DSO Exploit - Bitte ma gucken!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
13.10.2004, 11:37
Ehrenmitglied
Beiträge: 29434 |
||
|
||
13.10.2004, 19:35
...neu hier
Beiträge: 5 |
#17
Also Escan findet nichts Bei dem HKEY_LOCAL_MACHINE bla bla war auch nix
Aber diesen NOTEPAD.exe hab ich gefunden was nu damit machen? und die Onlinevirenscanner haben mir nix gezeigt. Hast du vielleicht icq? |
|
|
||
13.10.2004, 19:46
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo @Ignus
Nun, wenn der eScan nichts gefunden hat, dann ist dein PC clean und deine Probleme mit dem Internet beruhen nicht auf Viren. Beschreibe, was genau passiert ....du hattest berichtet, du "fliegst aus dem Net" oder so aehnlich.... und Task-Manager funktioniert nicht mehr... Friert der PC "ein " ???? Oder wie wuerdest du es beschreiben ? Funktioniert alles andere ? mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.10.2004 um 19:49 Uhr von Sabina editiert.
|
|
|
||
13.10.2004, 20:14
...neu hier
Beiträge: 5 |
#19
Also nach einer Weile flieg ich aus ICQ (trillian) und dann kann ich selber Internet die Verbindung nicht trennen aber ich glaub es ist eher der vpc32.exe Virus. Taskmanager ist als Symbol da aber er startet sich selber nicht und dann muss ich den PC neustarten um wieder ins Internet zu kommen
|
|
|
||
13.10.2004, 20:44
Moderator
Beiträge: 6466 |
||
|
||
14.10.2004, 11:16
Ehrenmitglied
Beiträge: 29434 |
#21
Hallo @Ignus
Dann hast du einen sehr gefaehrlichen Backdoor. Deaktiviere die vpc32.exe im Taskmanager. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml 1. in die Registry Start<Ausfuehren<regedit <loesche rechts in der Registry folgende Eintraege: * "Microsoft Update"="vpc32.exe" "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". * "Microsoft Update"="vpc32.exe" "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". * "Microsoft Update"="vpc32.exe" "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" schliesse die Registry und starte den PC neu und gehe wieder in den abgesicherten Modus Loesche. <C:\WINDOWS\SYSTEM\vpc32.exe <doom3-keygen (1).exe (und alles, was du findest mit: <doom3< Aktiviere die Firewall von XP oder installiere eine andere, wie Zonealarm oder Sygate (free) um diesen Port zu sperren Connects to "owning.ath.cx" on port 153 (TCP). Dann mache Onlinescanns: (immer darauf achten, dass die vpc32.exe nicht im Taskmanager erscheint. #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #OnlineScan<Dr.Web® < http://www.dials.ru/english/www_av/ #BitDefender Scan www.bitdefender.com/scan/Msie/index.php ______________________________________________________________ #Testversion "Antivirus Personal 5.0" (15 Tage free) http://www.kaspersky.com/trials mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.10.2004 um 11:21 Uhr von Sabina editiert.
|
|
|
||
14.10.2004, 21:13
...neu hier
Beiträge: 5 |
#22
So das Problem ist jetzt, Ich habe alle Sachen gelöscht wie du gesagt hast aber trotzdem habe ich die gleichen Probleme fliege aus dem Internet, Internet Browser lässt sich nicht öffnen und taskmanager ist nur als Symbol zu sehen.
|
|
|
||
14.10.2004, 21:43
Moderator
Beiträge: 6466 |
||
|
||
15.10.2004, 10:13
Ehrenmitglied
Beiträge: 29434 |
#24
Hallo @Ignus
Lade das HijackThis, <zip< http://www.downloads.subratam.org/hijackthis.zip Lade das Tool, scann, save und kopiere das Log ins Forum und eroeffne einen neuen Thread.(nur fuer dich und dein Problem) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.10.2004 um 10:13 Uhr von Sabina editiert.
|
|
|
||
25.10.2004, 11:37
...neu hier
Beiträge: 1 |
#25
Hallo,
benötige auch einmal bitte Hilfe bezügl. des DSOEyploit Problems: (Zur Info, der Rechner mit dem Problem befindet sich in England.) Logfile of HijackThis v1.97.7 Scan saved at 10:23:29, on 25/10/2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe C:\WINNT\Explorer.EXE C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.exe C:\WINNT\System32\RUNDLL32.EXE C:\Programme\DELL\AccessDirect\dadapp.exe C:\WINNT\System32\PRPCUI.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\DELL\AccessDirect\DadTray.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINNT\System32\NWTRAY.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINNT\System32\lxamsp32.exe C:\Programme\INTEL\DSLSetup\ProDsl.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\System32\internat.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Psion\PsiWin\Psconsv.exe C:\Programme\LexmarkX63\AcBtnMgr_X63.exe C:\Programme\LexmarkX63\ACMonitor_X63.exe C:\PROGRA~1\Psion\PsiWin\Elogerr.exe C:\WINNT\System32\wuauclt.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Dokumente und Einstellungen\Schneider_U\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by BTopenworld O1 - Hosts: 194.76.11.1 DN_BDE # 9000-E35 BDE-Rechner O1 - Hosts: 194.76.11.2 DN_BDE2 # Test Rechner BDE E35 O1 - Hosts: 194.76.11.3 DN1VAR # Varidat O1 - Hosts: 194.76.11.6 VDN2 # SCO-UNIX ZI-IDV O1 - Hosts: 194.76.11.5 DN1VASS # Ackerschott O1 - Hosts: 194.76.11.7 VDN1 # Novell Server O1 - Hosts: 194.76.11.14 VDN # Novell Server O1 - Hosts: 194.76.11.15 VDN6 # Windows NT Server 3.51 / IFPS O1 - Hosts: 194.76.11.16 NTServ02 # Windows NT Server 3.51 / Quasi7 O1 - Hosts: 194.76.11.18 VDN_WEB # Internet-Server O1 - Hosts: 194.76.11.80 NTServ01 # Windows NT Server 3.51 / SAPLPD O1 - Hosts: 194.76.11.123 NTServ03 # Windows NT Server 4.0 / SAPLPD O1 - Hosts: 194.76.11.250 # Router SBS / Fürth O1 - Hosts: 194.76.11.240 TS1 # TS1 Quasi 7 O1 - Hosts: 194.76.11.241 TS2 # TS2 Quasi 7 O1 - Hosts: 194.76.11.242 TS3 # TS3 Quasi 7 O1 - Hosts: 194.76.11.243 TS4 # TS4 Quasi 7 O1 - Hosts: 194.76.11.244 TS5 # TS5 Quasi 7 O1 - Hosts: 194.138.131.205 lux09205 # Test Rechner R/3 O1 - Hosts: 194.138.131.9 lux09009 # Echt Rechner R/3 O1 - Hosts: 194.138.131.131 lux09131 # DNQ-System O1 - Hosts: 194.138.131.2 lux09617 # Test-System R/3 4.6D O1 - Hosts: 193.28.99.169 newyork # TDS SAP+Printing O1 - Hosts: 193.28.99.170 powell # TDS SAP+Printing O1 - Hosts: 193.28.99.171 frisco # TDS SAP+Printing O1 - Hosts: 193.28.103.29 ruegen # TDS SAP-Printing O1 - Hosts: 193.28.103.63 hamburg # TDS SAP-Printing O1 - Hosts: 193.28.103.247 borkum # TDS SAP-Pirnting O1 - Hosts: 193.28.100.40 oss # TDS OSS O1 - Hosts: 193.28.103.100 virginia # TDS FTP O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [DadApp] C:\Programme\DELL\AccessDirect\dadapp.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [lxamsp32.exe] lxamsp32.exe O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [DSL Connection Manager] C:\Programme\INTEL\DSLSetup\ProDsl.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE O4 - Global Startup: AcBtnMgr_X63.exe.lnk = C:\Programme\LexmarkX63\AcBtnMgr_X63.exe O4 - Global Startup: ACMonitor_X63.exe.lnk = C:\Programme\LexmarkX63\ACMonitor_X63.exe O9 - Extra button: WebSpeech (HKLM) O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3F610B87-AD74-4FAE-BA6A-2EA9D6A19632}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{86167B09-5610-4FB4-B53A-59A2404F9DAE}: NameServer = 213.120.62.100 213.120.62.101 Vielen Dank im voraus. Gruß Mathias Dieser Beitrag wurde am 25.10.2004 um 11:38 Uhr von Matze79 editiert.
|
|
|
||
25.10.2004, 18:12
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo@Matze79
O4 - HKLM\..\Run: [lxamsp32.exe] (??) lxamsp32.exe lxamsp32 0 Associated with a Lexmark Printer Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.rokop-security.de/board/index.php?showtopic=3867 * und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten MFG sABINA __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.10.2004 um 18:28 Uhr von Sabina editiert.
|
|
|
||
25.10.2004, 21:55
Moderator
Beiträge: 6466 |
#27
Das von Spybot imemr wieder angezeigte DSO-Explot -auch nach Beseitigung des selbigen- ist ein Bug in Spybot und den Entwicklern bekannt. Mehr Info und ein Tool um die Registry-Einträge zu fixen gibt es unter http://www.nsclean.com/dsostop.html Den IE auf dem aktuellsten Stand halten ist auf jeden Fall zu bevorzugen. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
1.Was ergibt den der Scan mit eScan ? (mwav.exe)
2.Gehe in die Registry
Start<Ausfuehren<regedit
und ueberpruefe, ob du folgenden Eintrag findest:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
<Default> = “C:\Windows\System32\NOTEPAD.EXE”
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RUSTY.A&VSect=T
3.Ansonsten veruche es mal mit Onlinescanns:
#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#OnlineScan<Dr.Web® <
http://www.dials.ru/english/www_av/
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit