Fragen zu Spybot bzw. Hijack-Logfile

#0
23.08.2005, 23:38
...neu hier

Beiträge: 3
#1 Hi Leute,
Spybot zeigt mir seit einiger Zeit 5 EXPLOITS an. Und zwar folgende:
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1957994488-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Daraufhin habe ich Hijack drüberlaufen lassen und einiges gefixt, aber diese Meldungen erscheinen immer noch.

Könnt ihr mir vielleicht helfen bei der Auswertung des Hijack-Logfiles. Wäre euch echt sehr verbunden.

Thanks im voraus!!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\OPLIMIT\ocrawr32.exe
C:\Dokumente und Einstellungen\Cryssl\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ImageFox.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O15 - Trusted Zone: http://v5.windowsupdate.microsoft.com
O15 - Trusted Zone: http://windowsupdate.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112877646500
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Vielen Dank schon mal allen, die sich das anschauen!
Seitenanfang Seitenende
24.08.2005, 02:48
Member
Avatar Gool

Beiträge: 4730
#2 Da fehlen die ersten vier Zeilen vom HJT-Log.
Führst Du regelmäßig WindowsUpdates durch? Hast Du das ServicePack 2 installiert?

Nutzt Du statt des IE einen alternativen Browser (sehr zu empfehlen!)?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
24.08.2005, 08:05
Member
Avatar Malkesh

Beiträge: 669
#3 Den DSO Exploit hatte ich neulich beim Spybot erstaunlicherweise auch wieder. Da gab es vor einiger Zeit mal einen Spybot-Bug, durch welchen dieser immer angezeigt wurde (auch wenn er gar nicht vorhanden war). Zwischendurch wurde das aber eigentlich in den Signaturen gefixt. Welche Spybot Version verwendest du? Ich verwende Spybot S & D Version 1.3
Weiß da jemand konkreter ob das jetzt auch wieder nur der neu aufgetauchte Bug ist? Ich kann mir bei den getesteten Maschinen (es waren mehrere Win XP Kisten) eigentlich sehr sicher sein, dass sie besagten Exploit NICHT haben.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
24.08.2005, 10:22
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Ich benutze Spybot 1.4RC
http://www.majorgeeks.com/download2471.html
__________
MfG Argus
Seitenanfang Seitenende
24.08.2005, 11:01
Member
Avatar Malkesh

Beiträge: 669
#5 Ist der mittlerweile 'stable'? Bin noch nicht auf 1.4 umgestiegen, weil es ja immer die Vorab-Version war.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
24.08.2005, 11:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Es ist "stable" und "made in Germany"
http://www.safer-networking.org/de/spybotsd/index.html
__________
MfG Argus
Seitenanfang Seitenende
24.08.2005, 11:51
Member
Avatar Malkesh

Beiträge: 669
#7 "Made in Germany" ist mir nix neues was Spybot angeht und mir persönlich auch ziemlich egal ;) . Wollte nur wissen ob die 1.4er eben aus der Testphase raus ist (hat man immer wieder von Problemchen gehört).

Jedenfalls danke für die Info, die Veröffentlichung als stabile Version hab ich nämlich gar nicht mitbekommen, war mir deswegen nicht sicher ;)
Werd ich heute abend gleich mal ein paar Rechner damit bestücken, wo zur Zeit noch die 1.3er läuft.

Trotzdem würde mich jetzt noch interessieren, ob noch mehr Leute bei der 1.3er (entnehme deiner Aussage, dass du bei der 1.4er diese Meldung nicht hast) Version auf einmal wieder einen DSO-Exploit haben? Irgendwo muss das ja herkommen *g*
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
24.08.2005, 12:19
Moderator

Beiträge: 7805
#8 Ja, die 1.4 laeuft stabil, bis auf einen kleinen Darstellungsfehler beim Teatimer.

Die 1.4 sollte den DSO Eploit auch endgueltig reparieren koennen!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.08.2005, 12:39
MerlinX
zu Gast
#9 Spybot 1.4 läuft zwar stabil hat aber auch bei mir vor 2 Tagen die 5 EXPLOITS
gefunden. Habe dazu etwas im Troyaner-Board gefunden.>

Zitat

Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot.
Mauelle Beseitigung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959
oder
du benutzt ein Tool wie "dsostop":
http://www.nsclean.com/dsostop.html
MfG Merlinx
Dieser Beitrag wurde am 24.08.2005 um 12:55 Uhr von Merlinx editiert.
Seitenanfang Seitenende
24.08.2005, 13:55
Member
Avatar Malkesh

Beiträge: 669
#10 Auszuschließen! Die Exploits sind auf ALLEN Testrechnern schon lange geschlossen worden, alle MS Patches und speziell der DSO-Exploit Patch sind auf ihnen aufgespielt worden.

Die Lücke ist definitiv nicht vorhanden und dennoch 'erkannt' worden, daher ja meine Vermutung, es könne sich um eine Rückkehr des Bugs handeln.
Vor allem wenn du ihn bei dir auf einmal auch gefunden hast, gibt das nicht zu denken? Denn bei dem DSO-Exploit handelt es sich um eine Lücke die schon sehr, sehr lange auf keinem System mehr zu finden sein sollte (außer vielleicht ein frisch aufgespieltes ...).

Allerdings ist die Sache ja eher eine Lappalie und ich bin dennoch ein freudiger Nutzer von Spybot - empfehle es auch immer gern weiter.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
24.08.2005, 16:34
Moderator

Beiträge: 7805
#11 Die Version sollte das "Problem" mit einmaligen bereinigen beseitigen koennen. Das Problem wird auch gemeldet, wenn man schon mal versucht hat das Problem mit einer vorgaenger Version zu loesen!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.08.2005, 14:04
...neu hier

Themenstarter

Beiträge: 3
#12 Hey, vielen Dank für eure Beiträge. Ich werde mich mal um ein Update von Spybot bemühen, da ich noch die Version 1.3 verwende.

Zu Managors Fragen: ich verwende eigentlich nur das Mozilla-Füchsen zum surfen und mache eigentlich auch regelmäßig meine Updates drauf. SP2 ist drauf und auch die letzten Updates.
Hier sind die ersten Zeilen des Log-files, wußte nicht, dass die wichtig sind für die Auswertung. Muss ich eigentlich einige der Sachen aus dem Logfile fixen?

Thx for your help!!

CrisX

Logfile of HijackThis v1.99.1
Scan saved at 22:49:46, on 23.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Seitenanfang Seitenende
25.08.2005, 14:54
Member
Avatar Malkesh

Beiträge: 669
#13 Nein, dein Logfile ist/war sauber.

Ich tendiere bei diesem DSO-Exploit zu einem Fehlalarm von Spybot (so wie bei meinen Testrechnern). Scheint bei dir also alles in Ordnung zu sein.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
25.08.2005, 16:46
...neu hier

Themenstarter

Beiträge: 3
#14 Vielen Dank für den Check.

Habe mit Spybot 1.4 nochmals gecheckt und die meldungen kommen immer noch.

Sehr seltsam. Ich denke ich werde Hijack nochmals drüberlaufen lassen müssen.

Bis dahin erstmal vielen Dank!!

Grüße

CrisX
Seitenanfang Seitenende
25.08.2005, 17:18
MerlinX
zu Gast
#15 Systemwiederherstellung deaktivieren>Arbeitsplatz>rechte Maustaste>Eigenschaften>Systemwiederherstellung deaktivieren.Dann mit
Spybot 1.4 die Exploits löschen. Neustart des Systems.
Danach wieder Systemwiederherstellung aktivieren.Hat bei mir so geholfen.
MfG Merlinx
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: