ADMIN.DLL = nicht NIMDA !

Die Berühmt ADMIN.DLL -Datei hat mich ganz schön zum Schwitzen gebracht.
Jetzt hab ich mit Borland Delphi 5 diese Datei mal genauer untersucht und bin zum unten anstehenden Ergebnis gekommen:

---------------

Borland Decompiler Utility 5
1 VERSIONINFO
FILEVERSION 10,0,2623,0
PRODUCTVERSION 10,0,2623,0
FILEOS 0x4
FILETYPE 0x2
{
BLOCK "StringFileInfo"
{
BLOCK "040904E4"
{
VALUE "CompanyName", "Microsoft Corporation"
VALUE "FileDescription", "Microsoft FrontPage Server Extensions"
VALUE "FileVersion", "10.0.2623"
VALUE "InternalName", "ADMIN"
VALUE "LegalCopyright", "Copyright© Microsoft Corporation 1995-2001.  All rights reserved."
VALUE "LegalTrademarks1", "Microsoft® is a registered trademark of Microsoft Corporation."
VALUE "LegalTrademarks2", "Windows® is a registered trademark of Microsoft Corporation."
VALUE "LegalTrademarks3", "FrontPage® is a registered trademark of Microsoft Corporation."
VALUE "LegalTrademarks4", "WebBot is a trademark of Microsoft Corporation, in the United States and/or other countries."
VALUE "OriginalFilename", "ADMIN.DLL"
VALUE "ProductName", "Microsoft Office XP"
VALUE "ProductVersion", "10.0.2623"
VALUE "Built by", "OFFFP7"
}
}

BLOCK "VarFileInfo"
{
VALUE "Translation", 0x0409 0x04E4
}
}

----------------------------------

Alle die Office XP drauf haben, haben auch ADMIN.DLL unter den Webserver-Extensions.
Ich habe auf 3 Betirebsystemen Office XP drauf und hab auch auf allen 3 diese Datei.
Auf dem 4ten hab ich Office2000 und dort scheint diese Datei nicht auf.
Einen Eintrag in der System.ini hab ich auch nicht gefunden

{
boot]
shell=Explorer.exe
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
oemfonts.fon=vga850.fon
*DisplayFallback=0
fixedfon.fon=vgafix.fon
fonts.fon=vgasys.fon
loadNOS=nostradamus.tvg
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv

Ich gehe mal davon aus dass ich also nicht infiziert bin, obwohl ich Admin.dll drin hab.
Die Virenmeister sollten nicht solch unnötige Panik auslösen, sondern die sache vielleicht 2mal überdenken.

Billy Gates

 

Ganz deiner Meinung...

 

Das war aber nicht das Problem (Patch). Mußte meinen Server neu aufsetzen. Das hatte schon gereicht. Meine Vermutung ist ja, daß ich den Virus schon vorm Neuaufsetzen draufhatte. Na ja Pech gehabt. Wieder um eine Erfahrung reicher. Trotzdem brauchen wir hier nicht auszuarten. Wir können uns auch vernünftig unterhalten. Und das gilt für alle.

cu

Sven

 

Wie es in den Wald hineinschallt....(von wegen "Tro**el da oben")
War zwar nicht von dir,aber wer trotz eines gewissen Vorwissens so einen nichtssagenden und irreführenden Kommentar verzapft,der hats nicht anders verdient,denn das lesen auch noch ein paar Leute,die gar keine Ahnung haben und dann vielleicht aufatmen,obwohl sie die NIMDA-Admin.dll haben.

Hättste deinen IIS vorher gepatcht,wäre das nicht passiert.

 

Das mit dem Dummbrot verbitte ich mir. Ich habe den Virus noch über einen 3. Weg auf mein w2k System bekommen und kann daher sehr wohl diese beiden Sachen auseinanderhalten. Aber fakt ist, daß die Admin.dll wenn sie im Stammverzeichnis(c:\ etc.) auftaucht der Virus ist. Habe auch nichts anderes behauptet. Im Falle der Frontpage 2002 Servererweiterungen liegt die Admin.dll ja nicht dort. Weswegen Sie auch nicht der Virus sein kann (bis das wieder ein toller Kerl ausnutzt). Ach ja, der 3. Weg. Bei mir kam der Virus über die DFÜ Verbindung (ohne Internet Explorer offen zu haben) herein. Er nutzte den Anonymus User für den Internetzugriff aus, um sich im Scripts Ordner abzulegen (C:\Inetpub\scripts). Danach wurde das Script mit dem Virus vom IIS ausgeführt und installiert. Nach Update der Virensignaturen wurde der Virus zwar erkannt und vernichtet, aber er versuchte immer wieder hereinzukommen. Abhilfe habe ich dadurch geschaffen, das ich den Zugriff des anonymen Users auf den Scripts Ordner im Internetdienstemanager deaktiviert habe. Seitdem ist Ruhe. So das war es erstmal.

cu

Sven

 

Weil ihr zwei Dummbrote ja nicht mal in der Lage seid,einen fast identischen Thread zu finden,hier der Link
http://62.96.227.79/cgi-bin/pcwforum/topic_show.mpl?tid=33869
Und weil es mit dem Klicken wohl auch nicht so recht klappt,die wesentlichen Fakten :
http://trojaner-info.de/archiv/w32_nimda.html
"...Infizierte Systeme lassen sich am Vorhandensein einer Datei mit dem Namen ADMIN.DLL im Hauptverzeichnis erkennen (z.B. C:\ADMIN.DLL). Für eine Entfernung sollte man zunächst ein Anti-Viren-Programm im Modus "Alle Dateien scannen" und "Reinigen" laufen lassen. Nicht alle Programme können alle Spuren des Virus beseitigen, daher haben wir eine Liste mit Beschreibungen und Desinfektionsanleitungen zu den einzelnen Scannern bereitgestellt...."
und hier :
http://www.ca.com/virusinfo/encyclopedia/descriptions/n/nimda.htm
"...Users of affected Win NT/2000 systems may experience a significant deterioration of their system performance when the mmc.exe process is running. Additionally the worm copies itself as Admin.dll to the root directories of all accessible drives (the worm marks Admin.dll as a true DLL).

 

Sag das dem Tro**el da oben!!!

Danke dass du hier Klarheit reingebracht hast

BG

 

Logisch dass sich die Admin.dll auf der Office XP CD befindet. Sie ist nämlich für die FrontPage Servererweiterungen zuständig.

cu

Sven

 

Admin.dll befindet sich bereits auf der Installations-Cd von OfficeXP!!!!
Im komprimierten Ordner Data.cab befindet sich die Datei, von wegen "gründlicher lesen".

BG

 

"Die Virenmeister sollten nicht solch unnötige Panik auslösen, sondern die sache vielleicht 2mal überdenken."
Du solltest besser gründlicher lesen.Es kommt darauf an,WO diese Datei gefunden wird und welche Größe sie hat,aber das haben die Virenmeister genauestens erklärt,man muss es nur LESEN und VERSTEHEN !

Von grundloser Panikmache kann hier nicht die Rede sein.