Dos exploit-kommt auch nach löschung wieder

#0
18.07.2004, 10:41
...neu hier

Beiträge: 7
#1 Hallo,

ich habe dieses dos exploit. es kommt auch immer wieder und lässt sich mit dem spybot nicht löschen. was tun?habe schon einige sachen hier aus dem forum ausprobiert,wie z.b.:
StartupList report, 18.07.2004, 10:36:01
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Uwe01\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BBLJR1CW\StartupList[1].EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ecupds.exe
C:\WINDOWS\System32\desktop.exe
C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\bdpok.exe
C:\WINDOWS\System32\prddmm.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Dokumente und Einstellungen\Uwe01\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BBLJR1CW\StartupList[1].exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

LDM = C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programme\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
Ipswitch.WsftpBrowserHelper - C:\Programme\WS_FTP Pro\wsbho2k0.dll - {601ED020-FB6C-11D3-87D8-0050DA59922B}

--------------------------------------------------

Enumerating Download Program Files:

[{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[{26CBF141-7D0F-46E1-AA06-718958B6E4D2}]
CODEBASE = http://download.ebay.com/turbo_lister/DE/install.cab

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[{41F17733-B041-4099-A042-B518BB6A408C}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4.951 bytes
Report generated in 0,484 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


kann jemand was damit anfangen?
danke
Seitenanfang Seitenende
18.07.2004, 10:58
Moderator

Beiträge: 7805
#2 Lies das:
http://board.protecus.de/t11347.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.07.2004, 13:04
...neu hier

Themenstarter

Beiträge: 7
#3

Zitat

raman postete
Lies das:
http://board.protecus.de/t11347.htm
hallo,

habe ich gemacht-jetzt habe ich anstatt 5 entries nur noch 2-was jetzt?
Seitenanfang Seitenende
20.07.2004, 12:09
Member

Beiträge: 11
#4 Habe das selbe Problem gehabt. Spybot macht grüne Häckchen und nach einem erneuten Test sind die Einträge wieder da. Keine Ahnunug wofür die Einträge gut sein sollen, aber wenn man die Eingträge aus der Registry löscht, kommt die Meldung nicht wieder. Bin nicht so fit in diesen Sachen, daher weiss ich nicht was das Anrichtet. Zumindest ist es weg, und nachher lief auch alles bei mir einwandfrei.
Seitenanfang Seitenende
20.07.2004, 12:44
Member

Beiträge: 1095
#5 @ChOcO

Schau mal hier
http://board.protecus.de/t11347.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
20.07.2004, 12:51
...neu hier

Themenstarter

Beiträge: 7
#6

Zitat

ChOcO postete
Habe das selbe Problem gehabt. Spybot macht grüne Häckchen und nach einem erneuten Test sind die Einträge wieder da. Keine Ahnunug wofür die Einträge gut sein sollen, aber wenn man die Eingträge aus der Registry löscht, kommt die Meldung nicht wieder. Bin nicht so fit in diesen Sachen, daher weiss ich nicht was das Anrichtet. Zumindest ist es weg, und nachher lief auch alles bei mir einwandfrei.
Habe ich gerade mal probiert.die registry mit xp clean gelöscht. Meldung kommt aber immer noch.
das problem ist,dass ich mir auch keine sachen aus dem internet runterladen kann ,da er mir keine seite mehr aufbaut bzw bei status der internetverbindung anzeigt,dass er nach 3 min ca 4.000.000 bytes gesendet hat und nur 1000 empfängt.
Seitenanfang Seitenende
20.07.2004, 13:03
Member

Beiträge: 1095
#7 @samer

Poste mal das HiJackThis Logfile
http://hjt.klaffke.de/

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
20.07.2004, 13:31
...neu hier

Themenstarter

Beiträge: 7
#8

Zitat

paff postete
@samer

Poste mal das HiJackThis Logfile
http://hjt.klaffke.de/

Gruß paff
hallo,

danke für den tip.würde ich gerne machen,nur wie schon gesagt sendet mein laptop nur und empfängt fast keine daten mehr. der download würde 1 1/2 std mit dsl dauern-lustig oder
Seitenanfang Seitenende
20.07.2004, 14:33
Member

Beiträge: 11
#9 @ paff

Habe mir den Link angeschaut. Ist es schädlich keinen neuen Eintrag zu machen, oder reicht das löschen einfach?


@ samer

Habe die Einträge nicht mit XP-clean gelöscht. Wenn du spybot laufen lässt dann müsste neben den gefunden Exploit der Regestry Eintrag kommen. Draufklicken und dann löschen. Falls das nicht geht, dann über ausführen -regedit.exe denn Pfad manuell verfolgen (wird in spybot angezeigt) und dann löschen. Schau dir auch den Link an den paff angegeben hat.
Seitenanfang Seitenende
26.09.2004, 12:28
...neu hier

Beiträge: 3
#10 hi, hab des gleiche problem, dass ich des dos exploit nicht wegkrieg. hab die links oben schon alle durchgeschaut, und wollte die keys, die mir der spybot anzeigt von hand in der registry löschen, aber auch die schließt sich sofort wieder...

wie kann ich die keys trotzdem löschen, oder wie krieg ich des los? is nervig, wenn der taskmanager und norten net funzen... danke
Seitenanfang Seitenende
01.10.2004, 10:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo @Sprudelix

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save und kopiere das Log ins Forum

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.10.2004 um 10:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.10.2004, 13:20
...neu hier

Beiträge: 3
#12 hab mein system neudrauf gemacht...aaaber: is recht witzig, spybot findet schon wieder dso exploits, aber die machen mir absolut keine probleme. mein system läuft super. was is da los?
Seitenanfang Seitenende
01.10.2004, 13:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo @sprudelix ;)

Spybot Search & Destroy\ DSO Exploit
http://www.trojaner-board.de/showpost.php?p=70985&postcount=6

Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot.

Mauelle Beseitigung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959
oder
du benutzt ein Tool wie "dsostop":
http://www.nsclean.com/dsostop.html

#Alternativbrowser zum IE(der leider nicht sicher ist)
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.10.2004, 16:56
...neu hier

Beiträge: 3
#14 oki thx, dann bin ich ja beruhigt ;) vielen dank
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: