dso-exploit / common-hijacker/ advertising.com |
||
---|---|---|
#0
| ||
19.07.2004, 09:26
...neu hier
Beiträge: 5 |
||
|
||
19.07.2004, 10:10
Member
Beiträge: 1095 |
#2
@Eisvogel
Dein Log sieht sauber aus. Zu den 5 DSO-Exploits empfehle ich diesen Thread http://board.protecus.de/t11347.htm Wegen diesen beiden common hijacker 2 entries adivertising.com 5 entries Frage: Kommen die immer wieder oder wurden die nur einmal angezeigt Schreib mal genau auf was Sypbot dazu meldet. gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
19.07.2004, 10:11
Member
Beiträge: 441 |
#3
Hallo,
die Lösung zur Beseitigung der DSO Exploits findest du hier: http://board.protecus.de/t11347.htm Fixen kannst du folgende Einträge: O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O14 - IERESET.INF: START_PAGE_URL=http://www.sertek.com.tw/ O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB Lade dir hier die mwav.exe(eScan) runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen. Danach in den abgesicherten Modus wechseln und mit mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) scannen. -Neustart -Neues Log-File + Endlog von eScan posten __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
19.07.2004, 10:17
...neu hier
Themenstarter Beiträge: 5 |
#4
also das spyboat sagt einfach nur "entries"
das wars auch schon....keine AHnung, ob damit re-entries gemeint sind gruss und danke Hallo paff, danke für die schnelle antwort. deinen tip zu dso probiere ich gleich aus. zu den anderen beiden (advertising/ hijacker): ja spyboat meldet die immer wieder, weiss auch nicht wieso. auch esnn ich "markierte probleme lösen" anklicke, findet spyboat das immer wieder. mehr sagt spyboat aber auch nicht Zitat paff postete Dieser Beitrag wurde am 19.07.2004 um 10:38 Uhr von Eisvogel editiert.
|
|
|
||
19.07.2004, 10:24
Member
Beiträge: 1095 |
#5
@Eisvogel
Sagt zumindest ob es Dateien odfer Registryeinträge sind? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
19.07.2004, 10:30
...neu hier
Themenstarter Beiträge: 5 |
#6
Hallo nochmal, also ich habe das gerade gemacht, im abgesicherten Modus. Beim wieder hochfahren fragt er mich jetzt, ob ich die benutzerdefinierten Systemeinstellungen nutzen will oder zurücksetzen....
bin jetzt dabein den Scan nochmal (also nicht mehr im abgesicherten Modus) durchlaufen zu lassen. Vorher hatte der schon ei paar Sachen gefunden, habe "view logfile " gedrückt und gespeichert, das kann ich posten. aber du wolltest ja den scan von nach dem neustart, oder? Hallo cidre, also das dso-ding, die registry sieht bei mir etwas anders aus, die HKEY_USERS\S-1-5-21-602162358-1482476501-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 heisst bei mir anders, es gibt höchstens dieses: HKEY_USERS\S-1-5-21-2409960447-163748893-4247568029-1005....\...\zone map da finde ich aber nur anderes Zeugs. ansonsten habe ich das andere getan gruss Eisvogel hallo cidre, danke für die antwort,lade mir grad das mvav runter. ist dieses kavupud auch eine datei, die ich suchen und mir runterladen muss, oder ein windows update? Zitat Cidre postete Dieser Beitrag wurde am 19.07.2004 um 13:15 Uhr von Eisvogel editiert.
|
|
|
||
19.07.2004, 10:44
Member
Beiträge: 1095 |
#7
@Eisvogel
die kavpd.exe ist im Paket enthalten. Hier die Anleitung http://www.rokop-security.de/board/index.php?showtopic=3867 Wegen Advertising.com Hab mal den Sypbot laufen lassen und hab die Auch gefunden. Wenn du auf das Plus davor klickst, bekommst du mehr Infos. Das sind Tracking Cookies. Kurze Erklärung. Die sind ungefährlich aber "Privatmässig" bedenklich. Diese müssten sich löschen lassen, nur durchs surfen holst du dir immer wieder neue. Diese werden von WerbeBannern auf Websites genutzt um Benutzer zu verfolgen und Infos zu erhalten über das Surf-Verhalten. Wenn du die nicht mehr haben willst , wechsel den Browser !!! Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
19.07.2004, 13:25
...neu hier
Themenstarter Beiträge: 5 |
#8
Hallo Leute,
vielen Dank für eure Tips. ich habe den e-scan durchgeführt im abgesicherten modus, und jetzt nochmal das hijack ding durchgeführt. ist das so in Ordnung? muss ich jetzt beim hochfahren die benutzerdefinierten systemeinstellungen übernehmen? bitte um antwort Eisvogel Logfile of HijackThis v1.97.7 Scan saved at 13:21:21, on 19.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\LTSMMSG.exe C:\Programme\Acer\Launch Manager\LaunchAp.exe C:\Programme\Acer\Launch Manager\PowerKey.exe C:\Programme\Acer\Launch Manager\HotkeyApp.exe C:\Programme\Acer\Launch Manager\KeyHook.exe C:\Programme\Acer\Launch Manager\CtrlVol.exe C:\Programme\Winamp3\winampa.exe C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\Programme\Opera7\Opera.exe C:\Programme\sicherheit\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Trashcan (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O13 - DefaultPrefix: Zitat Eisvogel postete |
|
|
||
habe ein problem: der spyboat findet immer wieder folgende fehler/ hijacker:
common hijacker 2 entries
adivertising.com 5 entries
dso-exploit 5 entries
ich habe versucht, das zu löschen, die beiden erscheinen aber immer wieder neu. Ursprünglich hatte ich versucht, die Fehlermeldung „der Pfad monitor.exe“ wurde nicht gefunden zu beseitigen. Das habe ich zwar geschafft, es bleiben jedoch diese Dinger. Was ist das? Wie werde ich es los?
Das Programm Hijack this gibt mir folgendes an:
Logfile of HijackThis v1.97.7
Scan saved at 09:12:49, on 19.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Acer\Launch Manager\LaunchAp.exe
C:\Programme\Acer\Launch Manager\PowerKey.exe
C:\Programme\Acer\Launch Manager\HotkeyApp.exe
C:\Programme\Acer\Launch Manager\KeyHook.exe
C:\Programme\Acer\Launch Manager\CtrlVol.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Opera7\Opera.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\sicherheit\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\sicherheit\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O14 - IERESET.INF: START_PAGE_URL=http://www.sertek.com.tw/
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003080601/housecall.antivirus.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB789418-4E3B-44B2-815F-01802DC28166}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE260D17-9BF0-4628-BBB1-E8D7BA07C870}: NameServer = 195.71.205.143 193.189.244.205
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
Meine Frage: was davon soll ich „fixen“ oder was kann ich überhaupt machen.
Bitte helft mir.
Da ich nicht besonders computer-fit bin, wäre eine Idoit-sicher Erklärung hilfreich.