, 2. your.search.cc. Macht euch keine Hoffnungen das ihr das Teil per manueller Suche finden werdet. Auch mit "Hijack This" bringt es nichts, das Teil is nach nem Reboot wieder da, auch nach aktuellem Patch des IE. Es werden mehrere Dateien überschrieben, die weder in der Größe, oder im Datum geändert werden. Ihr könnt ihn auch nicht im Abgesicherten Modus zur Strecke bringen... Ihr müßt es über die Reparaturkonsole machen. Folgende Datein müßen gelöscht und von der Windows XP Cd ersetzt werden:
svchost.exe
lsass.exe
smss.exe (diese Sicherheitshalber mit ersetzen!!!)

Zwei Dateien hab ich auch noch gelöscht weil die im System nix verloren hatten und ich die nich kannte:
Kill.ini und Killapps.exe
Wer weiß wo die herkommen kann sich ja melden...
Die IP Adresse von dem Teil lautet 81.211.105.79 oder 81.211.105.39
Unbedingt nach Mshop.dll oder Mrhop.dll suchen und löschen!!!
Falls ihr wißt wann der Angriff statt gefunden hat ersetzt sämtliche Systemdateien mit diesem Datum auch löschen und ersetzen.
Aus folgenden Verzeichnissen:
C:\Windows\System32
C:\Windows\System32\DllCache
Systemwiederherstellung bringt nichts!!!!
Natürlich das letzte Servicepack vom IE runterladen...
Falls ihr Fragen habt könnt ihr mir ne Mail schicken. Ihr könnt dann eine Liste haben mit allen Prozessen die im Leerlaufprozess laufen dürfen und wie man Ports unter XP dicht macht...
Endlich is der Hund wech...
Mail to: juppmcclane@web.de
Dieser Beitrag wurde am 04.05.2004 um 18:21 Uhr von jupp mcclane editiert.
Seitenanfang Seitenende
04.05.2004, 18:46
Moderator

Beiträge: 7805
#37 Die Killapps.exe duerfte zu einer Creativ labs Soundkarte gehoeren.

und wenn das alles ist, was du gemacht hast, warten wir, ob er nicht doch noch wieder kommt.
by the way: Die Mshop.dll und Mrhop.dll Datenamen gibt es nur auf deinem System, leider waehlt die "Hauptmalware" immer wechselnde Zufallsnamen.

Ich hoffe du bist ihn wirklich los.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.05.2004, 18:50
...neu hier

Beiträge: 9
#38 Er ist endgültig weg....

Hab gerade noch mal die Registry durchwühlt und nix gefunden.
Habe mir den PE-Explorer runtergeladen und den ersetzten Dateien ein "Timestamp" verpasst, so das wenn was geändert wird in den Datein sofort eine Warnung gegeben wird und man sieht welche Datei und was in der Datei geändert wird sieht....
Dieser Beitrag wurde am 04.05.2004 um 18:54 Uhr von jupp mcclane editiert.
Seitenanfang Seitenende
04.05.2004, 19:17
Member

Themenstarter

Beiträge: 13
#39 Hi Raman, habe heute die KBDAJ.dll mit Hilfe der Wiederherstellungskonsole in KBDAJ.txt umbenannt (löschen lies sich die verdammte Datei nicht!). Anschließend habe ich Ad-aware 2mal drüberlaufen lassen (hat im 1. Schritt elf Einträge gefunden, einschl. einer weiteren dll.; letztere konnte aber im 2. Schritt gelöscht werden, allerdings waren weitere drei Einträge da). Nach Ad-Aware noch den CWShredder und Clearprog. Sollte ich nun noch etwas veranlassen? Mein Logfile sieht wie folgt aus:

Logfile of HijackThis v1.97.7
Scan saved at 19:16:48, on 04.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Tools\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Logitech\ImageStudio\LowLight.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Freeware\Sonstige Programme\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Tools\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18804613-25DC-431E-8EFD-4D3FDEC0F90B} - C:\WINDOWS\System32\nbl.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Tools\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Tools\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Tools\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Tools\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37885.4241898148

Ich nehme an, dass ich den R1 fixen kann bzw. sollte (?) Was noch? Was bedeutet fixen, ist der Eintrag dann gelöscht?

ERSTMAL HERZLICHEN DANK RAMAN! Hoffe bin das Teil los (willst du es noch per Mail haben?) und werde niemehr eins bekommen, verwende künftig den Mozilla Firefox.

MFG
Thor
Seitenanfang Seitenende
04.05.2004, 19:26
Member
Avatar Dafra

Beiträge: 1122
#40 Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {18804613-25DC-431E-8EFD-4D3FDEC0F90B} - C:\WINDOWS\System32\nbl.dll (file missing)

So ich glaube du hast echt geschafft ;)...
Fixen bedeutet der Eintrag wird entfernet, nicht die Datei.
MFG
DAFRA
Seitenanfang Seitenende
04.05.2004, 19:28
Moderator

Beiträge: 7805
#41 Ja, fix die Eintraege noch, wenn du die Datei noch hast, mal her damit (wird aber wohl Backdoor.agent.ac sein) und dann zu guter letzt mit diesem scanner im abgesichertenModus nochmal scannen lassen:

http://www.mwti.net/antivirus/free_utilities.asp
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.05.2004, 20:37
...neu hier

Beiträge: 9
#42 Defenitiv wech...

Hi raman. Er ist endgültig weg. Habe wie gesagt in der Reparaturconsole
lsass.exe, svchost.exe und smss.exe aus den verzeichnissen SYSTEM32 und DLLCACHE gelöscht und von der WinXP CD ersetzt und renamed.
Desweiteren habe ich die Registry Einträge aus diesen Pfaden gelöscht:
HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN
HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN
bis auf den STANDARD Wert alles gelöscht. XP schreibt die Daten und Werte nach dem Patchen und Start des IE wieder allein in die Registry.
Ich hab mir die Daten und Werte von meinem zweit rechner geholt.
Habe natürlich vorher das System mit ClearProg gescannt und danach die ganze Geschichte gemacht...
Der Hijacker hat sich wie gesagt in die SVCHOST.EXE geschrieben und die geändert.
Selbst wenn man vorher die RegEinträge gefixt hatte, stand wieder derselbe Eintrag in der Registry...

MfG

Jupp McClane
Dieser Beitrag wurde am 04.05.2004 um 20:39 Uhr von jupp mcclane editiert.
Seitenanfang Seitenende
04.05.2004, 20:53
Member

Beiträge: 1095
#43

Zitat

jupp mcclane postete
Es werden mehrere Dateien überschrieben, die weder in der Größe, oder im Datum geändert werden.
....
svchost.exe
lsass.exe
smss.exe
Woher weißt du das ?
Würde mich sehr interessieren

Zitat

Uberprüfe bitte das noch
Öffne die Registry aber mit regedt32 WICHTIG!!!!!! nicht mit "regedit"
Suche bitte in der Registry nach
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls

Dann Wert "AppInit_Dlls" markieren
Ist wahrscheinlich leer

Dann Menu "Ansicht"/"Binäre Daten anzeigen"

Wenn dann sowas Drin steht , haben wirs


Zitat:

0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 04.05.2004 um 20:59 Uhr von paff editiert.
Seitenanfang Seitenende
04.05.2004, 21:38
...neu hier

Beiträge: 9
#44 Hi paff!!!
Das war reiner Zufall, das ich das gesehen habe. Da ich für unsere Firma ein Update Teste und die Exe bearbeiten muß, habe ich mir die svchost.exe mal mit nem Disassembler angeschaut und mit der meines zweit Rechners verglichen, Svcohst.exe auf den infizierten Rechner hatte eine Zeile mehr. In dem Tool gibt's einen Punkt Namens Dependency Scanner. Dort kann man sehen welche DLL's noch mit der svchost.exe zusammen arbeiten und da war eine dll zuviel als auf dem zweit Rechner. Das war die Mshop.dll. Jedes mal wenn man die Registry gesäubert hatte, (sprich Einträge auf Standard Werte umschreiben) wurde von der svchost.exe die Mshop.dll mitgestartet. Das habe ich mit dem Prozessexplorer festgestellt. Dieses Tool schlüsselt auch nochmal Sämtliche laufende Prozeße auf. Bei dem ersten Start des IE kam die Startseite die ich eingetragen hatte, beim zweiten Start die von "Search for" (welch Graus) und gleichzeitig ging von der svchost.exe die mshop.dll mit hoch... und alles war wieder beim alten. Search for kam wieder und der Super Hinweis das man doch Spyware auf dem Rechner hat...
Dieser Beitrag wurde am 04.05.2004 um 21:53 Uhr von jupp mcclane editiert.
Seitenanfang Seitenende
04.05.2004, 22:05
Member

Beiträge: 1095
#45 Danke für die Info
Hast du die Dateien aufgehoben?
Könnten ganz interessant sein.

Zitat


Svcohst.exe auf den infizierten Rechner hatte eine Zeile mehr

Wie können die Dateien dann gleich groß sein?


Kanns nicht sein, das es irgendwo in der Registry noch einen Eintrag gibt die der "svchost.exe" "befiehlt" die Mshop.dll mitzuladen?


Das muß ich auch noch fragen ;)
Du bist sicher das es sich um die selbe Datei handelt
Es gibt verschiedene Schreibweisen
Svcohst oder Scvhost oder svchost
Wurde auch schonmal von einen Wurm benutzt!


Entschuldige bitte meine Fragerei
Wenn's dir zuviel wird sags einfach ;)

Gruß paff
P.S.
Hast du das aus meinen vorigen Post mal abgecheckt.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 04.05.2004 um 22:07 Uhr von paff editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: