msbb.exe, dso-exploit und andere Probleme |
||
---|---|---|
#0
| ||
03.08.2004, 21:50
...neu hier
Beiträge: 5 |
||
|
||
03.08.2004, 22:01
Moderator
Beiträge: 7805 |
#2
Weisst du was das ist:
C:\WINDOWS\System32\Wt32exe.exe ansonsten virus@rokop-securty.de Plattmachen waere auch nicht schlecht, nur ueberlege dir, was du dann anders machen willst! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.08.2004, 22:06
...neu hier
Themenstarter Beiträge: 5 |
#3
> Wt32exe.exe ansonsten virus@rokop-securty.de
Meinst Du jetzt, ich soll die Datei an diese eMail Adresse schicken (als Anhang?) Sorry, wenn ich blöde Fragen stell, aber ich frickele da schon ne ganze Weile rum und fühl mich total gaga im Hirn. Da frag ich lieber einmal zu viel nach, als daß ich das System noch weiter verbocke. |
|
|
||
03.08.2004, 22:13
Moderator
Beiträge: 7805 |
#4
Ja, waere nett. Es sei denn, du kannst sie zuordnen.
Aber so wie du dich "anhoerst" waere es gut die sache zu ueberschlafen und morgen kurzen Prozess mit der Platte machen! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.08.2004, 22:29
...neu hier
Themenstarter Beiträge: 5 |
#5
Danke!
Habe die Datei eingeschickt (Absender kontakt [at] melanie-heller [dot] de Und das mit dem drüber schlafen mach ich jetzt auch erstmal. Und morgen wird die Platte formatiert. Sollten sich dann immer noch Probleme zeigen melde ich mich wieder. Nochmals vielen Dank, daß Sie sich das mal angeschaut haben. |
|
|
||
05.08.2004, 13:29
Member
Beiträge: 11 |
#6
Kann sich jemand den Lod anschauen bekomme den DSO Exploit nicht weg
bitte so einfach wie möglich bin nur User Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\NoPopUp 2003\nopopup.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\mgabg.exe F:\Ingo\Tools\HijackThis1981.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{253371AF-5D40-4700-8780-5F0E1FC4A111}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{994D5B7A-0C6C-4B22-8A17-005701C71E8E}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{253371AF-5D40-4700-8780-5F0E1FC4A111}: NameServer = 192.168.1.1 |
|
|
||
05.08.2004, 15:00
Ehrenmitglied
Beiträge: 29434 |
#7
@iwal
fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe neustarten Gehe in die Registry Start<Ausfuehren<regedit [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] Change the value of "1004" (DWORD) to 3. arbeite das durch http://www.rokop-security.de/main/article.php?sid=703 (wichtig ist, dass du einen Alternativbrowser laedst und nicht mehr mit dem IE surfst) Mit z. B dem Firefox brauchst du folgendes nicht mehr: O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.08.2004 um 15:04 Uhr von Sabina editiert.
|
|
|
||
05.08.2004, 17:23
Member
Beiträge: 11 |
#8
kannst du für mich das fixen mit HiJack erklären kann da im scan nichts ändern
|
|
|
||
05.08.2004, 22:35
Ehrenmitglied
Beiträge: 29434 |
#9
du scannst mit dem HijackThis.
