Problem mit DSO-Exploit, was macht der

#271 du schreibst,
<Hier erst einmal mein Spybot Search Resultat>
dann lese mal hier unter
5. Die Ergebnisse interpretieren

http://www.spybot.info/de/tutorial/index.html

#272 @Sabine

Danke für deine Hilfe. Vielleicth sollt ich noch anmerken, dass eben seit heute das ganze Problem besteht. Der PC braucht 2 Minuten zum booten und normal 15 sek.

Habe jetzt mal den 1. Schritt wie von dir beschrieben durchgeführt:

Ergebnis erschreckend:


Scanned file: dlexport.exe

dlexport.exe - packed with UPX
dlexport.exe - infected by TrojanDownloader.Win32.Agent.cb

Bei deinem 2. Schritt kann ich dir nicht ganz folgen, mit dem escan antivirus weiß ich nicht wie ich diese kavupd.exe suchen soll. Welcher Button to click?
So habs auch mit Explorer versucht, der findet keinen kavupd.exe


Was mache ich jetzt mit dem trojandownloader?

danke für deine Hilfe!

#273 hallo, ich bin rupert und habe auch das dso-exploit problem. wäre super, wenn sich jemand mal meine log datei ansehen könnte und ein paar tips geben, ich habe nämlich nicht wirklich ahnung, wie ich den wegbekomme.

Logfile of HijackThis v1.98.2
Scan saved at 22:01:58, on 21.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\System32\PDesk\PDesk.exe
G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
G:\Programme\Winamp\winampa.exe
G:\Programme\AVPersonal\AVGNT.EXE
G:\WINDOWS\System32\ctfmon.exe
G:\WINDOWS\System32\devldr32.exe
G:\Programme\AVPersonal\AVGUARD.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\WINDOWS\System32\mgabg.exe
G:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\Dokumente und Einstellungen\Rupert\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
G:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - G:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - G:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] G:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Zone Labs Client] G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] G:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "G:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://g:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://g:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://g:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://g:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm

wäre super, wenn ich nicht schon wieder die kiste neu installieren müßte

#274 @Tommi83

Findest du die zwei exe ("kavupd.exe und mwav.exe )nicht mit Windows-Suchfunktion ??

#Wenn du sie gefunden hast, klicke diese kavupd.exe einfach an.
Dann oeffnet sich ein DOS -Fenster und du musst nur den Update abwarten.

#Dann gehst du in den abgesicherten Modus (wie schon erklaert)

#suche mit der Windows-Suchfunktion eine mwav.exe (das ist der Scanner.)
<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.

normal neustarten

Noch mal im Normalmodus mit der mwav.exe scannen und :
Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird)

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#275 at Sabina:

Nein, meine Windows Explorer Suche findet nix unter kavupd.exe. Habs auch mit * vor und nach probiert, aber nix gefunden (( wAs soll ich jetzt bloß tun.

und kapersky online scan hat nochwas gefunden weiß aber net wie ichs weg bekomme. 2 Viren , beide heißen "Pornwaredialer" am Ende. Man von wo kriegt man bloß so einen Mist *gruml*
da gibts ja nur button view logon, ok und scan again. Aber nix vonwegen Remove oder so. Ich bin verzweifelt

#276 @rup

FIXE (danach neustarten)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - G:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - G:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

neustarten

deinstalliere
# Click Start > Settings > Control Panel.
# In the Control Panel window, double-click Add/Remove Programs.
My Search Bar" oder "MyWay SpeedBar"

neustarten

Loesche:
G:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

Loesche alle TemporayFiles
Start<Ausfuehren<%temp%

#Lade AdAware (free) und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Spysweeper
http://www.spysweeper.com/
#Spybot
http://www.safer-networking.org/de/download/index.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#277 Hallo ich speicher das alles auf System(Coder auf Desktop . Die FEstplatte ist partionioniert von einem Freund, da ich mich mit pcs wenig auskenne. Ich suche nach *kavupd.exe* bei allen Orten auf meinem PC aber er findet nix. vielleicht ist das ein neuer Virus der die Datei löscht oder irgendwie infiziert...

hmm was kann ich jetzt noch tun (


PS: nachdem ich versucht habe dein mwave datei downzuloaden bekomme ich die Nachricht "Cant creat output file"... Was soll ich bloß tun?

#278 @Tommi83

Cant creat output file...ALSO HAST DU DIE MWAV.EXE !(ist sie nicht auf dem Desktop ?Oder in C:\bases ???

