Fragen zu Spybot bzw. Hijack-Logfile

#1 Hi Leute,
Spybot zeigt mir seit einiger Zeit 5 EXPLOITS an. Und zwar folgende:
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1957994488-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Daraufhin habe ich Hijack drüberlaufen lassen und einiges gefixt, aber diese Meldungen erscheinen immer noch.

Könnt ihr mir vielleicht helfen bei der Auswertung des Hijack-Logfiles. Wäre euch echt sehr verbunden.

Thanks im voraus!!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\OPLIMIT\ocrawr32.exe
C:\Dokumente und Einstellungen\Cryssl\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ImageFox.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O15 - Trusted Zone: http://v5.windowsupdate.microsoft.com
O15 - Trusted Zone: http://windowsupdate.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112877646500
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Vielen Dank schon mal allen, die sich das anschauen!

#2 Da fehlen die ersten vier Zeilen vom HJT-Log.
Führst Du regelmäßig WindowsUpdates durch? Hast Du das ServicePack 2 installiert?

Nutzt Du statt des IE einen alternativen Browser (sehr zu empfehlen!)?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Den DSO Exploit hatte ich neulich beim Spybot erstaunlicherweise auch wieder. Da gab es vor einiger Zeit mal einen Spybot-Bug, durch welchen dieser immer angezeigt wurde (auch wenn er gar nicht vorhanden war). Zwischendurch wurde das aber eigentlich in den Signaturen gefixt. Welche Spybot Version verwendest du? Ich verwende Spybot S & D Version 1.3
Weiß da jemand konkreter ob das jetzt auch wieder nur der neu aufgetauchte Bug ist? Ich kann mir bei den getesteten Maschinen (es waren mehrere Win XP Kisten) eigentlich sehr sicher sein, dass sie besagten Exploit NICHT haben.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#4 Ich benutze Spybot 1.4RC
http://www.majorgeeks.com/download2471.html
__________
MfG Argus

#5 Ist der mittlerweile 'stable'? Bin noch nicht auf 1.4 umgestiegen, weil es ja immer die Vorab-Version war.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#6 Es ist "stable" und "made in Germany"
http://www.safer-networking.org/de/spybotsd/index.html
__________
MfG Argus

#7 "Made in Germany" ist mir nix neues was Spybot angeht und mir persönlich auch ziemlich egal . Wollte nur wissen ob die 1.4er eben aus der Testphase raus ist (hat man immer wieder von Problemchen gehört).

Jedenfalls danke für die Info, die Veröffentlichung als stabile Version hab ich nämlich gar nicht mitbekommen, war mir deswegen nicht sicher
Werd ich heute abend gleich mal ein paar Rechner damit bestücken, wo zur Zeit noch die 1.3er läuft.

Trotzdem würde mich jetzt noch interessieren, ob noch mehr Leute bei der 1.3er (entnehme deiner Aussage, dass du bei der 1.4er diese Meldung nicht hast) Version auf einmal wieder einen DSO-Exploit haben? Irgendwo muss das ja herkommen *g*
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#8 Ja, die 1.4 laeuft stabil, bis auf einen kleinen Darstellungsfehler beim Teatimer.

Die 1.4 sollte den DSO Eploit auch endgueltig reparieren koennen!
__________
MfG Ralf
SEO-Spam Hunter

#9 Spybot 1.4 läuft zwar stabil hat aber auch bei mir vor 2 Tagen die 5 EXPLOITS
gefunden. Habe dazu etwas im Troyaner-Board gefunden.>

Zitat

Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot.

Mauelle Beseitigung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959
oder
du benutzt ein Tool wie "dsostop":
http://www.nsclean.com/dsostop.html
MfG Merlinx

#10 Auszuschließen! Die Exploits sind auf ALLEN Testrechnern schon lange geschlossen worden, alle MS Patches und speziell der DSO-Exploit Patch sind auf ihnen aufgespielt worden.

Die Lücke ist definitiv nicht vorhanden und dennoch 'erkannt' worden, daher ja meine Vermutung, es könne sich um eine Rückkehr des Bugs handeln.
Vor allem wenn du ihn bei dir auf einmal auch gefunden hast, gibt das nicht zu denken? Denn bei dem DSO-Exploit handelt es sich um eine Lücke die schon sehr, sehr lange auf keinem System mehr zu finden sein sollte (außer vielleicht ein frisch aufgespieltes ...).

Allerdings ist die Sache ja eher eine Lappalie und ich bin dennoch ein freudiger Nutzer von Spybot - empfehle es auch immer gern weiter.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#11 Die Version sollte das "Problem" mit einmaligen bereinigen beseitigen koennen. Das Problem wird auch gemeldet, wenn man schon mal versucht hat das Problem mit einer vorgaenger Version zu loesen!
__________
MfG Ralf
SEO-Spam Hunter

#12 Hey, vielen Dank für eure Beiträge. Ich werde mich mal um ein Update von Spybot bemühen, da ich noch die Version 1.3 verwende.

Zu Managors Fragen: ich verwende eigentlich nur das Mozilla-Füchsen zum surfen und mache eigentlich auch regelmäßig meine Updates drauf. SP2 ist drauf und auch die letzten Updates.
Hier sind die ersten Zeilen des Log-files, wußte nicht, dass die wichtig sind für die Auswertung. Muss ich eigentlich einige der Sachen aus dem Logfile fixen?

Thx for your help!!

CrisX

Logfile of HijackThis v1.99.1
Scan saved at 22:49:46, on 23.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

#13 Nein, dein Logfile ist/war sauber.

Ich tendiere bei diesem DSO-Exploit zu einem Fehlalarm von Spybot (so wie bei meinen Testrechnern). Scheint bei dir also alles in Ordnung zu sein.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#14 Vielen Dank für den Check.

Habe mit Spybot 1.4 nochmals gecheckt und die meldungen kommen immer noch.

Sehr seltsam. Ich denke ich werde Hijack nochmals drüberlaufen lassen müssen.

Bis dahin erstmal vielen Dank!!

Grüße

CrisX

#15 Systemwiederherstellung deaktivieren>Arbeitsplatz>rechte Maustaste>Eigenschaften>Systemwiederherstellung deaktivieren.Dann mit
Spybot 1.4 die Exploits löschen. Neustart des Systems.
Danach wieder Systemwiederherstellung aktivieren.Hat bei mir so geholfen.
MfG Merlinx