msbb.exe, dso-exploit und andere Probleme

#0
03.08.2004, 21:50
...neu hier

Beiträge: 5
#1 *Haarerauf*
Nachdem ich das jetzt nach eigenem rumsuchen in eurem Forum von allein nicht gebacken bekomme, schrei ich mal nach Hilfe!

Angefangen hats mit der Warnung von der Firewall (betreffs bargain.exe), woraufhin ich dann erstmal AdAware übers System gejagt und nicht schlecht gestaunt hab.

*** Suchmaschiene angeworfen und eine Anleitung gefunden, wie man das zu Fuß wegbekommt und durchgeführt. **** (siehe EDIT ganz unten)

Dann mal HijackThis drüberlaufen lassen. Das Log auf der hijackthis.de Seite prüfen lassen und gemacht, was da stand.

Nochmal HijackThis drüberlaufen lassen.

Nochmal in eurem Forum gewühlt, weil ich mich mittlerweile überhaupt net sicher fühle.

SpybotS+D rüberlaufen lassen (dso-exploit liess sich nicht entfernen, hab dann anhand der Anleitung selbst in der Registry rumgepfuscht).

CWShredders drüberlaufen lassen.

Mit escan gescannt.

Nochmal HijackThis drüberlaufen lassen:
Logfile of HijackThis v1.98.1
Scan saved at 21:51:51, on 03.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\wampserver\mysql\bin\mysqld-max-nt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Wt32exe.exe
C:\Programme\wampserver\apache\Apache.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\wampserver\apache\Apache.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\tblmouse.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\KEN!\kentbcli.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\wampserver\mysql\bin\winmysqladmin.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\progs\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.115.1:3128/ken.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.115.1:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.115.1:3128;https=192.168.115.1:3128;ftp=192.168.115.1:3128;socks=192.168.115.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [tblfunc] tblmouse.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: WinMySQLadmin.lnk = C:\Programme\wampserver\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.115.1:3128/ken.html
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab


So. Und nun weiß ich net mehr weiter. Muß ich noch was fixen?

Wärs nicht einfacher, die Platte zu plätten? Ich hab so langsam keine Nerven mehr.

EDIT:
Was ich noch vergessen hab:
Nach diesem Schritt braucht mein Comp nun eine Ewigkeit (es reicht auf jeden Fall für ne Zigarette) bis er hochgefahren ist.
Er bootet ganz normal bis zu dem Screen mit dem sich bewegenden Laufbalken (Windows XP). Danach wird der Bildschirm für ne ziemlich lange Zeit schwarz und dann erscheint endlich der Screen, wo man sein Passwort eingibt. Danach fährt der Rechner wie gewohnt hoch.
Dieser Beitrag wurde am 03.08.2004 um 21:58 Uhr von Shemyaza editiert.
Seitenanfang Seitenende
03.08.2004, 22:01
Moderator

Beiträge: 7805
#2 Weisst du was das ist:
C:\WINDOWS\System32\Wt32exe.exe ansonsten virus@rokop-securty.de

Plattmachen waere auch nicht schlecht, nur ueberlege dir, was du dann anders machen willst!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.08.2004, 22:06
...neu hier

Themenstarter

Beiträge: 5
#3 > Wt32exe.exe ansonsten virus@rokop-securty.de
Meinst Du jetzt, ich soll die Datei an diese eMail Adresse schicken (als Anhang?)

Sorry, wenn ich blöde Fragen stell, aber ich frickele da schon ne ganze Weile rum und fühl mich total gaga im Hirn. Da frag ich lieber einmal zu viel nach, als daß ich das System noch weiter verbocke.
Seitenanfang Seitenende
03.08.2004, 22:13
Moderator

Beiträge: 7805
#4 Ja, waere nett. Es sei denn, du kannst sie zuordnen.

Aber so wie du dich "anhoerst" waere es gut die sache zu ueberschlafen und morgen kurzen Prozess mit der Platte machen!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.08.2004, 22:29
...neu hier

Themenstarter

Beiträge: 5
#5 Danke!

Habe die Datei eingeschickt (Absender kontakt [at] melanie-heller [dot] de

Und das mit dem drüber schlafen mach ich jetzt auch erstmal.

Und morgen wird die Platte formatiert. Sollten sich dann immer noch Probleme zeigen melde ich mich wieder.

Nochmals vielen Dank, daß Sie sich das mal angeschaut haben.
Seitenanfang Seitenende
05.08.2004, 13:29
Member

Beiträge: 11
#6 Kann sich jemand den Lod anschauen bekomme den DSO Exploit nicht weg
bitte so einfach wie möglich bin nur User

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mgabg.exe
F:\Ingo\Tools\HijackThis1981.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{253371AF-5D40-4700-8780-5F0E1FC4A111}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{994D5B7A-0C6C-4B22-8A17-005701C71E8E}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{253371AF-5D40-4700-8780-5F0E1FC4A111}: NameServer = 192.168.1.1
Seitenanfang Seitenende
05.08.2004, 15:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 @iwal

fixe mit dem HijackThis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

neustarten

Gehe in die Registry
Start<Ausfuehren<regedit
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
Change the value of "1004" (DWORD) to 3.


arbeite das durch
http://www.rokop-security.de/main/article.php?sid=703
(wichtig ist, dass du einen Alternativbrowser laedst und nicht mehr mit dem IE surfst)
Mit z. B dem Firefox brauchst du folgendes nicht mehr:
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.08.2004 um 15:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.08.2004, 17:23
Member

Beiträge: 11
#8 kannst du für mich das fixen mit HiJack erklären kann da im scan nichts ändern
Seitenanfang Seitenende
05.08.2004, 22:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 du scannst mit dem HijackThis.
Dann hakst du an, was ich geschrieben habe.
Dann drueckst du auf <fix< und startest den Computer neu.
Gruss
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2004, 23:48
Member

Beiträge: 11
#10 danke nochmal für die schnelle Hilfe
den Outlook Express kann ich den weiter verwenden surven tu ich ab heut mit Firefox
Seitenanfang Seitenende
06.08.2004, 00:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 http://www.lavasoft.de/support/download/
Hast du schon mit AdAware free gescannt ?

die Malware verschwindet leider nicht durch blosses Fixen.....

#Outlook Express kannst du natuerlich weiter verwenden...aber es ist doch ein Risiko.
Vielleicht schaust du dich mal nach einem anderen Mail-anbieter um.

.....................
Plagen Sie sich also nicht länger mit Registrationen und Installationen sowie Sicherheitseinstellungen wie z.B. Viren- und Spamschutz. Wir übernehmen für Sie die technische Betreuung und halten die Sicherheit (Viren- und Spamschutz, usw.) immer auf dem neusten Stand. Somit können Sie sich auf eine sichere und zuverlässige Auslieferung und Zustellung Ihrer elektronischen Post verlassen.
http://www.my-mail.ch/

Such was aus.....
http://dmoz.org/World/Deutsch/Computer/Internet/E-Mail/Anbieter/Kostenlos/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.08.2004 um 00:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.08.2004, 01:51
Member

Beiträge: 11
#12 Hab mich vor kurzen bei GMX mit einer Domäne angemeldet und mag nicht immer auf die GMX Seite gehen um meine Mails abzurufen
gibt es noch eine andere Alternative?

Gute Nacht
Seitenanfang Seitenende
06.08.2004, 03:32
...neu hier

Themenstarter

Beiträge: 5
#13 Mozilla Thunderbird verträgt sich ganz gut mit dem Firefox.
Seitenanfang Seitenende
06.08.2004, 09:28
Member

Beiträge: 11
#14 gibts da auch ne deutsche Version
Seitenanfang Seitenende
06.08.2004, 15:24
...neu hier

Themenstarter

Beiträge: 5
#15 Die deutsche Version kann man HIER runterladen. Ist allerdings nicht die aktuellste, da für die noch keine deutsche Localization vorliegt (wird noch dran gestrickt).
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: