Dos exploit-kommt auch nach löschung wieder |
||
---|---|---|
#0
| ||
18.07.2004, 10:41
...neu hier
Beiträge: 7 |
||
|
||
18.07.2004, 10:58
Moderator
Beiträge: 7805 |
||
|
||
18.07.2004, 13:04
...neu hier
Themenstarter Beiträge: 7 |
#3
Zitat raman postetehallo, habe ich gemacht-jetzt habe ich anstatt 5 entries nur noch 2-was jetzt? |
|
|
||
20.07.2004, 12:09
Member
Beiträge: 11 |
#4
Habe das selbe Problem gehabt. Spybot macht grüne Häckchen und nach einem erneuten Test sind die Einträge wieder da. Keine Ahnunug wofür die Einträge gut sein sollen, aber wenn man die Eingträge aus der Registry löscht, kommt die Meldung nicht wieder. Bin nicht so fit in diesen Sachen, daher weiss ich nicht was das Anrichtet. Zumindest ist es weg, und nachher lief auch alles bei mir einwandfrei.
|
|
|
||
20.07.2004, 12:44
Member
Beiträge: 1095 |
#5
@ChOcO
Schau mal hier http://board.protecus.de/t11347.htm Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
20.07.2004, 12:51
...neu hier
Themenstarter Beiträge: 7 |
#6
Zitat ChOcO posteteHabe ich gerade mal probiert.die registry mit xp clean gelöscht. Meldung kommt aber immer noch. das problem ist,dass ich mir auch keine sachen aus dem internet runterladen kann ,da er mir keine seite mehr aufbaut bzw bei status der internetverbindung anzeigt,dass er nach 3 min ca 4.000.000 bytes gesendet hat und nur 1000 empfängt. |
|
|
||
20.07.2004, 13:03
Member
Beiträge: 1095 |
#7
@samer
Poste mal das HiJackThis Logfile http://hjt.klaffke.de/ Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
20.07.2004, 13:31
...neu hier
Themenstarter Beiträge: 7 |
#8
Zitat paff postetehallo, danke für den tip.würde ich gerne machen,nur wie schon gesagt sendet mein laptop nur und empfängt fast keine daten mehr. der download würde 1 1/2 std mit dsl dauern-lustig oder |
|
|
||
20.07.2004, 14:33
Member
Beiträge: 11 |
#9
@ paff
Habe mir den Link angeschaut. Ist es schädlich keinen neuen Eintrag zu machen, oder reicht das löschen einfach? @ samer Habe die Einträge nicht mit XP-clean gelöscht. Wenn du spybot laufen lässt dann müsste neben den gefunden Exploit der Regestry Eintrag kommen. Draufklicken und dann löschen. Falls das nicht geht, dann über ausführen -regedit.exe denn Pfad manuell verfolgen (wird in spybot angezeigt) und dann löschen. Schau dir auch den Link an den paff angegeben hat. |
|
|
||
26.09.2004, 12:28
...neu hier
Beiträge: 3 |
#10
hi, hab des gleiche problem, dass ich des dos exploit nicht wegkrieg. hab die links oben schon alle durchgeschaut, und wollte die keys, die mir der spybot anzeigt von hand in der registry löschen, aber auch die schließt sich sofort wieder...
wie kann ich die keys trotzdem löschen, oder wie krieg ich des los? is nervig, wenn der taskmanager und norten net funzen... danke |
|
|
||
01.10.2004, 10:20
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo @Sprudelix
HijackThis: <zip< http://www.downloads.subratam.org/hijackthis.zip Lade das Tool, scann, save und kopiere das Log ins Forum mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.10.2004 um 10:20 Uhr von Sabina editiert.
|
|
|
||
01.10.2004, 13:20
...neu hier
Beiträge: 3 |
#12
hab mein system neudrauf gemacht...aaaber: is recht witzig, spybot findet schon wieder dso exploits, aber die machen mir absolut keine probleme. mein system läuft super. was is da los?
|
|
|
||
01.10.2004, 13:47
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo @sprudelix
Spybot Search & Destroy\ DSO Exploit http://www.trojaner-board.de/showpost.php?p=70985&postcount=6 Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot. Mauelle Beseitigung: http://www.wintotal.de/Tipps/Eintrag.php?TID=959 oder du benutzt ein Tool wie "dsostop": http://www.nsclean.com/dsostop.html #Alternativbrowser zum IE(der leider nicht sicher ist) Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.10.2004, 16:56
...neu hier
Beiträge: 3 |
#14
oki thx, dann bin ich ja beruhigt vielen dank
|
|
|
||
ich habe dieses dos exploit. es kommt auch immer wieder und lässt sich mit dem spybot nicht löschen. was tun?habe schon einige sachen hier aus dem forum ausprobiert,wie z.b.:
StartupList report, 18.07.2004, 10:36:01
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Uwe01\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BBLJR1CW\StartupList[1].EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ecupds.exe
C:\WINDOWS\System32\desktop.exe
C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\bdpok.exe
C:\WINDOWS\System32\prddmm.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Dokumente und Einstellungen\Uwe01\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BBLJR1CW\StartupList[1].exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
LDM = C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programme\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
Ipswitch.WsftpBrowserHelper - C:\Programme\WS_FTP Pro\wsbho2k0.dll - {601ED020-FB6C-11D3-87D8-0050DA59922B}
--------------------------------------------------
Enumerating Download Program Files:
[{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab
[{26CBF141-7D0F-46E1-AA06-718958B6E4D2}]
CODEBASE = http://download.ebay.com/turbo_lister/DE/install.cab
[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
[{41F17733-B041-4099-A042-B518BB6A408C}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 4.951 bytes
Report generated in 0,484 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
kann jemand was damit anfangen?
danke