Dann hakst du an, was ich geschrieben habe. Dann drueckst du auf <fix< und startest den Computer neu. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.08.2004, 23:48
Member
Beiträge: 11 |
#10
danke nochmal für die schnelle Hilfe
den Outlook Express kann ich den weiter verwenden surven tu ich ab heut mit Firefox |
|
|
||
06.08.2004, 00:15
Ehrenmitglied
Beiträge: 29434 |
#11
http://www.lavasoft.de/support/download/
Hast du schon mit AdAware free gescannt ? die Malware verschwindet leider nicht durch blosses Fixen..... #Outlook Express kannst du natuerlich weiter verwenden...aber es ist doch ein Risiko. Vielleicht schaust du dich mal nach einem anderen Mail-anbieter um. ..................... Plagen Sie sich also nicht länger mit Registrationen und Installationen sowie Sicherheitseinstellungen wie z.B. Viren- und Spamschutz. Wir übernehmen für Sie die technische Betreuung und halten die Sicherheit (Viren- und Spamschutz, usw.) immer auf dem neusten Stand. Somit können Sie sich auf eine sichere und zuverlässige Auslieferung und Zustellung Ihrer elektronischen Post verlassen. http://www.my-mail.ch/ Such was aus..... http://dmoz.org/World/Deutsch/Computer/Internet/E-Mail/Anbieter/Kostenlos/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.08.2004 um 00:16 Uhr von Sabina editiert.
|
|
|
||
06.08.2004, 01:51
Member
Beiträge: 11 |
#12
Hab mich vor kurzen bei GMX mit einer Domäne angemeldet und mag nicht immer auf die GMX Seite gehen um meine Mails abzurufen
gibt es noch eine andere Alternative? Gute Nacht |
|
|
||
06.08.2004, 03:32
...neu hier
Themenstarter Beiträge: 5 |
#13
Mozilla Thunderbird verträgt sich ganz gut mit dem Firefox.
|
|
|
||
06.08.2004, 09:28
Member
Beiträge: 11 |
#14
gibts da auch ne deutsche Version
|
|
|
||
06.08.2004, 15:24
...neu hier
Themenstarter Beiträge: 5 |
||
|
||
Nachdem ich das jetzt nach eigenem rumsuchen in eurem Forum von allein nicht gebacken bekomme, schrei ich mal nach Hilfe!
Angefangen hats mit der Warnung von der Firewall (betreffs bargain.exe), woraufhin ich dann erstmal AdAware übers System gejagt und nicht schlecht gestaunt hab.
*** Suchmaschiene angeworfen und eine Anleitung gefunden, wie man das zu Fuß wegbekommt und durchgeführt. **** (siehe EDIT ganz unten)
Dann mal HijackThis drüberlaufen lassen. Das Log auf der hijackthis.de Seite prüfen lassen und gemacht, was da stand.
Nochmal HijackThis drüberlaufen lassen.
Nochmal in eurem Forum gewühlt, weil ich mich mittlerweile überhaupt net sicher fühle.
SpybotS+D rüberlaufen lassen (dso-exploit liess sich nicht entfernen, hab dann anhand der Anleitung selbst in der Registry rumgepfuscht).
CWShredders drüberlaufen lassen.
Mit escan gescannt.
Nochmal HijackThis drüberlaufen lassen:
Logfile of HijackThis v1.98.1
Scan saved at 21:51:51, on 03.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\wampserver\mysql\bin\mysqld-max-nt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Wt32exe.exe
C:\Programme\wampserver\apache\Apache.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\wampserver\apache\Apache.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\tblmouse.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\wampserver\mysql\bin\winmysqladmin.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\progs\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.115.1:3128/ken.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.115.1:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.115.1:3128;https=192.168.115.1:3128;ftp=192.168.115.1:3128;socks=192.168.115.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [tblfunc] tblmouse.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\wampserver\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.115.1:3128/ken.html
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
So. Und nun weiß ich net mehr weiter. Muß ich noch was fixen?
Wärs nicht einfacher, die Platte zu plätten? Ich hab so langsam keine Nerven mehr.
EDIT:
Was ich noch vergessen hab:
Nach diesem Schritt braucht mein Comp nun eine Ewigkeit (es reicht auf jeden Fall für ne Zigarette) bis er hochgefahren ist.
Er bootet ganz normal bis zu dem Screen mit dem sich bewegenden Laufbalken (Windows XP). Danach wird der Bildschirm für ne ziemlich lange Zeit schwarz und dann erscheint endlich der Screen, wo man sein Passwort eingibt. Danach fährt der Rechner wie gewohnt hoch.