DSO Exploit führt zu immer der gleichen Startseite (Smartsearch) |
||
---|---|---|
#0
| ||
18.06.2004, 23:02
...neu hier
Beiträge: 4 |
||
|
||
19.06.2004, 07:53
Ehrenmitglied
Beiträge: 29434 |
#2
fixe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm neustarten und noch einmal mit den Tools scannen. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.06.2004, 20:34
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo nochmals,
habe also diese "dso exploit" immer noch auf dem Rechner hier der neue Logfile of HijackThis v1.97.7 Scan saved at 20:34:30, on 21.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\CDV ANTIVIRUS 2\AVPCC.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\PROGRAMME\CDV ANTIVIRUS 2\AVPM.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\IRMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\CDV ANTIVIRUS 2\AVPCC.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\HP OFFICEJET SERIE 700\BIN\HPOSTR03.EXE C:\PROGRAMME\PDF-XCHANGE 2.5\PDFSAVER.EXE C:\PROGRAMME\LOGITECH\ITOUCH\KBDTRAY.EXE C:\PROGRAMME\HP OFFICEJET SERIE 700\BIN\HPOVDX03.EXE C:\WINDOWS\SYSTEM\HPOHID03.EXE C:\SOFTWARE\SMARTSEARCHCLEANER\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AVPCC] C:\Programme\CDV Antivirus 2\avpcc.exe /wait O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [IrMon] IrMon.exe O4 - HKLM\..\Run: [LexStart] Lexstart.exe O4 - HKLM\..\RunServices: [AVPCC Service] C:\Programme\CDV Antivirus 2\avpcc.exe /Service O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: HP OfficeJet Serie 700 Autostart.lnk = C:\Programme\HP OfficeJet Serie 700\bin\HPOstr03.exe O4 - Startup: pdfSaver.lnk = ? O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38156.5213425926 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
22.06.2004, 08:08
Ehrenmitglied
Beiträge: 29434 |
#4
falls es nicht der normale Proxy ist..ueberpruefe das bitte
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 #Welcher Scanner findet diese dso exploit ?????????? #lade die mwav.exe ...30 Tage free Poste dann ob der Scanner was gefunden hat http://www.mwti.net/antivirus/free_utilities.asp MFg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 08:11 Uhr von Sabina editiert.
|
|
|
||
22.06.2004, 18:08
...neu hier
Themenstarter Beiträge: 4 |
#5
Ich habe dso exploit mit spybot gefunden.
Nachdem ich anwähle "Markierte Probleme beheben" und innerhalb der gleichen Sitzung spybot nochmals suchen lasse findet er den gleichen Täter nochmals. Die Details sind unter spybot folgende: DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 Mwav hat spybot nicht gefunden Wie erkenne ich, ob das der normale proxy ist? Ich habe eine Flatrate bei 1&1 und DSL bei T-Online. |
|
|
||
23.06.2004, 10:53
Ehrenmitglied
Beiträge: 29434 |
#6
@Elmar Held
Das ist ein Bug von Spybot...also kein Grund zur Sorge Du kannst zu diesem Schluessel in der Registry gehen und die 1 in eine 3 aendern HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 10:54 Uhr von Sabina editiert.
|
|
|
||
Eingesetzt habe ich:
-adaware-
-CWShredder-
-SpHjfix-
-spybotsd13-
jeweils in der aktuellsten Version.
Installiert ist seit Urzeiten und fast immer aktuell cdv Antivirus.
Nichts dieser Tools entfernt meinen ungebetenen Gast dauerhaft.
Daher die Bitte an euch:
Schaut euch bitte diese hijackthis-Liste an und gebt Rat!
Vielen Dank im voraus!
Logfile of HijackThis v1.97.7
Scan saved at 22:53:38, on 18.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\CDV ANTIVIRUS 2\AVPCC.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\CDV ANTIVIRUS 2\AVPM.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\CDV ANTIVIRUS 2\AVPCC.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\HP OFFICEJET SERIE 700\BIN\HPOSTR03.EXE
C:\PROGRAMME\PDF-XCHANGE 2.5\PDFSAVER.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\KBDTRAY.EXE
C:\PROGRAMME\HP OFFICEJET SERIE 700\BIN\HPOVDX03.EXE
C:\WINDOWS\SYSTEM\HPOHID03.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\SOFTWARE\SMARTSEARCHCLEANER\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVPCC] C:\Programme\CDV Antivirus 2\avpcc.exe /wait
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [AVPCC Service] C:\Programme\CDV Antivirus 2\avpcc.exe /Service
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: HP OfficeJet Serie 700 Autostart.lnk = C:\Programme\HP OfficeJet Serie 700\bin\HPOstr03.exe
O4 - Startup: pdfSaver.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38156.5213425926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab