Home » Spyware & Browser Hijacker Support Forum » Problem mit DSO-Exploit, was macht der » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): Erste Seite 14 15 16 17 18 19 20 Letzte Seite

Antworten

Problem mit DSO-Exploit, was macht der

Thema ist geschlossen!

10.08.2004, 14:33

grazellka

Member

Beiträge: 12

#241 Hallo Sabina,

danke erstmal für deine schnelle antwort und hilfe!

hier nochmal das logfile das ich weisungsgemäss geschossen habe.

Tue Aug 10 14:22:11 2004 => ***** Scanning Memory Files *****
Tue Aug 10 14:22:11 2004 => Scanning File C:\WINDOWS\system32\services.exe
Tue Aug 10 14:22:11 2004 => Scanning File C:\WINDOWS\system32\lsass.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\WINDOWS\System32\Ati2evxx.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE
Tue Aug 10 14:22:12 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE
Tue Aug 10 14:22:12 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\WINDOWS\System32\Tablet.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\WINDOWS\system32\ZONELABS\vsmon.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\WINDOWS\system32\Ati2evxx.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\PROGRA~1\ATITEC~1\ATICON~1\atiptaxx.exe
Tue Aug 10 14:22:12 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE
Tue Aug 10 14:22:12 2004 => Scanning File E:\Programme\iTouch\iTouch.exe
Tue Aug 10 14:22:12 2004 => Scanning File E:\Programme\Winamp3\winampa.exe
Tue Aug 10 14:22:12 2004 => Scanning File E:\Programme\MouseWare\system\em_exec.exe
Tue Aug 10 14:22:13 2004 => Scanning File E:\programme\quicktime\qttask.exe
Tue Aug 10 14:22:13 2004 => Scanning File E:\PROGRA~1\ZONEAL~1\zlclient.exe
Tue Aug 10 14:22:13 2004 => Scanning File C:\PROGRA~1\MSNMES~1\MsnMsgr.Exe
Tue Aug 10 14:22:13 2004 => Scanning File E:\Programme\Common\Bin\WinCinemaMgr.exe
Tue Aug 10 14:22:13 2004 => Scanning File C:\WINDOWS\system32\WTablet\TabUserW.exe
Tue Aug 10 14:22:13 2004 => Scanning File C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
Tue Aug 10 14:22:13 2004 => Scanning File E:\Programme\wincmd\WinCmd32.exe
Tue Aug 10 14:22:14 2004 => Scanning File C:\WINDOWS\explorer.exe
Tue Aug 10 14:22:14 2004 => Scanning File C:\DOKUME~1\peer\LOKALE~1\Temp\mwavscan.com
Tue Aug 10 14:22:14 2004 => Scanning File C:\DOKUME~1\peer\LOKALE~1\Temp\kavss.exe

Tue Aug 10 14:22:14 2004 => ***** Scanning Registry Files *****
Tue Aug 10 14:22:14 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Tue Aug 10 14:22:14 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Tue Aug 10 14:22:14 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Tue Aug 10 14:22:14 2004 => Scanning HKCU\Control Panel\Desktop
Tue Aug 10 14:22:14 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tue Aug 10 14:22:15 2004 => ERROR!!! Invalid Entry mmtask = c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe. Removing it.
Tue Aug 10 14:22:15 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Tue Aug 10 14:22:15 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Tue Aug 10 14:22:15 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Tue Aug 10 14:22:15 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tue Aug 10 14:22:15 2004 => ERROR!!! Invalid Entry Skype = "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized. Removing it.
Tue Aug 10 14:22:15 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Tue Aug 10 14:22:15 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Tue Aug 10 14:22:15 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Tue Aug 10 14:22:15 2004 => Scanning HKCR\txtfile\shell\open\command
Tue Aug 10 14:22:15 2004 => Scanning HKCR\comfile\shell\open\command
Tue Aug 10 14:22:15 2004 => Scanning HKCR\exefile\shell\open\command
Tue Aug 10 14:22:15 2004 => Scanning HKCR\dllfile\shell\open\command
Tue Aug 10 14:22:15 2004 => Scanning HKCR\batfile\shell\open\command
Tue Aug 10 14:22:15 2004 => Scanning HKCR\piffile\shell\open\command
Tue Aug 10 14:22:15 2004 => Scanning HKCR\scrfile\shell\open\command
Tue Aug 10 14:22:15 2004 => Scanning HKCR\scrfile\shell\config\command
Tue Aug 10 14:22:15 2004 => Scanning HKCR\regfile\shell\open\command

Tue Aug 10 14:22:15 2004 => ***** Scanning StartUp Folders *****

Tue Aug 10 14:22:15 2004 => ***** Scanning C:\Dokumente und Einstellungen\peer\Startmenü\Programme\Autostart Folder *****
Tue Aug 10 14:22:15 2004 => Scanning Folder: C:\Dokumente und Einstellungen\peer\Startmenü\Programme\Autostart\*.*

Tue Aug 10 14:22:15 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Tue Aug 10 14:22:15 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*

Tue Aug 10 14:22:15 2004 => ***** Scanning Service Files *****
Tue Aug 10 14:22:15 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Tue Aug 10 14:22:18 2004 => ERROR!!! Invalid Entry \??\g:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...
Tue Aug 10 14:22:20 2004 => ERROR!!! Invalid Entry system32\drivers\npf.sys in SYSTEM\CurrentControlSet\Services\NPF...

Tue Aug 10 14:22:22 2004 => ***** Scanning System32 Folders *****
Tue Aug 10 14:22:22 2004 => Scanning C:\WINDOWS Directory
Tue Aug 10 14:22:22 2004 => Scanning Folder: C:\WINDOWS\*.*
Tue Aug 10 14:22:25 2004 => Scanning C:\WINDOWS\System32 Directory
Tue Aug 10 14:22:25 2004 => Scanning Folder: C:\WINDOWS\System32\*.*

Tue Aug 10 14:23:33 2004 => ***** Checking for specific ITW Viruses *****
Tue Aug 10 14:23:33 2004 => Checking for Welchia Virus...
Tue Aug 10 14:23:33 2004 => Checking for LovGate Virus...
Tue Aug 10 14:23:33 2004 => Checking for CodeRed Virus...
Tue Aug 10 14:23:33 2004 => Checking for OpaServ Virus...
Tue Aug 10 14:23:33 2004 => Checking for Sobig.e Virus...
Tue Aug 10 14:23:33 2004 => Checking for Winupie Virus...
Tue Aug 10 14:23:33 2004 => Checking for Swen Virus...
Tue Aug 10 14:23:33 2004 => Checking for JS.Fortnight Virus...
Tue Aug 10 14:23:33 2004 => Checking for Novarg Virus...
Tue Aug 10 14:23:33 2004 => Checking for Pagabot Virus...

Tue Aug 10 14:23:33 2004 => ***** Scanning complete. *****
Tue Aug 10 14:23:33 2004 => Total Number of Files Scanned: 2367
Tue Aug 10 14:23:33 2004 => Total Number of Virus(es) Found: 1
Tue Aug 10 14:23:33 2004 => Total Number of Disinfected Files: 0
Tue Aug 10 14:23:33 2004 => Total Number of Files Renamed: 0
Tue Aug 10 14:23:33 2004 => Total Number of Deleted Files: 0
Tue Aug 10 14:23:33 2004 => Total Number of Errors: 4
Tue Aug 10 14:23:33 2004 => Time Elapsed: 00:01:21
Tue Aug 10 14:23:33 2004 => Virus Database Date: 2004/08/09
Tue Aug 10 14:23:33 2004 => Virus Database Count: 100135

Tue Aug 10 14:23:33 2004 => Scan Completed.

10.08.2004, 14:44

Sabina

Ehrenmitglied

Beiträge: 29434

#242 Hi @grazellka
Poste bitte auch das neue Log vom HijackThis.
Gruss
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 10.08.2004 um 14:44 Uhr von Sabina editiert.

10.08.2004, 15:15

grazellka

Member

Beiträge: 12

#243 oh..... ja klar!

bitte sehr!

Logfile of HijackThis v1.97.7
Scan saved at 15:15:21, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\iTouch\iTouch.exe
E:\Programme\Winamp3\winampa.exe
E:\Programme\MouseWare\system\em_exec.exe
E:\programme\quicktime\qttask.exe
E:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
E:\Programme\wincmd\WinCmd32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\install\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38054.4153587963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

10.08.2004, 15:27

Sabina

Ehrenmitglied

Beiträge: 29434

#244 Hallo @grazellka
Nicht gefährlich aber unnötig im Autostart:
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\quicktime\qttask.exe" -atboottime

ansonsten ist wieder alles o.k.
#Jetzt kannst du wieder die Systemwiederherstellung aktivieren.
Gruss
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 10.08.2004 um 15:29 Uhr von Sabina editiert.

10.08.2004, 15:30

grazellka

Member

Beiträge: 12

#245 ALL HAIL TO SABINA!!!!

Huld!

1000 DANK!

Gruss Grazellka.

Dieser Beitrag wurde am 10.08.2004 um 15:31 Uhr von grazellka editiert.

10.08.2004, 22:42

standbild

...neu hier

Beiträge: 1

#246 Hallo,

habe das gleiche DSO Exploit Problem, allerdings bei mir in Verbindung mit einem Auto-Dialer-Aufruf. Habe sowohl mit Spybot, Ad-Aware, Antivir als auch Trendmicro gescannt und versucht, zu löschen. Hat alles nichts geholfen. Auch DSO2Stop konnte nicht weiterhelfen, ebenso die manuelle Methode, in der Registry die Werte zu ändern. Der Auto-Dialer bleibt weiterhin aktiv. Habe ansonsten keine Warnungen oder Hinweise auf andere Viren etc. erhalten. Besteht überhaupt eine direkte Verbindung zwischen DSO-Exploit und dem Auto-Dialer? Ist auf Dauer ziemlich nervig, wenn IE alle 20 Sekunden nachfragt, ob man eine Verbindung aufbauen will. Vielleicht wißt Ihr ja Rat?!?

Logfile of HijackThis v1.98.2
Scan saved at 13:14:23, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\winsys32.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\InterVideo\WinDVR\WINDVR.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\software\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINDOWS\System32\eioecali.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Update] winsys32.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\RunServices: [Microsoft Update] winsys32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] winsys32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Symbolleis&te - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://trust.web.de/trust/xenroll.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7142BA01-8BDF-11CF-9E23-0000E8A37440} (Surround Video Control Object) - http://www.s-immo-und-finanz.de/bin2/svideo.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75361DB4-E7FB-491A-8539-152958381BB4}: NameServer = 217.237.149.161 194.25.2.129

10.08.2004, 23:05

Sabina

Ehrenmitglied

Beiträge: 29434

#247 @standbild

Am Besten waere eine Neuinstalation !!!
Dein System ist nicht mehr sicher.
WORM_RBOT.BD
[Microsoft Update] winsys32.exe
http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=59982&VName=WORM_RBOT.BD&VSect=T

................................................................................................................................................................
Deaktiviere die Wiederherstellung (kannst du nach der erfolgreichen Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe mit dem HijackThis:
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} -
C:\WINDOWS\System32\eioecali.dll (file missing
O4 - HKLM\..\Run: [Microsoft Update] winsys32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winsys32.exe
O4 - HKCU\..\Run: [Microsoft Update] winsys32.exe
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)

neustarten

#Ueberpruefe mit Kaspersky
C:\WINDOWS\System32\winsys32.exe
http://www.kaspersky.com/remoteviruschk.html

#gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WINSYS32
wenn dieser Eintrag existiert, loesche ihn (auf der rechten Seite der Registry)

#Loesche:C:\WINDOWS\System32\winsys32.exe

#Du hast C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe auf dem System.
Ist das gewuenscht ?Wenn nicht, deinstalliere es.

#Mache die WindowsUpdates, speziell lade die Patch fuer
Microsoft Web pages:
* Microsoft Security Bulletin MS03-026
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
* Microsoft Security Bulletin MS04-011
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

#Lade mwav.exe (eScan) und scanne <alle Dateien<, Driver......
http://www.mwti.net/antivirus/free_utilities.asp
und poste dann, was als <Infiziert< angezeigt wurde.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 10.08.2004 um 23:38 Uhr von Sabina editiert.

11.08.2004, 22:31

grazellka

Member

Beiträge: 12

#248 hallo ich mal wieder,

der drecksack ist zurück!

exploid!

spybot hat bei mir folgendes gefunden,

mediaplex, doubleclick und dso exploid.

hier mein hijack log

Logfile of HijackThis v1.97.7
Scan saved at 22:30:02, on 11.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\iTouch\iTouch.exe
E:\Programme\Winamp3\winampa.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
E:\Programme\wincmd\WinCmd32.exe
E:\Programme\MAXON\CINEMA_4D_R8\CINEMA_4D.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Winamp3\studio.exe
E:\Programme\Spybot - Search & Destroy\SpybotSD.exe
E:\Programme\wincmd\WinCmd32.exe
E:\install\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38054.4153587963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

wärst du nochmal so nett mich zu retten sabina?

gruss grazellka.

11.08.2004, 22:42

Sabina

Ehrenmitglied

Beiträge: 29434

#249 @grazellka

wahrscheinlich geht das nur im abgesicherten Modus):
#suche und loesche:unter < temp\cookies\katayon@doubleclick[1].txt (ist ein doubleclick.net-Cookie)
#suche und loesche:
c:\dokumente und einstellungen\admin\cookies\admin@mediaplex[1].txt
(Cookie\ Data-Miner)

#lade AdAware (free) ..scanne <alle Dateien<
http://www.lavasoft.de/support/download/

Du hast doch bestimmt schon den <eScan< geladen
http://www.mwti.net/antivirus/free_utilities.asp
.
Mache also folgendes:
kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe in den abgesicherten Modus:
http://www.bsi.de/av/texte/winsave.htm
#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.
Danach die Virus Log Information posten.

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

mfg
Sabina

Tracking Cookie-Doubleclick
http://www.pestpatrol.com/PestInfo/d/doubleclick.asp
http://www.toms-bastelbude.de/cookdc.html
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 11.08.2004 um 23:05 Uhr von Sabina editiert.

12.08.2004, 01:14

grazellka

Member

Beiträge: 12

#250 hallo sabina,

ich habe nach dieser kavupd.exe gesucht konnte sie aber nicht finden,
haste irgendnen tipp für mich wo ich suchen soll???

gruss grazellka

12.08.2004, 01:27

Cidre

Member

Beiträge: 441

#251 @ grazellka

In welches Verzeichnis hast die mwav.exe (eScan) entpackt?

Normalweise wird empfohlen diese in den Ordner C:\bases zu entpacken. Klicke auf den Ordner und du wirst die kavupd.exe finden.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

12.08.2004, 09:16

grazellka

Member

Beiträge: 12

#252 ach ich heinie!

ich habe das gar nicht entpackt, ich habe das immer sofort benutzt.
jetzt habe ich es aber entdeckt, danke!!!!

edit:

das ist aber ein verdammt langes log file geworden!

edit *aufräum*

Dieser Beitrag wurde am 12.08.2004 um 11:47 Uhr von grazellka editiert.

12.08.2004, 10:18

Sabina

Ehrenmitglied

Beiträge: 29434

#253 @grazellka
Poste NUR das was <infiziert ist<...bitte !
(Das muesste im unteren Fenster erscheinen. wenn du postest, was alles gescannt wurde...also dein komplettes System, wird der Platz knapp..

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 12.08.2004 um 10:19 Uhr von Sabina editiert.

12.08.2004, 10:19

grazellka

Member

Beiträge: 12

#254 woher weiss ich dnn was infiziert ist???

12.08.2004, 10:33

Sabina

Ehrenmitglied

Beiträge: 29434

#255 Das muesste im unteren Fenster erscheinen.(es gibt doch zwei, nicht wahr ? Das obere zeigt an, was gescannt wird und das untere Fenster, was <infiziert< ist.
<virusinformation<

z.B.
File C:\WINDOWS\cep1unin.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 12.08.2004 um 10:35 Uhr von Sabina editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): Erste Seite 14 15 16 17 18 19 20 Letzte Seite