Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Win32.Agent.ahze (https://www.trojaner-board.de/62452-trojan-win32-agent-ahze.html)

Chris4You 27.10.2008 08:04
Hi,

kennst Du Dich etwas mit dem Regedit aus...?

Den Schlüssel "C09C5BC9-8988-54fe-6f0a-79e7fa85a35f" suchen und
den Zweig mit dem InprocServer posten...
oder
......RegisterySearch:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

C09C5BC9-8988-54fe-6f0a-79e7fa85a35f

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Würde mich interessieren, was hinter dem "Hidden Key" steckt...
Ein Inproc-Service mit Threading-Modell -> Anwendung, bzw. DLL...

chris

Urmel 27.10.2008 14:20
hi,

in regedit war ich schon des öfteren unterwegs.

ich versuchs gleich mal.

urmel

Urmel 27.10.2008 14:32
Zitat:
C09C5BC9-8988-54fe-6f0a-79e7fa85a35f
unter dem Schlüßel gibt es eine Ordner der InprocServer32 heißt.
Wenn ich diesen öffnen möchte, kommt eine Fehlermeldung "Fehler beim öffnen des Schüßels".

Chris4You 27.10.2008 14:49
Hi,

probiere mal ob Du mit Flekmann weiterkommst...

Ein versteckter Schlüssel den man nicht aufbekommt -hmmm- und zu dem nichts im I-Net zu finden ist...????

Frage mal nach ....

Gruß,
chris

Urmel 27.10.2008 15:02
Flekmann

Code:
,Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 27.10.2008 14:58:17 for strings:
;  '
c09c5bc9-8988-54fe-6f0a-79e7fa85a35f'
; Strings excluded from search:
;  (None)
; Search in:
; Registry Keys  Registry Values  Registry Data 
; HKEY_LOCAL_MACHINE  HKEY_USERS 


; End Of The Log...


Unter dem Schlüßel sind weiter die ich ebenfalls nicht öffnen kann. Diese haben auch den selben Anfang c09c5bc9-8988
und Endung a85a35f'

urmel

Chris4You 27.10.2008 15:42
Hi,

habe mal nachgefragt, vielleicht schafft Gmer einen Export...

http://gmer.net/files.php
Gmer-Applikation downloaden, dann in ein Verzeichnis auspacken uns starten.
Er scannt dann sofort den Rechner, nach Abschluß auf den Reiter >>> klicken,
dort gibt es dann einen Reiter "Registry". Den auswählen, zu dem Schlüssel navigieren und dann versuchen den Schlüssel zu exportieren...

chris

Urmel 27.10.2008 15:57
Liste der Anhänge anzeigen (Anzahl: 1)
also, zuerst wird der Ordner InprocServer rot angezeigt.

dann hat er sich öffenen lassen. Darin steht (siehe Anhang).

Zitat:
versuchen den Schlüssel zu exportieren...
hab ihn jetzt gesichert. und nun?

Chris4You 27.10.2008 16:27
Hi,

da wird die OLE32.dll benutzt (Object-Linking-and embedding), aber zu wem der
Schlüssel gehört (welche Anwendung die CLS-ID benutzt), haben wir leider nicht rausgefunden (Flekman findet auch nur die CLSID selbst).

Tja, Risiko:
Hauen wir den Schlüssel raus oder verändern wir ihn, läuft u. U. Windows oder eine App nicht mehr, es kann auch völlig bedeutungslos sein...

Sag mal, hast Du was von Buhl Data auf dem Rechner?

Die Benutzen eine Hiddenkey:
C09C5BC9-8988-f68b-da76-d126fa4b099f,
wir haben:
C09C5BC9-8988-54fe-6f0a-79e7fa85a35f ...?

Ich würde das mal so lassen und die Sache beobachten...

chris

Urmel 27.10.2008 16:44
Zitat:
Zitat von Chris4You (Beitrag 385821)
Tja, Risiko:
Hauen wir den Schlüssel raus oder verändern wir ihn, läuft u. U. Windows oder eine App nicht mehr, es kann auch völlig bedeutungslos sein...
äh ja und das heißt jetzt für mich, was soll ich tun? oder nicht

Zitat:
Sag mal, hast Du was von Buhl Data auf dem Rechner?
was soll das sein?

Zitat:
Ich würde das mal so lassen und die Sache beobachten...
also garnichts tun?!


ich habe diese schlüßel gemeint, welche den selben anfang und das selbe ende haben wie der von dir genannte.
Code:
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-790a-d4d3-0bc1fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-790a-d4d3-0bc1fa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-aac9-2100-5ea1fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-aac9-2100-5ea1fa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-ca0a-2085-16aafa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-ca0a-2085-16aafa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-e5cf-e030-1764fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-e5cf-e030-1764fa85a35f}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-fe2c-9b0f-0f14fa85a35f}\InprocServer32 -> class
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C09C5BC9-8988-fe2c-9b0f-0f14fa85a35f}\InprocServer32 -> threadingmodel
nachschaubar in dem
http://www.trojaner-board.de/62452-t...tml#post385079 Beitrag von mir.

Chris4You 27.10.2008 16:57
Hi,

wir prüfen noch mit einem anderen Rootkitscanner:
http://www.winpower.de/sicherheits-faqs/anleitung-rootkit-scanner-blacklight-rootkitrevealer-sophos-anti-rootkit-gmer-8976/

Folge dort der Anleitung zu RootkitRevealer.

Poste das Log;

chris

Urmel 27.10.2008 18:03
Hier das Log, wobei ich nicht sicher bin ob der scann zuende war.

Bei dem Scanner erscheint links unten in der Ecke, wo er gerade scannt. Nach dem er ne weile gelaufen war, war dann nur noch "Cleaning up..." da gestanden.
Als sich 10min nichts mehr getan hat, war ich der Meinung er sei fertig.
Ich hab auf das Feld "Abort" gedrückt, macht das was?

Code:
HKU\.DEFAULT\Control Panel\International        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International        2008-10-24 09:37        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*        2008-08-09 04:37        0 bytes        Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*        2005-12-16 04:38        0 bytes        Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*        2005-12-16 04:38        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-54fe-6f0a-79e7fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-790a-d4d3-0bc1fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-aac9-2100-5ea1fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ca0a-2085-16aafa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e5cf-e030-1764fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-fe2c-9b0f-0f14fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol        2008-04-09 22:44        13 bytes        Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll        2008-01-22 22:31        252.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll        2008-01-22 22:31        111.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll        2008-01-22 22:31        8.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb        2008-10-27 17:44        64.00 KB        Visible in directory index, but not Windows API or MFT.
urmel

Urmel 27.10.2008 19:29
NACHTRAG

hab den Scan nochmals gestartet und einfach laufen lassen.

Scan wurde beendet mit diesem Ergebinss.

Code:
HKU\.DEFAULT\Control Panel\International        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International        2008-10-24 09:37        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*        2008-08-09 04:37        0 bytes        Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*        2005-12-16 04:38        0 bytes        Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*        2005-12-16 04:38        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-54fe-6f0a-79e7fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-590e-8f70-00f9fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-790a-d4d3-0bc1fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-aac9-2100-5ea1fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-ca0a-2085-16aafa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e5cf-e030-1764fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-fe2c-9b0f-0f14fa85a35f}\InprocServer32*        2007-11-12 11:06        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol        2008-04-09 22:44        13 bytes        Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll        2008-01-22 22:31        252.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll        2008-01-22 22:31        111.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll        2008-01-22 22:31        8.00 KB        Visible in Windows API, but not in MFT or directory index.

Chris4You 27.10.2008 20:39
Hi,

die Teile enthalten NUL und sind daher nicht "normal" Handhabbar!
Daher Backup machen (zumindestens von der Registry), und dann
wie folgt vorgehen:
http://virus-protect.org/artikel/tools/regdelnull.html
Drucke Dir vorher die CLS-IDs aus, die gelöscht werden sollen.
Danach noch mal mit dem Rootkitrev. prüfen ob sie tatsächlich weg sind
(und so Gott will, laufen auch noch alle Anwendungen danach [mit hoher Wahrscheinlichkeit: JA]).

Dann suche noch die Datei IEExecRemote.dll und lasse sie online prüfen,
die hat nach Rootkitrev. 8KB zuviel auf den Rippen...

chris

Urmel 27.10.2008 20:55
Zitat:
Zitat von Chris4You (Beitrag 385938)
Daher Backup machen (zumindestens von der Registry)
also, in der Registry (start>ausführen>regedit), von diesen Schlüßeln eine Kopie anlegen und diese irgenwo speichern, richtig?
wenn doch anders gemeint - einen link mit Anleitung bitte.

Zitat:
Drucke Dir vorher die CLS-IDs aus, die gelöscht werden sollen.
damit kann ich garnichts anfangen, werden diese cls-ids dann von reddell.null Programm angezeigt?

danke urmel

Urmel 28.10.2008 00:12
Zitat:
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 2008-01-22 22:31 8.00 KB Visible in Windows API, but not in MFT or directory index.
gescannt bei "virustotal" es wurde nichts gefunden.
aber IEExecRemote.dll gibts ganze 5mal mit 8kb bei mir auf dem rechner. haber davon noch 2 gescant, sind ebenfalls sauber.


Zitat:
Danach noch mal mit dem Rootkitrev. prüfen ob sie tatsächlich weg sind
(und so Gott will, laufen auch noch alle Anwendungen danach [mit hoher Wahrscheinlichkeit: JA]).
also die ordner sind noch da aber leer, system läuft auch noch ohne Probleme
hier noch der scanbericht.
Code:
HKU\.DEFAULT\Control Panel\International        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International        2008-10-24 09:37        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-21-3237175116-2559417609-3430066315-1006\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*        2008-08-09 04:37        0 bytes        Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International        2008-04-14 23:41        0 bytes        Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo        2008-04-14 23:41        0 bytes        Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*        2005-12-16 04:38        0 bytes        Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*        2005-12-16 04:38        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol        2008-04-09 22:44        13 bytes        Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll        2008-01-22 22:31        252.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll        2008-01-22 22:31        111.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll        2008-01-22 22:31        8.00 KB        Visible in Windows API, but not in MFT or directory index.
dummerweise hab ich das mit der Backup von der Registriy falsch verstanden und stattdessen einen Systemwiederherstellungspunkt erstellt.

Was Du gemeint hast war bestimmt die Schlüßel mit samt dem Ordener zu copieren, richtig?!

Gruß Urmel


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:06 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131