DSO Exploit - wieder mal ... |
|
---|---|
27.08.2004, 09:23
...neu hier
Beiträge: 2 |
|
|
|
27.08.2004, 12:01
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @Triniaaby
Du solltest das Eselchen (nach jedem Gebrauch) aus dem Autostart nehmen: O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Esel2000] "D:\Programme\Esel2000\Esel2000.exe" -t #und die WindowsUpdates machen (!) ...falls keine cdkey da ist, alles ausser SP2 #und den IE aktualisieren(keine cdkey notwendig) http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.08.2004 um 12:02 Uhr von Sabina editiert.
|
|
|
27.08.2004, 16:52
Member
Beiträge: 11 |
#3
Moin,
ich habe mich justament hier regitrieren lassen, nachdem ich via Google (Stichwort DSO Exploit) auf dieses interssante Forum gestoßen bin. O.K. die wiederholte Anzeige ist ein Bug, daß habe ich nach eifrigem Lesen verstanden, aber ich würde gerne mein Log file grundsätzlich checken lassen, Bisher habe ich immer über T-Online als Provider mit deren Browser gesurft. Gestern habe ich nach Installtion des SP2 für XP auf den IE gewechselt. Ich weiß nicht ob das wichtig ist: TDSL Wireless Lan (Sinus 154 Modem - Firewall ein) mit 128 bit WEP (Lan Karte supportet kein WPA) und MAC Authentifizierung XP SPII Firewall u.a. aktiviert AntiVir (Guard aktiviert) Spybot, Ad Aware & Easy Cleaner werden von Zeit zu Zeit verwendet Vielleicht gibt es etwas was die Scanner noch nicht entdeckt haben und ggf. Tips ob die o.g. Programme o.k. sind bzw. was alternativ / noch zu tun ist. Hoffentlich wird es nicht so schlimm......Danke schon einmal im Voraus Logfile of HijackThis v1.98.2 Scan saved at 16:25:23, on 27.08.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\PowerPDF Professional\pwrpdfsrv.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\OPLIMIT\ocrawr32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\T-Online\ISDNSP~1\TomCat.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Nikon\NkView6\NkvMon.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Teledat\IWatch.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRA~1\WinZip\winzip32.exe C:\Dokumente und Einstellungen\Michael\Eigene Dateien\PROGRAMME\DOWNLOADS\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-com.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {57CBF0B6-0ABA-4779-BC21-699BD584010A} - (no file) O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\TomCat.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093475199019 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F555CE-27A5-49D8-9015-25EFE5221B83}: NameServer = 192.168.121.252,192.168.121.253 O18 - Filter: text/html - {16EBBEE2-1602-4F2C-8BFE-94BFC2E39088} - (no file) O18 - Filter: text/plain - {16EBBEE2-1602-4F2C-8BFE-94BFC2E39088} - (no file) Schönes Wochenende, Gruß Mr. Knister |
|
|
27.08.2004, 18:21
...neu hier
Themenstarter Beiträge: 2 |
#4
Danke Sabina, aber muss ich den IE updaten, wenn ich ihn doch gar nicht verwende???
|
|
|
27.08.2004, 18:43
Ehrenmitglied
Beiträge: 29434 |
#5
Zitat Triniaaby posteteJa, das solltest den IE dennoch updaten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.08.2004 um 18:43 Uhr von Sabina editiert.
|
|
|
27.08.2004, 18:49
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo @mr. knister
fixe, dann neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {57CBF0B6-0ABA-4779-BC21-699BD584010A} - (no file) O18 - Filter: text/html - {16EBBEE2-1602-4F2C-8BFE-94BFC2E39088} - (no file) O18 - Filter: text/plain - {16EBBEE2-1602-4F2C-8BFE-94BFC2E39088} - (no file) neustarten 1.)Loesche unter <Internetoptionen die TemporaryInternetfiles (auch Offline) 2.) Loesche die Temporary-Ordner Start<Ausfuehren<%temp% 3.#Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal undostest du mir alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.08.2004 um 18:52 Uhr von Sabina editiert.
|
|
|
27.08.2004, 23:00
Raddeleted
zu Gast
|
#7
Hallo,
bin das erste mal hier und kenn mich mit dem ganzen noch nicht sooo aus..... trotzdem mächt ich gern mal fragen ob mir jmd. helfen kann, den ich hab den dso exploit auch.... und der spybot s&d findet den zwar, kann ihn sogar entfernen, ist aber gleich danach wieder da...... was muss ich da machen? weiß des zufällig jmd.? und was macht dieser dso eigtl.? wäre für hilfe sehr dankbar... außerdem wollt ich noch fragen, ob es zufällig eine neue kampagne von irgendwelchen spaßvögeln gibt, die per email andere inet user verarschen wollen...? (kann mich nämlich nicht daran errinnern mir selbst eine email mit dem betreff "Warnung Hacker (oder so ähnlich) geschickt zu haben) wisst ihr zufällig etwas über solche mails?! mfg, Rada Dieser Beitrag wurde am 27.08.2004 um 23:03 Uhr von RadauthaR editiert.
|
|
|
27.08.2004, 23:09
Member
Beiträge: 441 |
#8
@ RadauthaR
Zitat und was macht dieser dso eigtl.Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot. Zur weiteren Analyse: Erstelle ein Log-File mit HiJackThis und poste es hier rein. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 27.08.2004 um 23:10 Uhr von Cidre editiert.
|
|
|
28.08.2004, 13:21
Member
Beiträge: 11 |
#9
Hallo Sabina,
Danke noch einmal für die schnelle und kompetente Hilfe. Ich bin den - leicht verständlichen Anweisungen gefolgt und hier ist das e-scan Log File aus dem abgesicherten Modus: Sat Aug 28 12:25:55 2004 => Total Number of Files Scanned: 106212 Sat Aug 28 12:25:55 2004 => Total Number of Virus(es) Found: 7 Sat Aug 28 12:25:55 2004 => Total Number of Disinfected Files: 0 Sat Aug 28 12:25:55 2004 => Total Number of Files Renamed: 0 Sat Aug 28 12:25:55 2004 => Total Number of Deleted Files: 3 Sat Aug 28 12:25:55 2004 => Total Number of Errors: 1 Sat Aug 28 12:25:55 2004 => Time Elapsed: 01:04:51 das escn log aus dem Normalmodus Sat Aug 28 13:00:45 2004 => Total Number of Files Scanned: 60583 Sat Aug 28 13:00:45 2004 => Total Number of Virus(es) Found: 2 Sat Aug 28 13:00:45 2004 => Total Number of Disinfected Files: 0 Sat Aug 28 13:00:45 2004 => Total Number of Files Renamed: 0 Sat Aug 28 13:00:45 2004 => Total Number of Deleted Files: 0 Sat Aug 28 13:00:45 2004 => Total Number of Errors: 1 Sat Aug 28 13:00:45 2004 => Time Elapsed: 00:30:03 Es sind weniger files gescannt weil dasProgramm irgendwann wieder von vorne anfing und identische Viren reportete. Gelöscht wurden 3 Trojaner Die 2 die im Normalmodus noch angezeigt werden, sind zwei mir bekannte "Joke" Programme. Ich war doch unangenehm überrascht, wo sich noch Sachen versteckten, trotz der diversen Anti Viren Programme etc. Um so besser, daß diese identifiziert und beseitigt werden konnten. Hier also das atuelle HiJack Log file - ich hoffe sauber: Logfile of HijackThis v1.98.2 Scan saved at 13:04:33, on 28.08.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\PROGRA~1\T-Online\ISDNSP~1\TomCat.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ctfmon.exe C:\OPLIMIT\ocrawr32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Nikon\NkView6\NkvMon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Dokumente und Einstellungen\Michael\Eigene Dateien\PROGRAMME\Antivirus\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-com.de F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\TomCat.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093475199019 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F555CE-27A5-49D8-9015-25EFE5221B83}: NameServer = 192.168.121.252,192.168.121.253 Noch mals besten Dank für den support - werde Euch weiterempfehlen ! Tschüß Mr.Knister P.S. ich habe jetzt die Order base (selber erstellt) und Bases (nach dem update generiert wire ich annehme) auf C: Kann ich diese z.B. unter "Meine Dateien" / Programme / AntiVir verschieben, oder müssen die bkleiben wo sie sind ? |
|
|
28.08.2004, 17:08
Ehrenmitglied
Beiträge: 29434 |
#10
@mr. knister
Das Log ist sauber Nun gibt es noch folgendes zu beachten: 1.Aendere eventuell vorhandene passworte 2.Lade den Browser <Firefox< und surfe nur mit ihm http://www.firebird-browser.de/ 3. Ueberpruefe, welche Dienste du aus Sicherheitsgruenden deaktivieren kannst Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. http://www.zdnet.de/z/itmanager/0,39023861,2103873-3,00.htm zurueck---weiter 4. Mache einen Portscann-Online-check und poste das Resultat. http://scan.sygatetech.com/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.08.2004 um 17:08 Uhr von Sabina editiert.
|
|
|
28.08.2004, 19:01
Member
Beiträge: 11 |
#11
N'abend allerseits, hallo Sabina,
Jubel ;-) and here are the votes of the German Jury, äh sorry, das log des sygat scans: Your system ports are now being scanned and the results will be returned shortly... Results from stealth scan at TCP/IP address: 80.138.100.52 Ideally your status should be "Blocked". This indicates that your ports are not only closed, but they are completely hidden (stealthed) to attackers. Service Ports Status Additional Information FTP DATA 20 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. FTP 21 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. SSH 22 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. TELNET 23 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. SMTP 25 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. DNS 53 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. DCC 59 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. FINGER 79 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. WEB 80 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. POP3 110 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. IDENT 113 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. NetBIOS 139 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. HTTPS 443 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. Server Message Block 445 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. SOCKS PROXY 1080 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. SOURCE PORT 1360 BLOCKED This is the port you are using to communicate to our Web Server. A firewall that uses Stateful Packet Inspection will show a 'BLOCKED' result for this port. WEB PROXY 8080 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed. You have blocked all of our probes! We still recommend running this test both with and without Sygate Personal Firewall enabled... so turn it off and try the test again. Firefox Browser downloaden klappt nicht: entweder wird die W-Lan Verbindung super laaaaangsaaaam oder das Progamm (t-online) reagiert gar nicht mehr (task manager) oder es kommt die Meldung, daß keine Verbindung zum Server aufgebaut (download manager) werden kann.....versuche es später noch einmal. Soweit - so gut, hoffe ich. Besten Dank für die Hilfe. Mr. Knister |
|
|
28.08.2004, 19:16
Raddeleted
zu Gast
|
#12
Hi Leute,
ich hätte mal den hijackthis runtergeladen, aber weder mit hijackthis.exe noch mit pruefung.com geht der...... wahrscheinlich irgendwie von so nem virus o.ä. manipuliert oder?!!!! also z.b. a² zu installieren ging zwar aber auch dort konnt ich das nicht beenden, weil er dann immer nimmer reagiert hat. aber im gegensatz dazu gibts beim hijackthis eine fehlermeldung: Die erforderliche DLL-Datei MSVBVM60.DLL wurde nicht gefunden. oder könnte des nen anderen grund habem? @cidre: danke für die info, aber ich wollte eigtl. wissen, was der dso macht.... also, beim spybot steht dort 1 entrie, und soweit mich meine englischkenntnisse nicht trügen, heißt das ein eingang..... macht der nen eingang vom inet auf meinen pc? zu der email von mir kann keiner was sagen, oder?! mfg, RadauthaR |
|
|
28.08.2004, 21:35
Member
Beiträge: 441 |
#13
@ RadauthaR
Zitat Die erforderliche DLL-Datei MSVBVM60.DLL wurde nicht gefunden.Das liegt daran, daß die Visual Basic 6.0-Laufzeitdateien bei dir nicht installiert sind. Abhilfe: http://support.microsoft.com/default.aspx?scid=kb;de;192461 Zitat danke für die info, aber ich wollte eigtl. wissen, was der dso macht.... also, beim spybot steht dort 1 entrie, und soweit mich meine englischkenntnisse nicht trügen, heißt das ein eingang..... macht der nen eingang vom inet auf meinen pc?Ich hatte es bereits erklärt. Aber hier nochmal was zum lesen: http://board.protecus.de/t9179.htm http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci991143_top1,00.html Zur eMail: Das könnte von infizierten Rechner stammen, die deine eMail Adresse gespeichert haben. Wenn du uns trotzdem mal ein Log-File posten würdest, könnte man genaueres sagen. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
28.08.2004, 23:13
Member
Beiträge: 11 |
#14
@sabina:
dadurch das ich noch t-online e-mail benutzt (da kan ma sich im Gegensatz zu Outlook vorher auswählen welche Mails man abholen will) und damit den Link zum Thread eöffnet habe gab es vermutlich Probs mit dem firefox download, weil damit der t-online Browser aktiviert wird. Copy /paste des Links in IE und es funktioniert in Rekordzeit - FF ist mittlerweile als Standard installliert. Top, die Mühe hat sich gelohnt ! Mr.Knister |
|
|
28.08.2004, 23:19
Ehrenmitglied
Beiträge: 29434 |
#15
@mr. knister
Danke fuer die Info (fuer andere Hilfesuchende) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.08.2004 um 23:21 Uhr von Sabina editiert.
|
|
|
Sorry, ich hab jetzt auch endlich geschnallt, dass es ein Bug ist ... bitte trotzdem sicherheitshalber um Durchsicht des Logs. DANKE!
9.37
Hallo,
entschuldigt bitte den ungefähr 1000. Eintrag zum selben Thema, aber trotz Durcharbeitung aller möglichen Threads kriege ich den DSO-Exploit nicht weg.
Ich benütze seit ca. 2 Monaten den Firefox, davor aber den IE und deshalb noch immer Probleme.
Installiert sind: Ad-Aware, Spybot, HijackThis, CWShredder, RegCleaner, SpySweeper, SpywareGuard. Außer Spybot findet keiner mehr etwas, lt. der HijackThis-Website ist mein Log ok., aber Spybot findet den DSO immer wieder ....
Hier das aktuelle Log-File und gleich mal vielen Dank für die Hilfe!!!!
Logfile of HijackThis v1.98.2
Scan saved at 09:22:38, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Esel2000\Esel2000.exe
C:\WINDOWS\System32\RUNDLL32.EXE
d:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
D:\Programme\ANTI-Spyware\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ANTI-Spyware\SpywareGuard\sgbhp.exe
D:\PROGRA~1\MICROS~1\Office10\OUTLOOK.EXE
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\PROGRA~1\MICROS~1\Office10\OUTLOOK.EXE
D:\Firefox\firefox.exe
D:\Programme\HijackThis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader 6.0.1\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Programme\ANTI-Spyware\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IW Controlcenter] d:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Esel2000] "D:\Programme\Esel2000\Esel2000.exe" -t
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /1
O4 - Startup: SpywareGuard.lnk = D:\Programme\ANTI-Spyware\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE