Home » Spyware & Browser Hijacker Support Forum » DSO Exploit - wieder mal ... » Themenansicht

DSO Exploit - wieder mal ...
#0
27.08.2004, 09:23
Triniaaby
...neu hier

Beiträge: 2
#1 10.20
Sorry, ich hab jetzt auch endlich geschnallt, dass es ein Bug ist ... bitte trotzdem sicherheitshalber um Durchsicht des Logs. DANKE!


9.37
Hallo,

entschuldigt bitte den ungefähr 1000. Eintrag zum selben Thema, aber trotz Durcharbeitung aller möglichen Threads kriege ich den DSO-Exploit nicht weg.
Ich benütze seit ca. 2 Monaten den Firefox, davor aber den IE und deshalb noch immer Probleme.
Installiert sind: Ad-Aware, Spybot, HijackThis, CWShredder, RegCleaner, SpySweeper, SpywareGuard. Außer Spybot findet keiner mehr etwas, lt. der HijackThis-Website ist mein Log ok., aber Spybot findet den DSO immer wieder ....

Hier das aktuelle Log-File und gleich mal vielen Dank für die Hilfe!!!!

Logfile of HijackThis v1.98.2
Scan saved at 09:22:38, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Esel2000\Esel2000.exe
C:\WINDOWS\System32\RUNDLL32.EXE
d:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
D:\Programme\ANTI-Spyware\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ANTI-Spyware\SpywareGuard\sgbhp.exe
D:\PROGRA~1\MICROS~1\Office10\OUTLOOK.EXE
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\PROGRA~1\MICROS~1\Office10\OUTLOOK.EXE
D:\Firefox\firefox.exe
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader 6.0.1\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Programme\ANTI-Spyware\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [IW Controlcenter] d:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Esel2000] "D:\Programme\Esel2000\Esel2000.exe" -t
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /1
O4 - Startup: SpywareGuard.lnk = D:\Programme\ANTI-Spyware\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
Dieser Beitrag wurde am 27.08.2004 um 10:20 Uhr von Triniaaby editiert.
Seitenanfang Seitenende
27.08.2004, 12:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @Triniaaby

Du solltest das Eselchen (nach jedem Gebrauch) aus dem Autostart nehmen:
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Esel2000] "D:\Programme\Esel2000\Esel2000.exe" -t

#und die WindowsUpdates machen (!) ...falls keine cdkey da ist, alles ausser SP2
#und den IE aktualisieren(keine cdkey notwendig)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

mfg
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.08.2004 um 12:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.08.2004, 16:52
mr. knister
Member

Beiträge: 11
#3 Moin,
ich habe mich justament hier regitrieren lassen, nachdem ich via Google
(Stichwort DSO Exploit) auf dieses interssante Forum gestoßen bin.

O.K. die wiederholte Anzeige ist ein Bug, daß habe ich nach eifrigem Lesen
verstanden, aber ich würde gerne mein Log file grundsätzlich checken lassen,

Bisher habe ich immer über T-Online als Provider mit deren Browser gesurft.
Gestern habe ich nach Installtion des SP2 für XP auf den IE gewechselt.
Ich weiß nicht ob das wichtig ist:
TDSL Wireless Lan (Sinus 154 Modem - Firewall ein)
mit 128 bit WEP (Lan Karte supportet kein WPA) und MAC Authentifizierung
XP SPII Firewall u.a. aktiviert
AntiVir (Guard aktiviert)
Spybot, Ad Aware & Easy Cleaner werden von Zeit zu Zeit verwendet

Vielleicht gibt es etwas was die Scanner noch nicht entdeckt haben und ggf. Tips ob die o.g. Programme o.k. sind bzw. was alternativ / noch zu tun ist.

Hoffentlich wird es nicht so schlimm......Danke schon einmal im Voraus

Logfile of HijackThis v1.98.2
Scan saved at 16:25:23, on 27.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\OPLIMIT\ocrawr32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\T-Online\ISDNSP~1\TomCat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Teledat\IWatch.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\PROGRAMME\DOWNLOADS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-com.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {57CBF0B6-0ABA-4779-BC21-699BD584010A} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\PowerPDF Professional\pwrpdfsrv.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\TomCat.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093475199019
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F555CE-27A5-49D8-9015-25EFE5221B83}: NameServer = 192.168.121.252,192.168.121.253
O18 - Filter: text/html - {16EBBEE2-1602-4F2C-8BFE-94BFC2E39088} - (no file)
O18 - Filter: text/plain - {16EBBEE2-1602-4F2C-8BFE-94BFC2E39088} - (no file)


Schönes Wochenende, Gruß

Mr. Knister
Seitenanfang Seitenende
27.08.2004, 18:21
Triniaaby
...neu hier

Themenstarter

Beiträge: 2
#4 Danke Sabina, aber muss ich den IE updaten, wenn ich ihn doch gar nicht verwende???
Seitenanfang Seitenende
27.08.2004, 18:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5

Zitat

Triniaaby postete
Danke Sabina, aber muss ich den IE updaten, wenn ich ihn doch gar nicht verwende???
Ja, das solltest den IE dennoch updaten
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.08.2004 um 18:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.08.2004, 18:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo @mr. knister

fixe, dann neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {57CBF0B6-0ABA-4779-BC21-699BD584010A} - (no file)

O18 - Filter: text/html - {16EBBEE2-1602-4F2C-8BFE-94BFC2E39088} - (no file)
O18 - Filter: text/plain - {16EBBEE2-1602-4F2C-8BFE-94BFC2E39088} - (no file)

neustarten

1.)Loesche unter <Internetoptionen die TemporaryInternetfiles (auch Offline)
2.) Loesche die Temporary-Ordner
Start<Ausfuehren<%temp%
3.#Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und:postest du mir alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.08.2004 um 18:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.08.2004, 23:00
Raddeleted
zu Gast
#7 Hallo,
bin das erste mal hier und kenn mich mit dem ganzen noch nicht sooo aus..... trotzdem mächt ich gern mal fragen ob mir jmd. helfen kann, den ich hab den dso exploit auch.... ;) und der spybot s&d findet den zwar, kann ihn sogar entfernen, ist aber gleich danach wieder da...... was muss ich da machen? weiß des zufällig jmd.? und was macht dieser dso eigtl.? wäre für hilfe sehr dankbar...
außerdem wollt ich noch fragen, ob es zufällig eine neue kampagne von irgendwelchen spaßvögeln gibt, die per email andere inet user verarschen wollen...? (kann mich nämlich nicht daran errinnern mir selbst eine email mit dem betreff "Warnung Hacker (oder so ähnlich) geschickt zu haben) wisst ihr zufällig etwas über solche mails?! mfg,
Rada
Dieser Beitrag wurde am 27.08.2004 um 23:03 Uhr von RadauthaR editiert.
Seitenanfang Seitenende
27.08.2004, 23:09
Cidre
Member

Beiträge: 441
#8 @ RadauthaR

Zitat

und was macht dieser dso eigtl.
Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot.

Zur weiteren Analyse:
Erstelle ein Log-File mit HiJackThis
und poste es hier rein.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 27.08.2004 um 23:10 Uhr von Cidre editiert.
Seitenanfang Seitenende
28.08.2004, 13:21
mr. knister
Member

Beiträge: 11
#9 Hallo Sabina,

Danke noch einmal für die schnelle und kompetente Hilfe.
Ich bin den - leicht verständlichen Anweisungen gefolgt
und hier ist das e-scan Log File aus dem abgesicherten Modus:

Sat Aug 28 12:25:55 2004 => Total Number of Files Scanned: 106212
Sat Aug 28 12:25:55 2004 => Total Number of Virus(es) Found: 7
Sat Aug 28 12:25:55 2004 => Total Number of Disinfected Files: 0
Sat Aug 28 12:25:55 2004 => Total Number of Files Renamed: 0
Sat Aug 28 12:25:55 2004 => Total Number of Deleted Files: 3
Sat Aug 28 12:25:55 2004 => Total Number of Errors: 1
Sat Aug 28 12:25:55 2004 => Time Elapsed: 01:04:51


das escn log aus dem Normalmodus

Sat Aug 28 13:00:45 2004 => Total Number of Files Scanned: 60583
Sat Aug 28 13:00:45 2004 => Total Number of Virus(es) Found: 2
Sat Aug 28 13:00:45 2004 => Total Number of Disinfected Files: 0
Sat Aug 28 13:00:45 2004 => Total Number of Files Renamed: 0
Sat Aug 28 13:00:45 2004 => Total Number of Deleted Files: 0
Sat Aug 28 13:00:45 2004 => Total Number of Errors: 1
Sat Aug 28 13:00:45 2004 => Time Elapsed: 00:30:03

Es sind weniger files gescannt weil dasProgramm irgendwann wieder von vorne
anfing und identische Viren reportete.
Gelöscht wurden 3 Trojaner
Die 2 die im Normalmodus noch angezeigt werden, sind zwei mir bekannte "Joke" Programme.


Ich war doch unangenehm überrascht, wo sich noch Sachen versteckten, trotz der diversen Anti Viren Programme etc.
Um so besser, daß diese identifiziert und beseitigt werden konnten.

Hier also das atuelle HiJack Log file - ich hoffe sauber:

Logfile of HijackThis v1.98.2
Scan saved at 13:04:33, on 28.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\TomCat.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\OPLIMIT\ocrawr32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\PROGRAMME\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-com.de
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\TomCat.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093475199019
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4F555CE-27A5-49D8-9015-25EFE5221B83}: NameServer = 192.168.121.252,192.168.121.253


Noch mals besten Dank für den support - werde Euch weiterempfehlen !

Tschüß

Mr.Knister

P.S. ich habe jetzt die Order base (selber erstellt) und Bases (nach dem update generiert wire ich annehme) auf C: Kann ich diese z.B. unter
"Meine Dateien" / Programme / AntiVir verschieben, oder müssen die bkleiben wo sie sind ?
Seitenanfang Seitenende
28.08.2004, 17:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @mr. knister
Das Log ist sauber ;)
Nun gibt es noch folgendes zu beachten:

1.Aendere eventuell vorhandene passworte
2.Lade den Browser <Firefox< und surfe nur mit ihm
http://www.firebird-browser.de/
3. Ueberpruefe, welche Dienste du aus Sicherheitsgruenden deaktivieren kannst
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
http://www.zdnet.de/z/itmanager/0,39023861,2103873-3,00.htm
zurueck---weiter
4. Mache einen Portscann-Online-check und poste das Resultat.
http://scan.sygatetech.com/
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 17:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.08.2004, 19:01
mr. knister
Member

Beiträge: 11
#11 N'abend allerseits, hallo Sabina,

Jubel ;-)

and here are the votes of the German Jury, äh sorry,
das log des sygat scans:

Your system ports are now being scanned and the results will be returned shortly...
Results from stealth scan at TCP/IP address: 80.138.100.52

Ideally your status should be "Blocked". This indicates that your ports are not only
closed, but they are completely hidden (stealthed) to attackers.

Service Ports Status Additional Information

FTP DATA 20 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

FTP 21 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

SSH 22 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

TELNET 23 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

SMTP 25 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

DNS 53 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

DCC 59 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

FINGER 79 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

WEB 80 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

POP3 110 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

IDENT 113 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

NetBIOS 139 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

HTTPS 443 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

Server Message Block 445 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

SOCKS PROXY 1080 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

SOURCE PORT 1360 BLOCKED This is the port you are using to communicate to our Web Server. A firewall that uses Stateful Packet Inspection will show a 'BLOCKED' result for this port.

WEB PROXY 8080 BLOCKED This port has not responded to any of our probes. It appears to be completely stealthed.

You have blocked all of our probes! We still recommend running this test both with
and without Sygate Personal Firewall enabled... so turn it off and try the test again.


Firefox Browser downloaden klappt nicht:
entweder wird die W-Lan Verbindung super laaaaangsaaaam
oder das Progamm (t-online) reagiert gar nicht mehr (task manager)
oder es kommt die Meldung, daß keine Verbindung zum Server aufgebaut
(download manager) werden kann.....versuche es später noch einmal.

Soweit - so gut, hoffe ich.

Besten Dank für die Hilfe.

Mr. Knister
Seitenanfang Seitenende
28.08.2004, 19:16
Raddeleted
zu Gast
#12 Hi Leute,
ich hätte mal den hijackthis runtergeladen, aber weder mit hijackthis.exe noch mit pruefung.com geht der...... wahrscheinlich irgendwie von so nem virus o.ä. manipuliert oder?!!!! also z.b. a² zu installieren ging zwar aber auch dort konnt ich das nicht beenden, weil er dann immer nimmer reagiert hat. aber im gegensatz dazu gibts beim hijackthis eine fehlermeldung:
Die erforderliche DLL-Datei MSVBVM60.DLL wurde nicht gefunden.
oder könnte des nen anderen grund habem?
@cidre:
danke für die info, aber ich wollte eigtl. wissen, was der dso macht.... also, beim spybot steht dort 1 entrie, und soweit mich meine englischkenntnisse nicht trügen, heißt das ein eingang..... macht der nen eingang vom inet auf meinen pc?
zu der email von mir kann keiner was sagen, oder?!

mfg,
RadauthaR
Seitenanfang Seitenende
28.08.2004, 21:35
Cidre
Member

Beiträge: 441
#13 @ RadauthaR

Zitat

Die erforderliche DLL-Datei MSVBVM60.DLL wurde nicht gefunden.
Das liegt daran, daß die Visual Basic 6.0-Laufzeitdateien bei dir nicht installiert sind. Abhilfe: http://support.microsoft.com/default.aspx?scid=kb;de;192461

Zitat

danke für die info, aber ich wollte eigtl. wissen, was der dso macht.... also, beim spybot steht dort 1 entrie, und soweit mich meine englischkenntnisse nicht trügen, heißt das ein eingang..... macht der nen eingang vom inet auf meinen pc?
Ich hatte es bereits erklärt. Aber hier nochmal was zum lesen:
http://board.protecus.de/t9179.htm
http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci991143_top1,00.html

Zur eMail:
Das könnte von infizierten Rechner stammen, die deine eMail Adresse gespeichert haben.
Wenn du uns trotzdem mal ein Log-File posten würdest, könnte man genaueres sagen.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
28.08.2004, 23:13
mr. knister
Member

Beiträge: 11
#14 @sabina:

dadurch das ich noch t-online e-mail benutzt (da kan ma sich im Gegensatz zu Outlook vorher auswählen welche Mails man abholen will) und damit den Link zum Thread eöffnet habe gab es vermutlich Probs mit dem firefox download, weil damit der t-online Browser aktiviert wird.
Copy /paste des Links in IE und es funktioniert in Rekordzeit - FF ist mittlerweile als Standard installliert.

Top, die Mühe hat sich gelohnt !

Mr.Knister
Seitenanfang Seitenende
28.08.2004, 23:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 @mr. knister ;)
Danke fuer die Info (fuer andere Hilfesuchende)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 23:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123