ADMIN.DLL = nicht NIMDA !

Dieses Thema im Forum "Sicherheit" wurde erstellt von Billy Gates, 7. Oktober 2001.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Billy Gates

    Billy Gates Kbyte

    Registriert seit:
    4. August 2001
    Beiträge:
    261
    Die Berühmt ADMIN.DLL -Datei hat mich ganz schön zum Schwitzen gebracht.
    Jetzt hab ich mit Borland Delphi 5 diese Datei mal genauer untersucht und bin zum unten anstehenden Ergebnis gekommen:

    ---------------

    Borland Decompiler Utility 5
    1 VERSIONINFO
    FILEVERSION 10,0,2623,0
    PRODUCTVERSION 10,0,2623,0
    FILEOS 0x4
    FILETYPE 0x2
    {
    BLOCK "StringFileInfo"
    {
    BLOCK "040904E4"
    {
    VALUE "CompanyName", "Microsoft Corporation"
    VALUE "FileDescription", "Microsoft FrontPage Server Extensions"
    VALUE "FileVersion", "10.0.2623"
    VALUE "InternalName", "ADMIN"
    VALUE "LegalCopyright", "Copyright© Microsoft Corporation 1995-2001.  All rights reserved."
    VALUE "LegalTrademarks1", "Microsoft® is a registered trademark of Microsoft Corporation."
    VALUE "LegalTrademarks2", "Windows® is a registered trademark of Microsoft Corporation."
    VALUE "LegalTrademarks3", "FrontPage® is a registered trademark of Microsoft Corporation."
    VALUE "LegalTrademarks4", "WebBot is a trademark of Microsoft Corporation, in the United States and/or other countries."
    VALUE "OriginalFilename", "ADMIN.DLL"
    VALUE "ProductName", "Microsoft Office XP"
    VALUE "ProductVersion", "10.0.2623"
    VALUE "Built by", "OFFFP7"
    }
    }

    BLOCK "VarFileInfo"
    {
    VALUE "Translation", 0x0409 0x04E4
    }
    }

    ----------------------------------

    Alle die Office XP drauf haben, haben auch ADMIN.DLL unter den Webserver-Extensions.
    Ich habe auf 3 Betirebsystemen Office XP drauf und hab auch auf allen 3 diese Datei.
    Auf dem 4ten hab ich Office2000 und dort scheint diese Datei nicht auf.
    Einen Eintrag in der System.ini hab ich auch nicht gefunden

    {
    boot]
    shell=Explorer.exe
    system.drv=system.drv
    drivers=mmsystem.dll power.drv
    user.exe=user.exe
    gdi.exe=gdi.exe
    sound.drv=mmsound.drv
    dibeng.drv=dibeng.dll
    comm.drv=comm.drv
    mouse.drv=mouse.drv
    keyboard.drv=keyboard.drv
    oemfonts.fon=vga850.fon
    *DisplayFallback=0
    fixedfon.fon=vgafix.fon
    fonts.fon=vgasys.fon
    loadNOS=nostradamus.tvg
    386Grabber=vgafull.3gr
    display.drv=pnpdrvr.drv

    Ich gehe mal davon aus dass ich also nicht infiziert bin, obwohl ich Admin.dll drin hab.
    Die Virenmeister sollten nicht solch unnötige Panik auslösen, sondern die sache vielleicht 2mal überdenken.

    Billy Gates
     
  2. Gast

    Gast Guest

    Ganz deiner Meinung...
     
  3. Svenbw

    Svenbw ROM

    Registriert seit:
    30. Juli 2001
    Beiträge:
    3
    Das war aber nicht das Problem (Patch). Mußte meinen Server neu aufsetzen. Das hatte schon gereicht. Meine Vermutung ist ja, daß ich den Virus schon vorm Neuaufsetzen draufhatte. Na ja Pech gehabt. Wieder um eine Erfahrung reicher. Trotzdem brauchen wir hier nicht auszuarten. Wir können uns auch vernünftig unterhalten. Und das gilt für alle.

    cu

    Sven
     
  4. Gast

    Gast Guest

    Wie es in den Wald hineinschallt....(von wegen "Tro**el da oben")
    War zwar nicht von dir,aber wer trotz eines gewissen Vorwissens so einen nichtssagenden und irreführenden Kommentar verzapft,der hats nicht anders verdient,denn das lesen auch noch ein paar Leute,die gar keine Ahnung haben und dann vielleicht aufatmen,obwohl sie die NIMDA-Admin.dll haben.

    Hättste deinen IIS vorher gepatcht,wäre das nicht passiert.
     
  5. Svenbw

    Svenbw ROM

    Registriert seit:
    30. Juli 2001
    Beiträge:
    3
    Das mit dem Dummbrot verbitte ich mir. Ich habe den Virus noch über einen 3. Weg auf mein w2k System bekommen und kann daher sehr wohl diese beiden Sachen auseinanderhalten. Aber fakt ist, daß die Admin.dll wenn sie im Stammverzeichnis(c:\ etc.) auftaucht der Virus ist. Habe auch nichts anderes behauptet. Im Falle der Frontpage 2002 Servererweiterungen liegt die Admin.dll ja nicht dort. Weswegen Sie auch nicht der Virus sein kann (bis das wieder ein toller Kerl ausnutzt). Ach ja, der 3. Weg. Bei mir kam der Virus über die DFÜ Verbindung (ohne Internet Explorer offen zu haben) herein. Er nutzte den Anonymus User für den Internetzugriff aus, um sich im Scripts Ordner abzulegen (C:\Inetpub\scripts). Danach wurde das Script mit dem Virus vom IIS ausgeführt und installiert. Nach Update der Virensignaturen wurde der Virus zwar erkannt und vernichtet, aber er versuchte immer wieder hereinzukommen. Abhilfe habe ich dadurch geschaffen, das ich den Zugriff des anonymen Users auf den Scripts Ordner im Internetdienstemanager deaktiviert habe. Seitdem ist Ruhe. So das war es erstmal.

    cu

    Sven
     
  6. Gast

    Gast Guest

    Weil ihr zwei Dummbrote ja nicht mal in der Lage seid,einen fast identischen Thread zu finden,hier der Link
    http://62.96.227.79/cgi-bin/pcwforum/topic_show.mpl?tid=33869
    Und weil es mit dem Klicken wohl auch nicht so recht klappt,die wesentlichen Fakten :
    http://trojaner-info.de/archiv/w32_nimda.html
    "...Infizierte Systeme lassen sich am Vorhandensein einer Datei mit dem Namen ADMIN.DLL im Hauptverzeichnis erkennen (z.B. C:\ADMIN.DLL). Für eine Entfernung sollte man zunächst ein Anti-Viren-Programm im Modus "Alle Dateien scannen" und "Reinigen" laufen lassen. Nicht alle Programme können alle Spuren des Virus beseitigen, daher haben wir eine Liste mit Beschreibungen und Desinfektionsanleitungen zu den einzelnen Scannern bereitgestellt...."
    und hier :
    http://www.ca.com/virusinfo/encyclopedia/descriptions/n/nimda.htm
    "...Users of affected Win NT/2000 systems may experience a significant deterioration of their system performance when the mmc.exe process is running. Additionally the worm copies itself as Admin.dll to the root directories of all accessible drives (the worm marks Admin.dll as a true DLL).
     
  7. Billy Gates

    Billy Gates Kbyte

    Registriert seit:
    4. August 2001
    Beiträge:
    261
    Sag das dem Tro**el da oben!!!

    Danke dass du hier Klarheit reingebracht hast ;)

    BG
     
  8. Svenbw

    Svenbw ROM

    Registriert seit:
    30. Juli 2001
    Beiträge:
    3
    Logisch dass sich die Admin.dll auf der Office XP CD befindet. Sie ist nämlich für die FrontPage Servererweiterungen zuständig.

    cu

    Sven
     
  9. Billy Gates

    Billy Gates Kbyte

    Registriert seit:
    4. August 2001
    Beiträge:
    261
    Admin.dll befindet sich bereits auf der Installations-Cd von OfficeXP!!!!
    Im komprimierten Ordner Data.cab befindet sich die Datei, von wegen "gründlicher lesen".

    BG
     
  10. Gast

    Gast Guest

    "Die Virenmeister sollten nicht solch unnötige Panik auslösen, sondern die sache vielleicht 2mal überdenken."
    Du solltest besser gründlicher lesen.Es kommt darauf an,WO diese Datei gefunden wird und welche Größe sie hat,aber das haben die Virenmeister genauestens erklärt,man muss es nur LESEN und VERSTEHEN !

    Von grundloser Panikmache kann hier nicht die Rede sein.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen