Mal wieder DSO Exploit

#0
10.09.2004, 11:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 @BenediktF

#DSOstop2 information
(Exploit-Eintraege vom Spybot)
http://www.nsclean.com/dsostop.html

surfe nicht mit dem IE
#Mozilla
Für Mozilla gibt es leider mittlerweile auch mehrere Exploits, weil die Hacker gemerkt haben, dass viele umgestiegen sind. Also erst Mozilla installieren
http://mozilla.kairo.at/
und dann die Mozilla Prefbar
http://prefbar.mozdev.org/
Auf der prefbar kann man dann verschiedene checkboxen einrichten. Bei mir sind es Popups, Javascript und Cookies. Im normalen Betrieb auf sicheren Seiten ist alles deaktiviert und durch drücken von F8 verschwindet die prefbar. Wenn eine Seite wirklich eines der drei Elemente benötigt drücke ich F8 und stelle ein was ich brauche. So muss man nicht immer in die Preferences wechseln was auf Dauer nicht durchzuhalten ist. So ist das superbequem.
Bei aktiviertem Javascript ist auch Mozilla verwundbar. Noch ein Tipp: Automatic Software Installation auch deaktivieren.

#Windows-Dienste deaktivieren
http://www.dingens.org/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 10.09.2004 um 11:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
10.09.2004, 12:08
Member

Beiträge: 28
#17 @ Cidre

Welche Version war denn das. Ich glaube ich hatte 0.8.0 als alles angefangen hatte. Und dann habe ich den ja neu installiert und hatte die neueste. 0.9.3.
Da das Problem immernoch besteht habe ich jetzt Opera installiert und werde Mozilla deinstallieren.

Ich hatte den Mozilla einfach deinstalliert, alle Dateien dazu, die ich über die Suchfunktion gefunden hatte gelöscht und ihn dann neu installiert. XP habe ich nicht neu installiert.

Danke auf jeden Fall für die Hilfe.

Viele Grüße,
Betty
Seitenanfang Seitenende
17.10.2004, 22:35
...neu hier

Beiträge: 2
#18 Hallo!

Auch ich hab einen DSO - Exploit und Spybot findet es immer wieder.
Wäre wirklich nett, wenn mal jemand mein Log file überprüfen könnte, weil ich werd diesen Exploit einfach nich los ;)
Vielen Dank schon mal!
Hier mein Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 16:57:34, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\System32\TFNF5.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\INCRED~1\bin\IncrediMail.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\PROGRA~1\MICROS~2\Office10\WINWORD.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\wuauclt.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncrediMail.exe /c
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097702036875
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4D667A-7C40-4F55-8D96-06A4622C3E96}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0C37B27-5C9E-449E-82C2-03FADB89E03C}: NameServer = 192.168.1.1
__________
Friends are angels who lift us to our feet when our wings have trouble remembering how to fly.
Dieser Beitrag wurde am 17.10.2004 um 22:39 Uhr von Dana_ editiert.
Seitenanfang Seitenende
18.10.2004, 13:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Hallo @Dana_

oeffne das HijackThis, hake an, was ich schreibe, druecke auf <fix< und starte den PC neu

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Recycle Bin
#Temporary Files

#Loesche:
c:\explorer.cab <--diese Datei
__________________________________________________________________
Spybot Search & Destroy\ DSO Exploit
http://www.trojaner-board.de/showpost.php?p=70985&postcount=6
Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot.
Mauelle Beseitigung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959
oder
du benutzt ein Tool wie "dsostop":
http://www.nsclean.com/dsostop.html

#Spywareblaster..vor alle Eintraege ein Haekchen setzen und <protect<
http://www.javacoolsoftware.com/sbdownload.html

#Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.10.2004 um 13:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.10.2004, 20:11
...neu hier

Beiträge: 2
#20 Hallo Sabina!

Vielen Dank für deine Hilfe. Ich werde das gleich mal machen, was du gesagt hast.
LG, Dana
__________
Friends are angels who lift us to our feet when our wings have trouble remembering how to fly.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: