DSO Exploit geht nicht durch Registrierungsänderung weg + andere Probs!

#1 Hallo Forum!

Das ist mein erster Post hier und ich muss sagen, dass ich in Sachen Internet absoluter Neuling bin und auch von Sicherheit wenig Ahnung habe!!

Habe zwar schon versucht hier einiges durch die Suche geregelt zu bekommen, aber das klappt nicht!


Also bisher habe ich (Win 98SE) diese SygateFirewall, AntiVir und SpyBot S&D und dachte damit könnte nichts im Internet passieren - aber damit lag ich wohl falsch und irgendwie kann bestimmt auch immer was passieren!
Mein Problem ist jetzt, dass ich diesen DSO Exploit habe und wie beschrieben nicht wegbekomme - kann schon bei mir nicht mal diese Regsistreiungschlüssel ausser .Default finden.
Außerdem stellt sich bei mir immerwieder eine Startseite ein und der IE zeigt mir bei jeder beliebigen Seite Vertrauenwürdige Sites an.
Bilder egal wo gehen manchmal gar nicht anzuzeigen, Emails kann ich nicht beantworten und Links gehen auch nicht.

Ich habe das Gefühl, dass mein PC überhaupt nicht mehr sicher ist!!
Kann ich jetzt überhaupt noch Seiten aufrufen, bei denen ich ein Passwort eingeben muss, ohne dass dies ausspioniert werden kann oder gar Homebanking machen?!?!
Was würdet Ihr als Profis mir zur Sicherheit für Passwörter und Homebanking raten?!
Welche Firewall und welche zusätzlichen Sicherheitsprogramme ratet ihr mir??
Woran liegt es eigentlich erst, dass trotz meiner bisherigen Firewall, Antivirenprogramm und Antispywareprogramm trotzdem so ein Mist abgeht??

#2 Hallo,

Zitat

Außerdem stellt sich bei mir immerwieder eine Startseite ein und der IE zeigt mir bei jeder beliebigen Seite Vertrauenwürdige Sites an.
Bilder egal wo gehen manchmal gar nicht anzuzeigen, Emails kann ich nicht beantworten und Links gehen auch nicht.

Erstelle ein Log-File mit HiJackThis
und poste es hier rein.

Zitat

Woran liegt es eigentlich erst, dass trotz meiner bisherigen Firewall, Antivirenprogramm und Antispywareprogramm trotzdem so ein Mist abgeht??

Lies bitte diesen Link aufmerksam durch: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Danke für die Info!
Auch dein genannter Link scheint sehr interessant zu sein und ich werde mir den nachher erst mal sehr aufmerksam durchlesen!!

Hier erst mal das Log-File:
Logfile of HijackThis v1.98.0
Scan saved at 21:01:59, on 01.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\CREATIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB09.EXE
C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SOFTWARE UPDATE\HPWUSCHD.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\WINDOWS\98SAFEREMOVE.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HP\HPCORETECH\COMP\HPTSKMGR.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\PRUEFUNG.COM

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0cj.net/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\DPE.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb09.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AnyDVD] C:\PROGRAMME\ANYDVD\ANYDVD.EXE
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [98SafeRemove] C:\Windows\98SafeRemove.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\PROGRAMME\HP\HPCORETECH\COMP\HPUIPROT.DLL
O18 - Filter: text/html - {6DE693C1-D52A-11D8-9BF9-4445F5B77F7A} - C:\WINDOWS\SYSTEM\FMC.DLL
O18 - Filter: text/plain - {6DE693C1-D52A-11D8-9BF9-4445F5B77F7A} - C:\WINDOWS\SYSTEM\FMC.DLL
O21 - SSODL: System - {FC30C9A0-E30F-11D8-9BF9-444553540000} - C:\WINDOWS\system32\system32.dll

#4 matthias3105

fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0cj.net/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\DPE.DLL (file missing)
O4 - HKLM\..\Run: [98SafeRemove] C:\Windows\98SafeRemove.exe
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net

O18 - Filter: text/html - {6DE693C1-D52A-11D8-9BF9-4445F5B77F7A} - C:\WINDOWS\SYSTEM\FMC.DLL
O18 - Filter: text/plain - {6DE693C1-D52A-11D8-9BF9-4445F5B77F7A} - C:\WINDOWS\SYSTEM\FMC.DLL
O21 - SSODL: System - {FC30C9A0-E30F-11D8-9BF9-444553540000} - C:\WINDOWS\system32\system32.dll


neustarten


Gehe in die Registry
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
loesche diese Schluessel
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]

schliesse die Registry

#suche und loesche
C:\WINDOWS\system32\system32.dll



Konfiguriere Antivirus
<alle Dateien< scannen
<Heuristic:hoch

und mache einen Vollscann mit dem Antivirus

#Lade AdAware free und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade Spywarguard
http://www.javacoolsoftware.com/sgdownload.html
#Lade Spysweeper
http://www.spysweeper.com/
#Lade mwav.exe. scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Loesche manuell, was der Scanner nur anzeigt, aber nicht beseitigt.

#Lade ClearProg und loesche die TemporaryInternetfiles und Cookies
http://www.clearprog.de/
und stelle unter Internetoptionen eine neue Startseite ein.
#Lade Firefox als Zweitbrowser...ist sicherer und surfe nur mit diesem Browser
http://firefox.dnsalias.org/windows.htm
#RegCleaner...Saeubere den Computer von nutzlosen Eintraegen
http://www.chip.de/downloads/c_downloads_8830516.html

Dann poste das Log noch mal.


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Habe jetzt erstmal gefict.
Und dabei hat Spybot S&D mich ständig gefragt, ob diese und jene Einträge geändert werden dürften und ich hab es erlaubt, weil es ja wohl von HiJack ausging!?
Bei Neustart kam dann noch mal dasselbe und ich habe auch wieder ja geantwortet!!

RICHTIG???


REGEDIT4 kann ich kann nicht ausführen
und in REGEDIT finde ich weder
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
noch finde ich diese Schlüssel nicht- wo soll ich die finden??
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]

#6 Ja, richtig, nun starte neu und lade die Tools und arbeite alles genauso ab, wie gepostet.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Geht leider nicht (hab wie gesagt Win 98SE!):

REGEDIT4 kann ich kann nicht ausführen
und in REGEDIT finde ich weder
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
noch finde ich diese Schlüssel nicht- wo soll ich die finden??
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]


Und neu gestartet hab ich ja - war es da auch richtig, dass SpyBot S&D mich wieder gefragt hat und ich auch NACH DEM NEUSTART diese Änderungen erlaubt habe - das ging doch wohl auch von HiJack aus, oder??

#8 Findest du das nicht ?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

Versuche die C:\WINDOWS\system32\system32.dll zu loeschen, ohne Registry..
# lade die Tools und arbeite alles genauso ab, wie gepostet.

Die Aenderung vom Spybot ist wohl o.k. denn du hast die Startseiten veraendert durch das Fixen.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Doch, dass finde ich schon, nur steht da nicht System=, sondern (Standard) und WebCheck!!
Was ist da los?!

Also jetzt erstmal system32.dll erstmal löschen??

#10 ShellServiceObjectDelayLoad

und dort muesste sein
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]

findest du das ?? Wenn ja..loeschen und danach die C:\WINDOWS\system32\system32.dll
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Jup!
Und darin ist dann nur eingetragen
(Standard) und
WebCheck mit irgendeinem Wert

#12 Welcher Wert ist unter <ShellServiceObjectDelayLoad <eingetragen ?
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Also in ShellServiceObjectDelayLoad steht bei (Standard) (Wert nicht gesetzt) und bei WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" mehr ist da in dem Ordner nicht drinnen!

#14 Okay mach ich, aber warum habe ich diese Einträge nicht?!?!

#15 o.k. dann lasse es.

Suche bitte eine Shimgapi.dll

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\%WinDIR%\\%SystemDIR%\\shimgapi.dll"

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit