DSO Exploit - wieder mal ...

#16 Hi,
danke Cidre, jetzt gings,..... (hoof nur es bringt auch was...) ich schreib nun mein ergebniss rein, hoffe ihr findet was und könnt es auswerten.... also:

Logfile of HijackThis v1.98.2
Scan saved at 14:44:48, on 29.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\SISSWLED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\Monwow.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\SPIELE\PRUEFUNG.COM

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiSSWLED] C:\WINDOWS\SYSTEM\sisswled.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\csinject.exe
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: apitrap.dll;


ich hoffe ihr könnt alle probleme finden, weiß nämlich nicht, wie ich den dso sonst beseitigen kann.... aber, kann man hier auch lesen, welche meiner dateien am pc der dso benutzt hat?! was er angerichtet hat, also ob er mich ausspioniert hat, ob er noch nicht ausgeläst wurde, ob er - na, ihr wisst schon was ich mein danke für die bisherige hilfe, mfg,
Rada

#17 @RadauthaR
Ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\RUNDLL32.EXE

normal:
C:\WINDOWS\SYSTEM\RUNDLL32.EXE " on Windows 95/98/ME,

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Hi,
also die rundll32.exe (und vorsichtshalber die ohne 32 auch ) hab ich ma überprüft und er sagt die sind clean..... ich weiß zwar nicht, was rauskommen sollte, aber es sagt keine viren..... aber ich MUSS trotzdem nen dso haben, sieht man den in der hijack-log-file? weil dann würd ich noch wissen wollen, wie ich den entfernen kann..... (weil ich muss denn aus folgenden gründen haben:
1. findet ihn der Spybot S&D (wenn ich ihn läsch kommt er gleich immer wieder) in meinem hkey-verzeichnis (1004 bei inet exp.)
2. ich habe ein "netzwerk" programm, dass mir anzeigt, wieviel ich empfange und wieviel er sendet, und selbst wenn ich nur auf google geh und dort bleibe (und die internet verbindung lasse, also weder stecker zieh noch über norton personal firewall sperre) und ich empfange immer was, selbst wenn ich auf google geh und dann abbrechen tue.... und zwar nicht k-bite, sondern m-bite.... (und die kommen normalerweise nciht einfach so, soweit kenn ich mich noch aus )
3. funktioniert mein pc nicht mehr gscheit (manchmal beim hochfahren lädt er den norton personal firewall nicht mehr (es sei denn das kann daran liegen, dass ich kein netzwerk kabel eingesteckt hab) oder er lässt mich bestimmte sachen manchmal nicht machen... z.b. wenn ich manchmal den ordner "systemsteuerung" öffnen will, reagiert das fenster nicht mehr.... und bei diversen anderen fenstern bzw. ordnern ist das auch so.... außerdem reagiert er nicht mehr, wenn ich mich bei a² registrieren will.... (installieren geht noch ....)

aber mir fällt grad was ein..... ich bin an nem router und da is auch ein pc dran, der hatte nen "virus" (kA obs wirklich n virus war) und der ging nicht mehr... und ein freund hat ihn angegukt und er sagte, dass das mainboard und der prozessor durch "den virus" beschädigt wurden..... (ich persönlich kann mir sowas nicht vorstellen, aber ich hab nicht viel ahnung von sowas...) und vielleicht hat sich ja der übertragen und fängt nun an, auch meinen pc putt zumachen..... naja, jedenfalls ist mein pc irgendwie infiziert..............

ps: falls des wichtig ist, (weil der dsoexploit befällt ja den inet exp.) ich glaub ich hab 2 inet exp's oben, einmal den 6-er und einmal den 5-er..... jedenfalls hatte ich am anfang den 5-er und hab einfach den 6-er drüberinstalliert, ohne den 5-er zu deinstallieren......

hat jemand nen guten rat, was für anti- viren,trojianer,spionage, sonstwas-programme es gibt,....? (also nortons und spybot hab ich schon, a² geht nicht....) mfg,
Rada

#19 Hallo @RadauthaR

Irgendwas an der C:\WINDOWS\RUNDLL32.EXE ist nicht in Ordnung.
Vielleicht findet der <eScan< etwas....
__________________________________________________________________-

#Lade < eScan< erstelle vorher einen Ordner C:\base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

poste, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal
____________________________________________________________________
4.Mache diese Portscanns. und poste die Ergebnisse
http://scan.sygatetech.com/
acht besonders darauf, ob bei Port 16322 was angezeigt wird

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#20 hallo sabrina. kurze frage zum Portscan, den habe ich spaßeshalber mal durchgeführt und habe folgendes als ergebnis

We have determined that your IP address is xx.xxx.xxx.xxx
This is the public IP address that is visible to the internet.
Note: this may not be your IP address if you are connecting through a router, proxy or firewall.


Trying to gather information from your web browser...
Operating System = Windows XP
Browser = Firefox 0.9.3

Trying to find out your computer name...

Unable to determine your computer name!

Trying to find out what services you are running...

Unable to detect any running services!

is das ne gute nachricht

#21 Hi,
ich habe es heruntergeladen von der gelinkten seite, es in den c:/base ordner getan und geöffnet (war eine mwav.exe, dann hat er was in ein temp verzeichnis ungezippt und nun hat er sich von selbst geöffnet, was soll ich machen? weil es ist ein fenster mit sachen zum anhacken bzw. nicht anhaken..... (da stand irgendwas davon, dass registriegungsfiles widerherrgestellt werden, wird da auch etwas , wo ich mal dabei war, also registriert, das aber nicht mehr habe auch "wieder"-registriert? war dieses fenster, was sich selbst öffnete das, was ich überhaupt bedienen sollte?! also die kavupd. datei?! ich werds durchchecken lasssen, wenn ich die optionen weiß, trotzdem thx, mfg,
Rada

#22 @RadauthaR
Suche mal die <kavupd.exe< , (um den eScan per DOS auf den aktuellsten Stand zu bringen )mit der Suchfunktion von Windows.
(Sie muesste eigentlich in C:\base sein, wenn du den Ordner erstellt hast.
die mwav.exe ist der eigentliche Scanner.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hi,
sie is aber woanders, nämlich im temp ordner, aber anscheinend egal (hast ja gesagt sie kann auch dort sein ) ich führ jetzt mal die update datei (upd ist doch s kürzel für update oder?) aus und mach dann den scan..... (ps: findet sich in meiner log file vom jack kein dso?!! pps: manchmal hab ich wenn ich strg.+alt+entfernen drück da bei den programmen auch die rundll dabei (steht zwa nich 32 dabei....) und die wenn ich schließ über task beenden, dann reagiert sie immer nicht...... hilft des vielleicht weiter?! und kann man nun herausfinden, was der dso schon gemacht hat? mfg,
Rada

#24 @RadauthaR
es gibt verschiedene Exploids, der klassische ist ein Bug von Spybot.
Es gibt aber auch Viren, die in der Registry Veraenderungen vornehmen.
Das wirst du mit dem Scann von mwav.exe herausfinden.
(hoffentlich auch, was <C:\WINDOWS\RUNDLL32.EXE< los ist

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hi,
gut, ich habe den "Dso Exploit" laut der analyse von spybot s&d..... und (wegen der in einem meiner vorherigen posts beschriebenen tatsachen) ich glaue, ich hab auch irgendwas oben...... die analyse beim escan ergab folgendes:

File C:\Spiele\SIERRA\HELLFIRE\hf101.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
(das ist eine patch für ein spiel ; Hellfire, das Diablo 1 Zusatzpack super Spiel ) ich denk (bin nicht mehr 100% sicher) ich hab die von der offizielen seite (sonst hab ich sie von einer "fanseite"

File C:\Zeugs\Top Secret\GAGS\JAHR_2000_TEST.EXE infected by "not-virus:Joke.Win32.Y2KChecker" Virus. Action Taken: File Renamed.
das ist eine "scherzdatei" aber bei bedarf lösch ich sie sofort ^^

File C:\Zeugs\Top Secret\GAGS\45Magnum.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken.
auch ne 2scherzdatei" wobei die ziemlich lustig ist,..... wenns geht möcht ich die behalten ^^

File C:\Zeugs\Top Secret\GAGS\Gehalt1.exe tagged as not-a-virus:Joke.Win32.Opros. No Action Taken.
auch ne "scherz" datei...... kein prob. die zu löschen ^^


ich hoffe dieser escan hatte meinen ganzen pc gescannt (also die ganze 1.te festplatte und die kleine 2.te....) und ich hoffe diese "not-a-virus" sachen schaden mir nicht... aber anscheinend ist das was kniffliges an meinen pc, oder?! mfg,
Rada

#26 Hallo Sabina,

kann ich Dich noch einmal um Unterstützung bitten ?
Wir fiixen gerade den Laptop meines Vaters.

ISDN über Teldat 120
AV Personal Edition Guard und Antivir
Spybot
Regcleaner
MS XP mit SP2 (Antivir und Firewall, keine Auto-Updates)
Firefox ist inzwischen installiert, temp dateien und der andere temporäre Roddel
sind gelöscht, die Dienste mittels XP-Antispy plus eigener Eingriffe ab- oder umgestellt.

ansonsten den Anleitungen wie für mich gefolgt, allerdings hat
escan keine updates im DOS geladen, da keine "k...exe" Datei gefunden
wurde....haben das scan im abgesicherten Mode dann so laufen lassen.



Anbei das aktuelle Log file / escan report / Sygate port check



Logfile of HijackThis v1.98.2
Scan saved at 21:25:27, on 30.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E367894-2A6A-4038-B153-5023AC105603}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{752AF2E5-4036-4EB8-85A1-EB776835565B}: NameServer = 192.168.121.252,192.168.121.253


escan:

Mon Aug 30 21:12:26 2004 => Total Number of Files Scanned: 45908
Mon Aug 30 21:12:26 2004 => Total Number of Virus(es) Found: 3
Mon Aug 30 21:12:26 2004 => Total Number of Disinfected Files: 0
Mon Aug 30 21:12:26 2004 => Total Number of Files Renamed: 0
Mon Aug 30 21:12:26 2004 => Total Number of Deleted Files: 3
Mon Aug 30 21:12:26 2004 => Total Number of Errors: 5
Mon Aug 30 21:12:26 2004 => Time Elapsed: 00:40:46


Sygate port stealth check:

NetBIOS 139 CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.
HTTPS

Server Message Block 445 CLOSED

This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities.


So, das wars was ist über HiJack zu fixen, was machen wir wegen der Ports
und was ggf darüber hinaus ?

Vielen Dank für Deine weitere Mühe auch von meinem alten Herrn.

Gruß

mr.knister

#27 Hallo @mr. knister

Mit dem neusten WindowsUpdate und SP2 muesste die XP-Firewall automatisch aktiviert sein.
Deshalb sind die Ports auch geschlossen,
Du kannst aber auch unter <Dienste<folgendes deaktivieren :

TCP/IP-NetBIOS-Hilfsprogramm
Starttyp-Empfehlung: Deaktiviert
"Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung."
Hinweis: Für die meisten Netzwerkverbindungen nicht erforderlich, und zugleich ein potentielles Sicherheitsproblem. Sollten nach dieser Einstellung Netzwerkprobleme auftauchen, Einstellung zurücksetzen

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
_______________________________________________________________


ODER


Alternativen zum Deaktiveren von microsoft-ds

[von: Torsten Mann]

Da eine Deaktivierung von microsoft-ds tief in das System eingreift und es wahrscheinlich ist, daß hierdurch Probleme entstehen können, verfolgt das Script einen anderen Weg. Es wird hierbei Direct-SMB mittels dem Registry-Eintrag

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000

deaktivert. Dieser Schlüssel ist standardmäßig nicht vorhanden und muß daher angelegt werden. Hierbei bleibt Netbios-Funktionalität erhalten, Port 445 wird dennoch geschlossen. Diese Methode ist der aus 6.1 vorzuziehen und wird vom Skript "svc2kxp.cmd" verwendet.
http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Vielen Dank,

wird gemacht - sonst alles i.O. (da keine weiteren Hinweise) ?

Gute Nacht

mr.knister

#29 Hallo @mr. knister
das wuerde ich aus dem Autostart nehmen.
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
Start<Ausfuehren<msconfig, letzter Reiter (Autostart) das Haeckchen rausnehmen und neustarten,

Bei Bedarf...umgekehrte Prozedur.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Hi,
@sabine:
was muss ich jetzt machen, nachdem der escan die 4 obengenannten dateien angezeigt hat?! mfg,
Rada

ps: hab grad in nem anderen thread hier über den dso gelesen, die seite wo man ausprobieren kann, ob man noch anfällig ist.... das wenn man anfällig ist, dass dann der taschenrechner aufgemacht wird.... bei mir kam stattdessen eine norton meldung:
sie können beruhigt weiterarbeiten, norton anti virus (glaub ich wars, irgendein norton...) hat ein problem behoben:
C:\WINDOWS\Temporary Internet Files\Content.IE5\0TQRODER\simplebind[1].htm

heißt des, der is jetzt weg?! mfg,
Rada