Problem mit DSO-Exploit, was macht der

#286 Hallo @Tommi83
...............................................

1, Ueberpruefe die C:\Programme\Windows Media Player\dlexport.exe
noch einmal und poste, was Kaspersky sagt, damit ich die Bezeichnung des Wurmes kenne.
http://www.kaspersky.com/remoteviruschk.html

2. Loesche mwav. exe und versuche noch mal eScan zu laden.
dann auf die Datei klicken, die auf dem Desktop erscheint und scannen.
http://www.mwti.net/antivirus/free_utilities.asp

3. Lade AdAware (free)
http://www.lavasoft.de/support/download/

4. Scanne mit Search&Destroi

5. Lade TuneUp2004 (30 Tage free) und optimiere\repariere den pC
http://www.tuneup.de/download/
.....................................................................................................
Versuche den Dialer manuell zu loeschen.

Gib ein in die Suchfunktion von Windows:
<StarInstall.ocx
<p2p-10110.exe
<p2p-10110.lnk
<spywarestormer
ActiveX-Control im Ordner 'Downloaded Program Files', vom Dialer auch loeschen

Arbeite alle Punkte ab, stelle im Antivirus unter <Optionen< einen Guard ein und berichte.(1)...2.).....3.)........

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#287 Kurzbericht:


Scanned file: dlexport.exe

dlexport.exe - packed with UPX
dlexport.exe - infected by TrojanDownloader.Win32.Agent.cb


file size 39Kb
Files:2
Virus bodies:1

Punkt 2: Mwav.exe wurde von mir schon gestern gelöscht. Jetzt soll ich nochmal runterladen ?? Und welche Datei soll auf dem
Desktop erscheinen?


Das Escan hat jetzt auf C:/Windows eine drugs.exe.exetaggedasnotavirusornware dialer.intexdial.no action taken

entdeckt, aber das kann man mit escan gar nicht löschen! Wie soll ich das nun wegbekommen mit?

Und mit Antivirus soll ich einen Guard einstellen der einen Report macht? da ist schon ein Guard eingestellt.
Antivirus popt manchmal auf und fragt mich ob ich eine infizierte datei ins Quarantäneverzeichnis geben soll. Ich bestätige mit ja, aber sollte man das nicht besser löschen?


Punkt 3:Adaware: fertig. 4 Objekte gefunden und in Quarantäne gestellt.

Punkt4: Spybot hat den DSO Exploit wieder entdeckt. Ich kann nicht mehr..so fertig bin ich mit dem ganzen.

Dann noch gefunden: Avenue A, Inc. und Media Plex
Den DSO Exploit konnte er nie beheben, den hab ich gestern auch schon gelöscht aber er kam immer wieder.

Punkt 5: lade den TuneUp Win Styler herunter

So heruntergeladen aber der macht nix. Wenn ich auf das Programm klicke gibts nur Button "Jetzt bestellen" "Code eingeben" und "Beenden" sowie "weiter testen"

Ich weiß nicht was ich mit dem Prog anfangen soll.

Lade jetzt den normalen TuneUp herunter und hoffe auf Besserung.

Habe jetzt den normalen TuneUp angewandt und mit Schritt 2 des Programms " Aufräumen und Reparieren" fortgesetzt. Soll ich die die restlichen Schritte auch durchführen wie "optimieren und verbessern" etc?

Habe jetzt nach dem "Starinstall.ocx" gesucht aber am Pc nichts gefunden, dito auch bei p2p-10110.exe und p2p-10110.lnk. Und spywarestormer auch nix gefunden.

Heute passiert es schon zum 3. Mal dass Antivirus Guard auftaucht und mir sagt er habe wieder denselben Virus entdeckt nämlich auf C:/Programme/AVPersonal/Infected/KlezTool.com.001

habe den schon 2mal ins Quarantäneverzeichnis gestellt und einmal gelöscht aber scheint immer wieder aufzutauchen.

Ich finde den Active X Controller auch nicht. Habe jetzt eine Datei aus dem Downloaded program files ordner gelöscht die verdächtig war. ABer von X Controller hab ich nichts gelesen.

Es muss irgendetwas sehr tiefsinniges sein, der Trojaner muss ich schon beim booten irgendwie einklinken, denn nach "verifying pool data" und Boot from CD: braucht er sehr lange.


UND SCHONWIEDER: HABE DSO EXPLOIT JA SCHON SO OFT VERSUCHT ZU ENTFERNEN MIT SPYBOT ABER SCHONWIEDER HAT ER IHN ENTDECKT. DER GEHT EINFACH NICHT WEG!!!! BITTE WAS KANN ICH NUR TUN, SYSTEM NEU AUFSETZEN IST UNMÖGLICH FÜR MICH

eIN Bericht von spybot:

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-448539723-507921405-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi


Was soll ich tun?

#288 @Tommi83
Da hast du doch schon schoen gearbeitet.

0.Spybot und DSO Exploit
Um die Exploid-Eintraege vom Spybot brauchst du dir im Moment keine Sorgen zu machen.

1.Suche und loesche den Dialer (muss man manuell mache)
C:/Windows.drugs.exe (Pfad nach deinen Angaben und von eScan)

2.mit AdAware scannen und NICHTS in Quarantaene stellen...alles loeschen (es gibt einen Button, wo du die in Quaranteane gestellten Sachen loeschen kannst.

3.der Guard von Antivirus muss im HijackThis in 04. auftauche (Weil ich keinen gesehen habe...mein Hinweis)..und unten rechts in der Taskleiste ein <aufgespannter Regenschirm)

4. TuneUp 2004 (30 Tage free)
Button "Jetzt bestellen" "Code eingeben" und "Beenden" sowie "weiter testen"
druecke auf -weiter testen< und du kannst das Tool 30 Tage nutzen

5.C:/Programme/AVPersonal/Infected/KlezTool.com.001
DAS IST GEFAEHRLCH !!!
Wenn der Antivirus etwas anzeigt, dann druecke IMMER auf Loeschen !

#Gehe also in den abgesicherten Modus, scanne mit dem Antivirus und wenn er was findet, druecke auf <Loeschen< (im abgesicherten Modus)
#dann suche im abgesicherten Modus die mwav.exe und scanne noch mal mit dem< Escan< (alle Haeckchen setzen)
#Loesche manuell: dlexport.exe

Dann berichte,ob jetzt (ausser dem Exploid) alle o.k. ist.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#289 So, ich habe mir das aktuelle Hijack Programm runtergeladen.
Wäre Nett wenn dass nochmal jemand querlesen würde... den IE werde ich aktualisieren. Das Windowsupdate werde ich dann auch noch machen.
Danke für eure Hilfe

Logfile of HijackThis v1.98.2
Scan saved at 15:33:19, on 22.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
J:\Norton Internet Security\NISUM.EXE
J:\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
J:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\Linksts.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
J:\StatBar\StatBar.exe
C:\WINDOWS\System32\ctfmon.exe
J:\Spybot - Search & Destroy\TeaTimer.exe
J:\Sony Handheld\AlarmApp.exe
J:\FMS32-PRO\fms32pro.exe
J:\Sony Handheld\HOTSYNC.EXE
J:\SETI@home\SETI@home.exe
J:\eMule\emule.exe
j:\Kazaa Lite\clean.kmd
J:\Winamp\winamp.exe
J:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~3\Office10\OUTLOOK.EXE
C:\programmeMicrosoft Office\Office10\WINWORD.EXE
J:\FIREFOX\FIREFOX.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Martin\Desktop\Programme\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - J:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - J:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [StatBar] J:\StatBar\StatBar.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] j:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] J:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AlarmApp.lnk = J:\Sony Handheld\AlarmApp.exe
O4 - Startup: FMS 32 Pro.lnk = J:\FMS32-PRO\fms32pro.exe
O4 - Startup: HotSync Manager.lnk = J:\Sony Handheld\HOTSYNC.EXE
O4 - Startup: SETI@home.exe.lnk = J:\SETI@home\SETI@home.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{402325FD-1299-4B8C-9377-CF25B24B3C40}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCD91444-D52D-48C1-B90D-8914A744313F}: NameServer = 217.237.151.225,194.25.2.129

#290 Hallo Sabina!

Danke für deine Antwort. Also habe deine Anweisungen befolgt und alles gemacht so wie du es beschrieben hast.

Nachdem ich im abgesicherten Modus Anti Virus gestartet habe und der nichts gefunden habe, bin ich damit fortgefahren, den Escan zu starten:

Der hat folgende zwei Dinge entdeckt, die ganz neu sind, ich konnte sie noch nicht löschen. Ich vermute dass der 2. System Volume Information sehr verdächtig ist. Ich habe die Datei beobachtet und die hat sich innerhalb von sekunden von wenigen KB zu mehr als 1,5 GB entwickelt. Was ist das wohl? Löschen wollt ich das noch nicht, weil ich nicht genau weiß was das jetzt wirklich ist...weißt du weiter?

File C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6TS72RAT\simplebind[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.


C:\System Volume Information\_restore{0502F547-A3B4-4C25-BFB4-62E7684380D9}\RP43\A0007455.exe tagged as not-a-virusornWare.Dialer.Intexdial. No Action Taken.

Oh mein Gott er macht sich an meinen Dateien zu schaffen. Das beobachte ich zum 2. mal. Habe vorher eine Datei in winword angelegt die Virus_escan geheißen hat. Jetzt ist die Datei nochmal da nur dass jetzt auch so heißt: ~$rus_escan.rtf
Was ist das bitte?
Der INhalt davon sieht so aus:
Thomas T h o m a s U n k n o w n ç ÿ ,
n N ÿ Ø . ÿ ¾



Hier der neue Log

Logfile of HijackThis v1.97.7
Scan saved at 16:59:36, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kurier.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kurier.at
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Habe jetzt auch den Mozilla Firefox runtergeladen. Warum soll ich mir eigentlich keine Sorgen um Dso exploit machen?

Und noch eine Frage, MSN messenger wählt sich immer von selber ein. Auch wenn ich ausklicke, dass er sich beim booten einloggen soll, und ausklicke dass er im Hintergrund laufen soll. Der wählt sich immer ein, obwohl ich ihn im taskmanager beende. Selbst wenn ich IEX nicht mehr verwende, nur firefox.
Kannst du mir sagen wie ich den Messenger löschen kann? Danke

#291 @Tommi83

...........................................................................................................
1)deaktiviere bitte die Wiederherstellung...da verschwindet
C:\System Volume Information\_restore{0502F547-A3B4-4C25-BFB4-62E7684380D9}\RP43\A0007455.exe tagged as not-a-virusornWare.Dialer.Intexdial. No Action Taken.

2)loesche manuell:
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6TS72RAT\simplebind[1].htm
oder versuche es erst mal mit:
#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Temporäre Internetfiles (Cache)

5)Starte neu und gehe in den abgesicherten Modus
Scanne mit beiden Antivire-Tools

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#292 @Cue

Da bist du ja wieder
Obwohl du es immer versprichst...hast du die WindowsUpdates noch nicht gemacht !
falls keine cdkey da ist, lade alles ausser SP1
und aktualisiere den IE
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#aktiviere die XP-Firewall (sonst bist du Stammgast bei uns...)
................................................................................................................................................................
Was ist das ?
O4 - Startup: FMS 32 Pro.lnk = J:\FMS32-PRO\fms32pro.exe
Wenn du das nicht brauchst, dann fixe es.

und ueberpruefe es mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
J:\FMS32-PRO\fms32pro.exe

Folgendes kannst du fixen: (ist nicht <bad<, sollte aber nicht im Autostart sein(traegt sich bei Benutzung wieder ein)

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] J:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SETI@home.exe.lnk = J:\SETI@home\SETI@home.exe

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#293 at Sabina,

Welche Wiederherstellung soll ich wie löschen? Tut mir leid, ich bin wie du merkst kein Computerfachmensch

#294 @Tommi83
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

booten und wieder aktivieren (falls alles sauber ist)
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#295 Soo, habe alles so gemacht wie du gesagt hast Sabina! Habe im abgesicherten Modus mit deaktivierter Systemwiederherstellung mit Kapersky Escan und Anti Virus geescannt, beide haben nichts mehr gefunden.
Habe dann neu gebootet und die Systemwiederherrstellung wieder aktivert. Außerdem habe ich Norton Antivirus komplett vom Pc entfernt, das scheint irgendwie mit dem Messenger in Zusammenhang zu stehen.
Habe jetzt spybot, antivurs, spysweeper , a2 guard am laufen. Leider biringe ich den Antivurs nicht dazu dass er gleich beim systemstart mit ladet, muss das immer manuell machen.
Benutze jetzt auch den Mozilla Firefox, aber IEXplorer habe ich trotzdem noch am Pc, macht eh nichts oder?

Wie gehts jetzt weiter mit dem DSO Exploit? Der ist ja noch immer nicht weg, habe 5 Svchost Anwendungen im Task manager angezeigt, was mache ich damit das weider normal wird? Ich kann doch net nen Virus am PC beherbergen oder...

Vielen Dank für deine Hilfe Sabina

#296 Hallo,

bin neu hier. Auch ich bin vom DSO Exploit befallen. Würde mich freuen, wenn da mal jemand nachgucken kann. Danke.

Bin übrigens ein totaler Anfänger und hab absolut null Ahnung. Also ne Schritt für Schritt Anleitung wäre nicht schlecht. :-)

Gruß
Basti

Hier mein HijackThis:

Logfile of HijackThis v1.98.0
Scan saved at 01:07:23, on 23.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Ken\kentbcli.exe
D:\Winamp3\winampa.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Downloads\PestPatrol\PPMemCheck.exe
D:\Downloads\PestPatrol\CookiePatrol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\xzprnw.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\YSERVER.EXE
D:\Downloads\Spybot - Search & Destroy\SpybotSD.exe
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:3128;https=192.168.0.1:3128;ftp=192.168.0.1:3128;socks=192.168.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\adobe\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\DOWNLO~1\SPYBOT~1\SDHelper.dll
O2 - BHO: G1.GZ - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: E.HH - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOKUME~1\BASTIA~1.HAS\ANWEND~1\IESERV~1\IEService.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [KEN Taskbar Client] "d:\Ken\kentbcli.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\\winampa.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [PPMemCheck] D:\Downloads\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Downloads\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [abhklerbju] C:\WINNT\system32\xzprnw.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [seticlient] d:\downloads\bildschirmschoner seti\SETI@home.exe -min
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Nlhc] C:\Dokumente und Einstellungen\Bastian Klappert.HASI\Anwendungsdaten\dnst.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ImageFox.lnk = C:\Programme\ACD Systems\ImageFox\ImageFox.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PowerInfo SpeedInfo.lnk = D:\PITray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Downloads\AOL\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: Yahoo! Chat - http://cs7.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab

#297 @Basti76
Ist der Proxy korrekt eingestellt ?(siehst du im Log)

scanne mit dem HijackThis, dann hake an, was ich poste und <fix<
dann sofort neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.h
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - (no file)
O2 - BHO: G1.GZ - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
02 - BHO: E.HH - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOKUME~1\BASTIA~1.HAS\ANWEND~1\IESERV~1
O4 - HKLM\..\Run: [abhklerbju] C:\WINNT\system32\xzprnw.exe
O4 - HKCU\..\Run: [Nlhc] C:\Dokumente und Einstellungen\Bastian Klappert.HASI\Anwendungsdaten\dnst.e
O4 - HKCU\..\Run: [seticlient] d:\downloads\bildschirmschoner seti\SETI@home.exe -min


fixe auch (ist nicht <bad< aber sollte aus dem Autostart
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [KEN Taskbar Client] "d:\Ken\kentbcli.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\\winampa.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe

neustarten

#Ueberpruefe mit Kaspersky(poste, was angezeigt wurde)
http://www.kaspersky.com/remoteviruschk.html
D:\Ken\kentbcli.exe
C:\WINNT\system32\xzprnw.exe

#Lade eScan (entpacke in C:\bases)
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
.........................................................................................................................
---Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
................................................................................................................................
normal starten

#Lade AdAware (free)
http://www.lavasoft.de/support/download/

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Scanne noch mal mit der mwav.exe im Normalmodus und poste dann , was noch als <infiziert<gefunden wird)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#298 Hallo Sabina!

Also den IE habe ich aktualisiert. Das Windows Update mache ich auch noch
WAs meinst du damit... alles ausser SP 1 (Service Pack). Wo kann ich das denn dann machen?

Ich habe nun eine Frage wegen der Firewall. Ich habe von Symantec den Internet Security als Firewall... soll ich dann auch noch die XP Firewall anschalten? Wenn ja wo geht das denn?

FMS 32 Pro ist ein Programm, welches ich als Amateurfunker benutze. Es dekodiert Funksignale.

LG Cue

#299 Hallo Sabina,

ich hab jetzt alles so gemacht wie Du gesagt hast.

Er hat jetzt nur noch 6 Positionen gefunden. Entweder die Aktion "File renamed" oder "no action taken". Letzteres sind Programme, da weiß ich was das ist.

Ich laß nochmal interessehalber den Spybot drüberlaufen und sage dann nochmal bescheid.

Hier mein aktueller HijackThis:

Logfile of HijackThis v1.98.0
Scan saved at 11:01:26, on 23.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
D:\Downloads\PestPatrol\PPMemCheck.exe
D:\Downloads\PestPatrol\CookiePatrol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:3128;https=192.168.0.1:3128;ftp=192.168.0.1:3128;socks=192.168.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\adobe\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\DOWNLO~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [PPMemCheck] D:\Downloads\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Downloads\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ImageFox.lnk = C:\Programme\ACD Systems\ImageFox\ImageFox.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: PowerInfo SpeedInfo.lnk = D:\PITray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Downloads\AOL\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: Yahoo! Chat - http://cs7.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab


Lieben Gruß und danke (ich habe keinen Pop-up mehr)
Basti

#300 @Cue
die WindowsUpdates machst du, indem du in Start<Programme<WindowsUpdates <anklickst.
Dann wird automatisch aufgelistet, was zu laden ist.
Wenn dein XP legal ist (was ich hoffe, kannst du alles laden)

http://windowsupdate.microsoft.com/

Wenn du eine Firewall hast, aktiviere natuerlich NICHT den XP-Firewall.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit