Hi,

kennst Du Dich etwas mit dem Regedit aus...?

Den Schlüssel "C09C5BC9-8988-54fe-6f0a-79e7fa85a35f" suchen und
den Zweig mit dem InprocServer posten...
oder
......RegisterySearch:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

C09C5BC9-8988-54fe-6f0a-79e7fa85a35f

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Würde mich interessieren, was hinter dem "Hidden Key" steckt...
Ein Inproc-Service mit Threading-Modell -> Anwendung, bzw. DLL...

chris

hi,

in regedit war ich schon des öfteren unterwegs.

ich versuchs gleich mal.

urmel

Zitat:

C09C5BC9-8988-54fe-6f0a-79e7fa85a35f

unter dem Schlüßel gibt es eine Ordner der InprocServer32 heißt.
Wenn ich diesen öffnen möchte, kommt eine Fehlermeldung "Fehler beim öffnen des Schüßels".

Hi,

probiere mal ob Du mit Flekmann weiterkommst...

Ein versteckter Schlüssel den man nicht aufbekommt -hmmm- und zu dem nichts im I-Net zu finden ist...????

Frage mal nach ....

Gruß,
chris

Flekmann

Code: Alles auswählenAufklappen

ATTFilter

,Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 27.10.2008 14:58:17 for strings:
;  '
c09c5bc9-8988-54fe-6f0a-79e7fa85a35f'
; Strings excluded from search:
;  (None)
; Search in: 
; Registry Keys  Registry Values  Registry Data  
; HKEY_LOCAL_MACHINE  HKEY_USERS  


; End Of The Log...
         

Unter dem Schlüßel sind weiter die ich ebenfalls nicht öffnen kann. Diese haben auch den selben Anfang c09c5bc9-8988
und Endung a85a35f'

urmel

Hi,

habe mal nachgefragt, vielleicht schafft GMER einen Export...

http://gmer.net/files.php
Gmer-Applikation downloaden, dann in ein Verzeichnis auspacken uns starten.
Er scannt dann sofort den Rechner, nach Abschluß auf den Reiter >>> klicken,
dort gibt es dann einen Reiter "Registry". Den auswählen, zu dem Schlüssel navigieren und dann versuchen den Schlüssel zu exportieren...

chris

also, zuerst wird der Ordner InprocServer rot angezeigt.

dann hat er sich öffenen lassen. Darin steht (siehe Anhang).

Zitat:

versuchen den Schlüssel zu exportieren...

hab ihn jetzt gesichert. und nun?

Hi,

da wird die OLE32.dll benutzt (Object-Linking-and embedding), aber zu wem der
Schlüssel gehört (welche Anwendung die CLS-ID benutzt), haben wir leider nicht rausgefunden (Flekman findet auch nur die CLSID selbst).

Tja, Risiko:
Hauen wir den Schlüssel raus oder verändern wir ihn, läuft u. U. Windows oder eine App nicht mehr, es kann auch völlig bedeutungslos sein...

Sag mal, hast Du was von Buhl Data auf dem Rechner?

Die Benutzen eine Hiddenkey:
C09C5BC9-8988-f68b-da76-d126fa4b099f,
wir haben:
C09C5BC9-8988-54fe-6f0a-79e7fa85a35f ...?

Ich würde das mal so lassen und die Sache beobachten...

chris

Zitat:

Zitat von Chris4You

Tja, Risiko:
Hauen wir den Schlüssel raus oder verändern wir ihn, läuft u. U. Windows oder eine App nicht mehr, es kann auch völlig bedeutungslos sein...

äh ja und das heißt jetzt für mich, was soll ich tun? oder nicht

Zitat:

Sag mal, hast Du was von Buhl Data auf dem Rechner?

was soll das sein?

Zitat:

Ich würde das mal so lassen und die Sache beobachten...

also garnichts tun?!


ich habe diese schlüßel gemeint, welche den selben anfang und das selbe ende haben wie der von dir genannte.

Code: Alles auswählenAufklappen

ATTFilter

Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-790a-d4d3-0bc1fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-790a-d4d3-0bc1fa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-aac9-2100-5ea1fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-aac9-2100-5ea1fa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-ca0a-2085-16aafa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-ca0a-2085-16aafa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-e5cf-e030-1764fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-e5cf-e030-1764fa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-fe2c-9b0f-0f14fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-fe2c-9b0f-0f14fa85a35f}\InprocServer32 -> threadingmodel
         

nachschaubar in dem
http://www.trojaner-board.de/62452-t...tml#post385079 Beitrag von mir.

Hi,

wir prüfen noch mit einem anderen Rootkitscanner:
http://www.winpower.de/sicherheits-faqs/anleitung-rootkit-scanner-blacklight-rootkitrevealer-sophos-anti-rootkit-gmer-8976/

Folge dort der Anleitung zu RootkitRevealer.

Poste das Log;

chris

Hier das Log, wobei ich nicht sicher bin ob der scann zuende war.

Bei dem Scanner erscheint links unten in der Ecke, wo er gerade scannt. Nach dem er ne weile gelaufen war, war dann nur noch "Cleaning up..." da gestanden.
Als sich 10min nichts mehr getan hat, war ich der Meinung er sei fertig.
Ich hab auf das Feld "Abort" gedrückt, macht das was?

Code: Alles auswählenAufklappen

ATTFilter

HKU\.DEFAULT\Control Panel\International	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International	2008-10-24 09:37	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*	2008-08-09 04:37	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*	2005-12-16 04:38	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	2005-12-16 04:38	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-54fe-6f0a-79e7fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-790a-d4d3-0bc1fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-aac9-2100-5ea1fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ca0a-2085-16aafa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e5cf-e030-1764fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-fe2c-9b0f-0f14fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol	2008-04-09 22:44	13 bytes	Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	2008-01-22 22:31	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	2008-01-22 22:31	111.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll	2008-01-22 22:31	8.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb	2008-10-27 17:44	64.00 KB	Visible in directory index, but not Windows API or MFT.
         

urmel

NACHTRAG

hab den Scan nochmals gestartet und einfach laufen lassen.

Scan wurde beendet mit diesem Ergebinss.

Code: Alles auswählenAufklappen

ATTFilter

HKU\.DEFAULT\Control Panel\International	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International	2008-10-24 09:37	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*	2008-08-09 04:37	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*	2005-12-16 04:38	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	2005-12-16 04:38	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-54fe-6f0a-79e7fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-790a-d4d3-0bc1fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-aac9-2100-5ea1fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ca0a-2085-16aafa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e5cf-e030-1764fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-fe2c-9b0f-0f14fa85a35f}\InprocServer32*	2007-11-12 11:06	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol	2008-04-09 22:44	13 bytes	Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	2008-01-22 22:31	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	2008-01-22 22:31	111.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll	2008-01-22 22:31	8.00 KB	Visible in Windows API, but not in MFT or directory index.
         

Hi,

die Teile enthalten NUL und sind daher nicht "normal" Handhabbar!
Daher Backup machen (zumindestens von der Registry), und dann
wie folgt vorgehen:
http://virus-protect.org/artikel/tools/regdelnull.html
Drucke Dir vorher die CLS-IDs aus, die gelöscht werden sollen.
Danach noch mal mit dem Rootkitrev. prüfen ob sie tatsächlich weg sind
(und so Gott will, laufen auch noch alle Anwendungen danach [mit hoher Wahrscheinlichkeit: JA]).

Dann suche noch die Datei IEExecRemote.dll und lasse sie online prüfen,
die hat nach Rootkitrev. 8KB zuviel auf den Rippen...

chris

Zitat:

Zitat von Chris4You

Daher Backup machen (zumindestens von der Registry)

also, in der Registry (start>ausführen>regedit), von diesen Schlüßeln eine Kopie anlegen und diese irgenwo speichern, richtig?
wenn doch anders gemeint - einen link mit Anleitung bitte.

Zitat:

Drucke Dir vorher die CLS-IDs aus, die gelöscht werden sollen.

damit kann ich garnichts anfangen, werden diese cls-ids dann von reddell.null Programm angezeigt?

danke urmel

Zitat:

C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 2008-01-22 22:31 8.00 KB Visible in Windows API, but not in MFT or directory index.

gescannt bei "virustotal" es wurde nichts gefunden.
aber IEExecRemote.dll gibts ganze 5mal mit 8kb bei mir auf dem rechner. haber davon noch 2 gescant, sind ebenfalls sauber.

Zitat:

Danach noch mal mit dem Rootkitrev. prüfen ob sie tatsächlich weg sind
(und so Gott will, laufen auch noch alle Anwendungen danach [mit hoher Wahrscheinlichkeit: JA]).

also die ordner sind noch da aber leer, system läuft auch noch ohne Probleme
hier noch der scanbericht.

Code: Alles auswählenAufklappen

ATTFilter

HKU\.DEFAULT\Control Panel\International	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International	2008-10-24 09:37	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*	2008-08-09 04:37	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International	2008-04-14 23:41	0 bytes	Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo	2008-04-14 23:41	0 bytes	Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*	2005-12-16 04:38	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	2005-12-16 04:38	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol	2008-04-09 22:44	13 bytes	Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	2008-01-22 22:31	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	2008-01-22 22:31	111.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll	2008-01-22 22:31	8.00 KB	Visible in Windows API, but not in MFT or directory index.
         

dummerweise hab ich das mit der Backup von der Registriy falsch verstanden und stattdessen einen Systemwiederherstellungspunkt erstellt.

Was Du gemeint hast war bestimmt die Schlüßel mit samt dem Ordener zu copieren, richtig?!

Gruß Urmel