CommNews Forum Home  

Zurück   CnC Foren > Archive > Übersicht über die Archive > Archiv vB3 > Öffentliche Clanforen > Mystery of OKTRON
Seite neu laden Hilfe !!!!! DSO Exploit
Top Poster Hilfe Benutzerliste Kalender Teamspeakviewer Spielhalle Heutige Beiträge Regeln

 
 
Themen-Optionen Thema bewerten Ansicht
  #1  
Alt 08-09-2004, 14:06
Benutzerbild von Merlin
Merlin Merlin ist offline
Ex-Nick: MerlinSt
Yuris Leibwache

  
Registriert seit: Jul 2002
Ort: Saarland
Beiträge: 3.627
Merlin hat noch keine Bewertung oder ist auf 0
OL Nick: Merlin
Style: CnCForen Standard Style: Standard
Naja, dann eben kurz die Beschreibung des Wurms:

Zitat:
This section helps you to understand how this virus behaves.
W32/Forbot-C is a worm which attempts to spread to remote network shares. The worm also contains backdoor Trojan functionality, allowing unauthorised remote access to the infected computer via IRC channels while running in the background as a service process.
auch anders ausgedrückt:
Zitat:
Turns off anti-virus applications
Allows others to access the computer
Reduces system security
Installs itself in the Registry
Exploits system or software vulnerabilities
andere Bezeichnungen:
Backdoor.Win32.Wootbot.c
W32/Sdbot.worm.gen.h

Zum Entfernen würde ich versuchen im abgesicherten Modus zu starten und alle Prozesse mit "winitr32.exe" zu beenden. Dann Regedit starten und alle Verweise auf "winitr32.exe" löschen. Ausserdem die Datei "winitr32.exe" überall löschen.
__________________

Warum beschweren sich die Leute, die nicht richtig lesen können, über das, was andere Leute schreiben?
Geändert von Merlin (08-09-2004 um 14:09 Uhr).
  #2  
Alt 08-09-2004, 14:47
Benutzerbild von DaRkCh4MP
DaRkCh4MP DaRkCh4MP ist offline
FüR IMMeR BVB

  
Registriert seit: Jul 2002
Ort: Aachen
Beiträge: 7.036
DaRkCh4MP hat noch keine Bewertung oder ist auf 0
DaRkCh4MP eine Nachricht über ICQ schicken DaRkCh4MP eine Nachricht über AIM schicken DaRkCh4MP eine Nachricht über Yahoo! schicken
OL Nick: DarKCh4MP
hi

das gleiche prob hatte ich auch

nur als ich die betreffenden dateien immunisiert bzw gelöscht hatte

waren sie nach einem neustart wieder da

ad aware und auch spy bot beide keine chance mit

bei mir half nur win neuinstallation

gruss dark
__________________
Für Immer BVB

Verkehrsunfall in Dortmund. Ein Sch*lker liegt schwer verletzt im Krankenwagen. Plötzlich macht er die Augen auf und fragt: "Wo bringen sie mich denn hin?" - "In die Pathologie." Beschwert sich der Sch*lker: "Aber ich bin doch noch gar nicht tot!" - "Jaaaa - wir sind ja auch noch nicht da."
  #3  
Alt 08-09-2004, 15:12
Benutzerbild von CaptureX
CaptureX CaptureX ist offline
Cabal

  
Registriert seit: May 2002
Ort: sAArlanD
Beiträge: 2.370
CaptureX hat noch keine Bewertung oder ist auf 0
CaptureX eine Nachricht über MSN schicken
OL Nick: inaktiv
selber schuld... es gibt nicht umsonst die Wiederherstellungskonsole oder den Abgesicherten Modus.
__________________
  #4  
Alt 08-09-2004, 17:05
Benutzerbild von PaniChriZ
PaniChriZ PaniChriZ ist offline
Banned

  
Registriert seit: Sep 2003
Beiträge: 2.423
PaniChriZ hat noch keine Bewertung oder ist auf 0
OL Nick: StyleLiga
Style: vBulletin Default
und nicht vergessen dem dani noch schlechtes karma mit dem kommentar "oktron" zukommen zu lassen arzt

win neu installen würde ich wegen sowas nicht empfehlen dani
  #5  
Alt 08-09-2004, 23:25
Benutzerbild von Sepuku
Sepuku Sepuku ist offline
Banned

  
Registriert seit: Aug 2002
Ort: Frankfurt am Main
Beiträge: 4.852
Sepuku hat noch keine Bewertung oder ist auf 0
OL Nick: Sepuku999
Schei.. s doch aufs Karma wayne interressiert denn das??

Wart mal ich geb dir eben positives Karma, hab ich kein Problem mit.

Erledigt KARMA KARMA KARMA for YOU .
Ich stimme zu und gut ist.

Interessiert echt net oder?
Naja schau halt nach!
Ich hab dir positives gegeben.

Vielleicht können wir dem Frieden untereinander damit mal helfen?!

Die drei sind sauber und sind von INTEL und Mickysoft.
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\wins.exe

auch sauber

:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe

auch sauber
Druckerprozess und Antivirus

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe

auch sauber der erste ist sogar sehr wichtig

C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe


DER HIER SAGT MIR NIX

C:\WINDOWS\system32\drivers\sys\SysMgnt.exe


Ich geh erstmal auf den von Merlin erkannten ein

Der steht in folgenden Adressen in der regedit und ist zu neu um mit einem tool gecleaned zu werden, weil er die Antivirussoftware abschaltet.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 Wmls Driver = winitr32.exe

per Hand reinigen im abgesicherten Modus.
Am besten du lässt nen spezialisten von deinen Kumpels da dran Dani,
Viel Erfolg

Cem
Geändert von Sepuku (08-09-2004 um 23:59 Uhr).
  #6  
Alt 09-09-2004, 11:50
Benutzerbild von Aleecsy
Aleecsy Aleecsy ist offline
Yuris Leibwache

  
Registriert seit: Aug 2002
Beiträge: 3.962
Aleecsy hat noch keine Bewertung oder ist auf 0
Zitat:
Zitat von Sepuku
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 Wmls Driver = winitr32.exe


gelöscht ... aber das "SEITE KANN NICHT ANGEZEIGT WERDEN" problem BESTEHT WEITERHIN


Logfile of HijackThis v1.98.2
Scan saved at 11:48:27, on 09.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\system32\drivers\sys\SysMgnt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\wins.exe
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\User\Desktop\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [msconfig] wins.exe
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\RunServices: [msconfig] wins.exe
O4 - HKLM\..\RunServices: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D87F458-D75C-4825-B346-FD9442799A91}: NameServer = 217.237.149.161 194.25.2.129
__________________
\ /
Geändert von Aleecsy (09-09-2004 um 11:57 Uhr).
  #7  
Alt 09-09-2004, 14:21
Benutzerbild von PaniChriZ
PaniChriZ PaniChriZ ist offline
Banned

  
Registriert seit: Sep 2003
Beiträge: 2.423
PaniChriZ hat noch keine Bewertung oder ist auf 0
OL Nick: StyleLiga
Style: vBulletin Default
natürlich interessiert es nicht sepuku ... wenn allerdings kommentare wie "du bist in oktron" dabeistehen ... naja war ja nur auf arzt bezogen

ich hoffe dass dani den shit bald mal unter kontrolle kriegt
 

Lesezeichen

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 03:22 Uhr.

Kontakt - CnCForen.de - Archiv - Nach oben

Powered by vBulletin Version 3.7.3 (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Template-Modifikationen durch TMS
Affiliates
United Forum GetBoinKeD cnc.onlinewelten.de