Wenn das nichts bringt (unverstaendlicherweise), deaktiviere deinen Virenscanner und lade Antivirus
http://www.free-av.de/
Warte den Installationsscann ab, dann konfiguriere:unter <Optionen)
<alle Dateien< (ist nicht so eingestellt...musst du machen)
<aktiviere die Macro-Virus-Heuristik
<Win32 -Heuristik:hoch

Dann gehe in den abgesicherten Modus und mache einen Vollscann.
http://www.bsi.de/av/texte/winsave.htm

Dann poste das Log vom HijackThis noch mal und ich gebe mehr Tipps.
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#279 Ok habe jetzt die mwav.exe gefunden, aber wenn ichs öffen will kommt die nachricht "cant creat output file" also kann ich ja nix mehr scannen. Virusschutz ist auch ausgeschalten. Hmmm..was jetzt? Dein nachfolgender Schritt?

#280 Wenn das nichts bringt (unverstaendlicherweise), deaktiviere deinen Virenscanner und lade Antivirus
http://www.free-av.de/
Warte den Installationsscann ab, dann konfiguriere:unter <Optionen)
<alle Dateien< (ist nicht so eingestellt...musst du machen)
<aktiviere die Macro-Virus-Heuristik
<Win32 -Heuristik:hoch

Dann gehe in den abgesicherten Modus und mache einen Vollscann.
http://www.bsi.de/av/texte/winsave.htm

Dann poste das Log vom HijackThis noch mal und ich gebe mehr Tipps.(Morgen)
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#281 Habe jetzt das AV drüberlaufen lassen und damit einen Virus entfernen können. Habe am Anfang beim INstallationsscreen vergessen "alle Dateien" anzucklicken. ich mache das jetzt nochmal.

#282 Aber bitte im abgesicherten Modus ! Sonst besteht die Gefahr, dass Viren nicht geloescht werden, weil sie noch im Autostart sind. und im abgesicherten Modus hat der User Administrationsrechte.
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#283 Ich dachte erst nach dem AV Virus in den abgesicherten Modus? Jetzt schon gleichzeitig?

Dann gehe in den abgesicherten Modus und mache einen Vollscann.
http://www.bsi.de/av/texte/winsave.htm

#284 Erst solltest du den Antivir. konfigurieren und dann ...in den abges.Modus...zum Scannen.
Was willst du denn im abgesicherten Modus machen, wenn nicht scannen ???
...........................................................................................................
#Wenn das fertig ist
lade a2(free) und scanne im Normalmodus.
http://www.emsisoft.de/de/software/free/

#Dann loescht du die mwav.exe und versuchst , das Tool noch mal zu laden.

#poste das Log vom HijackThis noch mal.

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#285 Ok habe im abgesicherten MOdus AV geladen. Hat nur ein Virus gefunden der auch gelöscht wurde.

Jetzt A2 runtergeladen, aber da muss man sich auch registrieren, was ich jetzt auch tue.
Hoffentlich lässt sich mwav.exe löschen, welches Tool soll ich dann noch mal laden? Eh das A2 oder?

Meine Dllexport file ist noch immer von einem Trojandownloader infiziert. Ich bekomme den nicht weg.

Vielen lieben Danke für deine HIlfe Sabina!

EDIT´´´#############################

Habe die Datei gelöscht und dann nochmal A2 scannen lassen. Hat dann nichts mehr gefunden. Aber kapersky hat zuvor 2 Dateien gefunden, nämlich Dialer und die konnten mit kapersky nicht entfernt werden, weil da einfach keine Schaltfläche wie bei anderen Virenprogs dabei ist. Wie lösch ich die jetzt? Wie bedenklich ist es eigentlich dass mein pc beim booten manchmal bis zu 4 oder mehr minuten braucht? Das ganze dauert ab dem Zeitpunkt solang wie es erscheint "Boot from Disc" dann ist Funkstille...4 minuten...bis er hochfährt.

Sonntag 9:00 habe jetzt auch spysweeper laufen lassen und hat einiges gefunden, aber dieser Trojandowloader bei der windows media player/dlexport.exe hat er auch nicht gefunden, er ist aber noch immer auf meinem PC. Und 5 svchost hab ich auch noch.

liebe Grüße und vielen Dank für deine Hilfe Sabina!

hier kommt noch die neue Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 09:32:54, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kurier.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kurier.at
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab