DSO Exploit - Bitte ma gucken!

#16 Hallo @Ignus

1.Was ergibt den der Scan mit eScan ? (mwav.exe)

2.Gehe in die Registry
Start<Ausfuehren<regedit
und ueberpruefe, ob du folgenden Eintrag findest:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
&ltDefault> = “C:\Windows\System32\NOTEPAD.EXE”
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RUSTY.A&VSect=T

3.Ansonsten veruche es mal mit Onlinescanns:
#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#OnlineScan<Dr.Web® <
http://www.dials.ru/english/www_av/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Also Escan findet nichts Bei dem HKEY_LOCAL_MACHINE bla bla war auch nix
Aber diesen NOTEPAD.exe hab ich gefunden was nu damit machen? und die Onlinevirenscanner haben mir nix gezeigt. Hast du vielleicht icq?

#18 Hallo @Ignus

Nun, wenn der eScan nichts gefunden hat, dann ist dein PC clean und deine Probleme mit dem Internet beruhen nicht auf Viren.

Beschreibe, was genau passiert ....du hattest berichtet, du "fliegst aus dem Net" oder so aehnlich.... und Task-Manager funktioniert nicht mehr...
Friert der PC "ein " ???? Oder wie wuerdest du es beschreiben ? Funktioniert alles andere ?

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Also nach einer Weile flieg ich aus ICQ (trillian) und dann kann ich selber Internet die Verbindung nicht trennen aber ich glaub es ist eher der vpc32.exe Virus. Taskmanager ist als Symbol da aber er startet sich selber nicht und dann muss ich den PC neustarten um wieder ins Internet zu kommen

#20

Dieser Thread ist offen für Probleme, welche das DSO-Exploit betreffen.
Ist doch nicht so schwer.....mh ? .
__________
Durchsuchen --> Aussuchen --> Untersuchen

#21 Hallo @Ignus

Dann hast du einen sehr gefaehrlichen Backdoor.

Deaktiviere die vpc32.exe im Taskmanager.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
1. in die Registry
Start<Ausfuehren<regedit

<loesche rechts in der Registry folgende Eintraege:
* "Microsoft Update"="vpc32.exe" "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* "Microsoft Update"="vpc32.exe" "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* "Microsoft Update"="vpc32.exe" "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"

schliesse die Registry und starte den PC neu und gehe wieder in den abgesicherten Modus

Loesche.
<C:\WINDOWS\SYSTEM\vpc32.exe
<doom3-keygen (1).exe (und alles, was du findest mit: <doom3<

Aktiviere die Firewall von XP oder installiere eine andere, wie Zonealarm oder Sygate (free)
um diesen Port zu sperren
Connects to "owning.ath.cx" on port 153 (TCP).

Dann mache Onlinescanns:
(immer darauf achten, dass die vpc32.exe nicht im Taskmanager erscheint.

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#OnlineScan<Dr.Web® <
http://www.dials.ru/english/www_av/
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
______________________________________________________________
#Testversion "Antivirus Personal 5.0" (15 Tage free)
http://www.kaspersky.com/trials

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#22 So das Problem ist jetzt, Ich habe alle Sachen gelöscht wie du gesagt hast aber trotzdem habe ich die gleichen Probleme fliege aus dem Internet, Internet Browser lässt sich nicht öffnen und taskmanager ist nur als Symbol zu sehen.

#23 Mein Vorschlag: Neuer Thread mit Beschreibung der Probleme mit Hijack-Log im Viren-Forum. Danke !
__________
Durchsuchen --> Aussuchen --> Untersuchen

#24 Hallo @Ignus

Lade das HijackThis,
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save und kopiere das Log ins Forum

und eroeffne einen neuen Thread.(nur fuer dich und dein Problem)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hallo,

benötige auch einmal bitte Hilfe bezügl. des DSOEyploit Problems:
(Zur Info, der Rechner mit dem Problem befindet sich in England.)

Logfile of HijackThis v1.97.7
Scan saved at 10:23:29, on 25/10/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\WINNT\Explorer.EXE
C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\Programme\DELL\AccessDirect\dadapp.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\DELL\AccessDirect\DadTray.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\System32\NWTRAY.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINNT\System32\lxamsp32.exe
C:\Programme\INTEL\DSLSetup\ProDsl.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Programme\LexmarkX63\AcBtnMgr_X63.exe
C:\Programme\LexmarkX63\ACMonitor_X63.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\System32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Schneider_U\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by BTopenworld
O1 - Hosts: 194.76.11.1 DN_BDE # 9000-E35 BDE-Rechner
O1 - Hosts: 194.76.11.2 DN_BDE2 # Test Rechner BDE E35
O1 - Hosts: 194.76.11.3 DN1VAR # Varidat
O1 - Hosts: 194.76.11.6 VDN2 # SCO-UNIX ZI-IDV
O1 - Hosts: 194.76.11.5 DN1VASS # Ackerschott
O1 - Hosts: 194.76.11.7 VDN1 # Novell Server
O1 - Hosts: 194.76.11.14 VDN # Novell Server
O1 - Hosts: 194.76.11.15 VDN6 # Windows NT Server 3.51 / IFPS
O1 - Hosts: 194.76.11.16 NTServ02 # Windows NT Server 3.51 / Quasi7
O1 - Hosts: 194.76.11.18 VDN_WEB # Internet-Server
O1 - Hosts: 194.76.11.80 NTServ01 # Windows NT Server 3.51 / SAPLPD
O1 - Hosts: 194.76.11.123 NTServ03 # Windows NT Server 4.0 / SAPLPD
O1 - Hosts: 194.76.11.250 # Router SBS / Fürth
O1 - Hosts: 194.76.11.240 TS1 # TS1 Quasi 7
O1 - Hosts: 194.76.11.241 TS2 # TS2 Quasi 7
O1 - Hosts: 194.76.11.242 TS3 # TS3 Quasi 7
O1 - Hosts: 194.76.11.243 TS4 # TS4 Quasi 7
O1 - Hosts: 194.76.11.244 TS5 # TS5 Quasi 7
O1 - Hosts: 194.138.131.205 lux09205 # Test Rechner R/3
O1 - Hosts: 194.138.131.9 lux09009 # Echt Rechner R/3
O1 - Hosts: 194.138.131.131 lux09131 # DNQ-System
O1 - Hosts: 194.138.131.2 lux09617 # Test-System R/3 4.6D
O1 - Hosts: 193.28.99.169 newyork # TDS SAP+Printing
O1 - Hosts: 193.28.99.170 powell # TDS SAP+Printing
O1 - Hosts: 193.28.99.171 frisco # TDS SAP+Printing
O1 - Hosts: 193.28.103.29 ruegen # TDS SAP-Printing
O1 - Hosts: 193.28.103.63 hamburg # TDS SAP-Printing
O1 - Hosts: 193.28.103.247 borkum # TDS SAP-Pirnting
O1 - Hosts: 193.28.100.40 oss # TDS OSS
O1 - Hosts: 193.28.103.100 virginia # TDS FTP
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DadApp] C:\Programme\DELL\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [lxamsp32.exe] lxamsp32.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [DSL Connection Manager] C:\Programme\INTEL\DSLSetup\ProDsl.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: AcBtnMgr_X63.exe.lnk = C:\Programme\LexmarkX63\AcBtnMgr_X63.exe
O4 - Global Startup: ACMonitor_X63.exe.lnk = C:\Programme\LexmarkX63\ACMonitor_X63.exe
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F610B87-AD74-4FAE-BA6A-2EA9D6A19632}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{86167B09-5610-4FB4-B53A-59A2404F9DAE}: NameServer = 213.120.62.100 213.120.62.101

Vielen Dank im voraus.
Gruß
Mathias

#26 Hallo@Matze79


O4 - HKLM\..\Run: [lxamsp32.exe] (??)
lxamsp32.exe lxamsp32 0 Associated with a Lexmark Printer

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/index.php?showtopic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

MFG
sABINA
__________
MfG Sabina

rund um die PC-Sicherheit

#27

Das von Spybot imemr wieder angezeigte DSO-Explot -auch nach Beseitigung des selbigen- ist ein Bug in Spybot und den Entwicklern bekannt.

Mehr Info und ein Tool um die Registry-Einträge zu fixen gibt es unter
http://www.nsclean.com/dsostop.html

Den IE auf dem aktuellsten Stand halten ist auf jeden Fall zu bevorzugen.
__________
Durchsuchen --> Aussuchen --> Untersuchen