Problem mit DSO-Exploit, was macht der

#181

Zitat

Rockie postete
habe das so wie gesagt gemacht aber irgent wie tauchen die 4 ersten wieder auf .hier nochma das lodfile.

Bist du sicher das du es genau so gemacht hast wie in der Anleitung beschrieben.
Hast du den Escan upgedatet?
Alles wirklich im abgesicherten Modus gefixt?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#182 Hallöchen Wollte einfach mal, dass sich jemand das noch anschaut. Habe schon selbst zweimal alles durchgeschaut, aber alleine übersieht man ja schnell etwas
LG
Bainiel

--------------

Logfile of HijackThis v1.98.0
Scan saved at 12:44:04, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\LiteStep\litestep.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\uptime\client.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\mysql\bin\mysqld-nt.exe
C:\mIRCa\mirc.exe
C:\Programme\SecureCRT\SecureCRT.EXE
C:\Programme\SecureCRT\Activator.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
C:\lighti\AnGeL.exe
C:\PROGRA~1\MOZILLA\MOZILLA.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\winmine.exe
C:\WINDOWS\explorer.exe
C:\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.siebiz.de/wbboard4/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.fh-merseburg.de/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.fh-merseburg.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {397D7D63-816E-4ECF-8761-775C932C5CF1} - C:\WINDOWS\iDonate.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\uptime\client.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab
__________
Der Unterschied zwischen Sein und Schein liegt nicht in den zwei Buchstaben, sondern in der Gunst des Augenblicks.

#183 Hallo Leute,

ich habe auch das Problem DSO Exploit.
Ich habe mir schon einiges durchgelesen, was hierzu gepostet wurde, mein zweites Problem ist aber dass ich die Hälfte davon nicht verstehe, da ich leider mit der Computersprache nicht wirklich bewandert bin. Vielleicht könnte mir aber trotzdem bitte jemand helfen, sagt mir was ihr braucht und wo ich es finde und ihr bekommt es.

Spybot habe ich schon heruntergeladen und durchlaufen lassen aber das Kerlchen lässt sich nicht entfernen und um ihn manuell zu entfernen bräuchte ich eine Anleitung, die sogar ich verstehe und ich möglichst nichts kaputt machen kann.
Was sich auch nicht entfernen lässt ist ein Dialer, der kommt immer und immer wieder.

Das wäre ganz ganz lieb

Grüße Babs

#184 @Baniel

Dieser Prozess "C:\WINDOWS\system32\winmine.exe" sieht nach Trojaner aus
Links dazu
http://securityresponse.symantec.com/avcenter/venc/data/w32.chainsaw.worm.html
http://vil.nai.com/vil/content/v_99132.htm

Hast du dieses absichtlich installiert
O2 - BHO: (no name) - {397D7D63-816E-4ECF-8761-775C932C5CF1} - C:\WINDOWS\iDonate.dll
Scheint zumindest fragwürdig zu sein

Ich würde mal EScan laden und überprüfen lassen.
http://www.rokop-security.de/board/index.php?showtopic=3867


@babs
poste mal das HiJackThis logfile
http://hjt.klaffke.de/
Da sieht man dann was los ist

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#185 So hier ist nun der logfile, vielleicht könnt ihr was damit anfangen ich leider nicht.

Was macht denn nun das Kerlchen da bei mir???

Logfile of HijackThis v1.98.0
Scan saved at 16:45:02, on 21.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\NORTON~3\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Steve-Babsi\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {2AAB5D4D-4E5F-49FD-AEEF-59DDBA7D41B5} - C:\WINDOWS\System32\fndnl.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//bd/main.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://petite-virgins.biz/dl/adv74/x.chm::/load.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O18 - Filter: text/html - {9BE5E9BE-7136-4414-8288-A94209ED483D} - C:\WINDOWS\System32\fndnl.dll
O18 - Filter: text/plain - {9BE5E9BE-7136-4414-8288-A94209ED483D} - C:\WINDOWS\System32\fndnl.dll

Vielen Dank

#186 @Babs

Bitte lade dir ESCAN
Entpacken und updaten wie angegeben

Geh in den Abgesicherten Modus

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\STEVE-~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
2 - BHO: (no name) - {2AAB5D4D-4E5F-49FD-AEEF-59DDBA7D41B5} - C:\WINDOWS\System32\fndnl.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//bd/main.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://petite-virgins.biz/dl/adv74/x.chm::/load.exe
O18 - Filter: text/html - {9BE5E9BE-7136-4414-8288-A94209ED483D} - C:\WINDOWS\System32\fndnl.dll
O18 - Filter: text/plain - {9BE5E9BE-7136-4414-8288-A94209ED483D} - C:\WINDOWS\System32\fndnl.dll

Dann mit EScan scannen wie oben abgegeben

Dann normalen neustart machen und nochmal Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#187 @ paff

*g* die winmine.exe ist das normal Minesweeper von Windows.. mir war vorhin fad, deswegen lief es wohl noch im HG als ich das Log erstellen ließ

Zitat

Hast du dieses absichtlich installiert
O2 - BHO: (no name) - {397D7D63-816E-4ECF-8761-775C932C5CF1} - C:\WINDOWS\iDonate.dll
Scheint zumindest fragwürdig zu sein

Das scheint von einem alten Programm zu stammen, das seit.. öhm.. ka wann nicht mehr läuft *g* *Fix*

EScan: (Gott, der hat ja ewig gedauert. Anderthalb Stunden..)
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
File C:\Dokumente und Einstellungen\Thia.PC03\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FBPR75SG\simplebind[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thia.PC03\Anwendungsdaten\Mozilla\Profiles\default\k8wwl7nd.slt\Cache\EFEED8D0d01 tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Dokumente und Einstellungen\Thia.PC03\Anwendungsdaten\Mozilla\Profiles\default\k8wwl7nd.slt\Cache\A3292A70d01 tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Dokumente und Einstellungen\Thia.PC03\Eigene Dateien\blubb\fiRC\FI-irc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP182\A0023812.exe tagged as not-a-virus:RiskWare.mIRC.6.01. No Action Taken.
File C:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP182\A0023813.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP219\A0027178.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Eigene Dateien\hIRC003aPRE.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Eigene Dateien\hIRC004a.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Eigene Dateien\Textdateien\eicar.com.txt infected by "EICAR-Test-File" Virus. Action Taken: File Renamed.
File C:\Eigene Dateien\Zips\text.rar infected by "EICAR-Test-File" Virus. Action Taken: File Deleted.
File C:\Eigene Dateien\exe\clad.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Eigene Dateien\exe\DocTorScript_v0.11Final.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Eigene Dateien\exe\Matrix.exe tagged as not-a-virus:RiskWare.mIRC.5.7.1. No Action Taken.
File C:\Eigene Dateien\exe\fiRC.v1.0.final.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Eigene Dateien\exe\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Eigene Dateien\IRCs\XiRC10B4.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Eigene Dateien\IRCs\RaftermanScript_7_0_Setup.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Eigene Dateien\IRCs\HS-22-final.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File C:\Atlantis\Atlantis.exe tagged as not-a-virus:RiskWare.mIRC.6.01. No Action Taken.
File C:\LiteStep\utilities\UpdateBuild.exe tagged as not-a-virus:AdvWare.MetaDirect.b. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP201\A0025132.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP201\A0025365.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP201\A0025369.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP201\A0025370.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP201\A0025393.exe tagged as not-a-virus:RiskWare.mIRC.6.01. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP201\A0025412.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP201\A0025428.exe tagged as not-a-virus:RiskWare.mIRC.5.7.1. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP222\A0027516.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP222\A0027538.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP222\A0027544.exe tagged as not-a-virus:RiskWare.mIRC.5.7.1. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP222\A0027560.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP222\A0027564.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP222\A0027565.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP253\A0029973.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\System Volume Information\_restore{029F48CA-9845-4066-A012-4178917A8F13}\RP253\A0029983.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
__________
Der Unterschied zwischen Sein und Schein liegt nicht in den zwei Buchstaben, sondern in der Gunst des Augenblicks.

#188 @Bainiel

Du sollest einfach mal die Systemwiederherstellung von XP deaktivieren

Dann neustart machen

Danach kannst du Sie wieder aktivieren

Plus mal die temporären Internetfiles löschen sowohl vom IE als auch vom Mozilla
Dann bleiben nur noch diese übrig
C:\WINDOWS\autoload.exe Die würde ich einfach löschen

Alles unter
C:\Eigene Dateien\
Dafür bist du selber verantwortlich
Ich nehme an du weißt was du da hast.

Also mach was oder lass es

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#189 Dieses ding macht mich wahnsinnig. Ständig werden meine Interneteinstellungen verändert und irgendein Proxyeinstellung wird angezeigt. Ich denke, das hängt mit diesem DSO Exploit zusammen, den Spybot gefunden hat. Hijackthis zeigt folgendes an:
Logfile of HijackThis v1.98.0
Scan saved at 17:32:47, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\runwin32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sandra\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Remote Packet Capture Protocol v.2.0] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [Plug and Play] C:\WINDOWS\wininet32.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Kann mir da jemand weiterhelfen?
Danke, pearly

#190 Hallo habe auch ein dso exploit problem entdeckt.
der hijackthis 1.98.0 hat folgende einträge gefunden.
muß ich da was entfernen oder ist das nur was harmloses?
wer kann mir helfen?
g.Paul

#191 @pearly

Nix DSO

DU MUßT GANZ DRINGEND DEIN WINDOWS UPDATEN!!!!!!!!!!!!!!
www.windowsupdate.com


Bitte im abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

Fixe dies in HiJackThis (ankreuzen FixChecked drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz

O4 - HKCU\..\Run: [Remote Packet Capture Protocol v.2.0] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [Plug and Play] C:\WINDOWS\wininet32.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?

Dann neustart machen und nochmal logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#192 ... so nun nochmal mit dem auszug!


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{6991B455-29F1-4F6F-BC28-5B3F5C3558AB}: NameServer = 194.8.194.60 213.168.112.60

#193 @ALLE

NOCH MAL ZUM MITSCHREIBEN

DSO EXPLOIT
hier anschauen
http://board.protecus.de/t11347.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#194 hi... ich habe das gleiche dso exploit problem. kann einer von euch das anschauen und mir weiter helfen.

Logfile of HijackThis v1.98.0
Scan saved at 22:08:02, on 24.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ICQ\Icq.exe
C:\T-Online\Browser\Browser.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programme\Grisoft\AVG7\avgcc.exe
C:\Dokumente und Einstellungen\Thuy Kieuchen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [C-Media Speaker Configuration] H:\driver\xp-2k-me\drv\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

dankkkkkkkeeeeeeeeee schon mal imvorausssssssss

#195 hallo leute. bin neu hier. beschäftige mich hauptzeitlich-kurz nonstop- mit computern. die hartnäckige beschäftigung mit sicherheitproblemen zeigt früchte. ich grase jeweils alle möglichen quellen ab.
heute finde ich euer interessantes forum. aber mal ehrlich: was in diesem tread abläuft ist das reinste chaos. in anderen sicherheitsforen wird darauf hingewiesen das jeder ein anderes thread(frage) aufmachen soll. wie soll man sonst als laie den tips folgen folgen? ausserdem könnte im oberen teil des kapitels unbedingt zu lesende tips stehen: zb, ergänzt durch den fakt, dass spybot 1.3 irrtümlicherweise dso-exploit anzeigt und dass es in der nächsten version ausgemerzt ist. etwa 10x wurde das angefragt und beantwortet. sonst weiter so. hier mein tip:

pandasoftware-onlinescan laufen lassen. activescan genannt.
http://www.pandasoftware.com/activescan/
dort mal ohne-dann auch heuristisch aktiviert-laufen lassen.
ACHTUNG. kann bis 3 tage dauern- also am besten am wochenende oder wenn jemand zuhause ist. ich kenn keinen anderen scanner der so lange(gründlich vermutlich) scannt!