Home » Spyware & Browser Hijacker Support Forum » Problem mit DSO-Exploit, was macht der » Themenansicht
Problem mit DSO-Exploit, was macht derThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
23.08.2004, 13:16
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
23.08.2004, 15:40
...neu hier
Beiträge: 2 |
#302
@ sabina
ich werd den dso exploit nicht los. spybot findet ihn selbst nach einer kompletten neuinstalation mit formatierung der systhemplatte. ich schicke dir nochmal mein aktuelles logfile. danke schonmal für den ersten tip!! Logfile of HijackThis v1.98.2 Scan saved at 15:39:35, on 23.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\PDesk\PDesk.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\mgabg.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Rup\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [MGA_CD_Install] G:\mgasetup.exe /No_Welcome /Lang  eutschO4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 hoffe dir fällt was ein |
|
|
|
|
|
|
23.08.2004, 15:42
Ehrenmitglied
Beiträge: 29434 |
#303
@rup
You see, there are several reports of this issue here in the Spybot forum, which shows that it is happening for a lot of people, so in that sense it's normal - meaning your system is reacting like many others... However, the fact that Spybot isn't properly fixing this is just a simple bug that I'm sure will be fixed soon. Basically what's happening is that Spybot is finding that the security setting for "Download unsigned ActiveX controls" for the (normally) hidden "My Computer" zone in Internet Explorer is not set to disabled. Given that anyone who is properly patched (via Windows Update) is not vulnerable to this exploit anymore, this is really not a serious issue, so provided your system is patched, you have nothing to worry about and can just ignore this until the fix comes out. #aendere also unter <Internetoptionen< <Download unsigned ActiveX controls< auf "nein" (dann kansst du aber bestimmte Sachen nicht mehr laden) #surfe mit dem Firefox http://www.firebird-browser.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 15:43 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.08.2004, 16:00
...neu hier
Beiträge: 1 |
#304
Hallo, wie alle anderen hier habe ich auch das Problem mit diesem DSO Exploit.
Ich hab keine Ahnung was das ist und wie ich es gekriegt habe, aber es nervt, denn jedes mal wenn ich online bin schafft es das Ding einen Dialer zu instalieren und sich dann einzuwählen. Ich hab schon Spybot probiert,aber der scannt mich zwar jedes mal und sagt er hätte das Problem behoben,aber es kommt immer wieder. Ich hab auch Stinger probiert, aber der findet nichts mehr. Und Hijackthis hat mir das hier gezeigt, ich hab davon keine Ahung: Logfile of HijackThis v1.98.2 Scan saved at 15:40:18, on 23.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\services\ir.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\WindowUpdate.exe C:\Program Files\WindUpdates\WinUpdt.exe C:\WINDOWS\System32\yoaakv.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\WindUpdates\WinKA.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Woldemar Deines\Anwendungsdaten\oroe.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wsbc.exe C:\WINDOWS\System32\services\coolers.exe C:\Programme\MSN\MSNCoreFiles\msn6.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\slrundll.exe C:\Dokumente und Einstellungen\Woldemar Deines\Eigene Dateien\Programme\spybot\SpybotSD.exe D:\downloads\568209\kavpers.exe C:\DOKUME~1\WOLDEM~1\LOKALE~1\Temp\pft40.tmp\Setup.exe C:\PROGRA~1\GEMEIN~1\INSTAL~1\Engine\6\INTEL3~1\IKernel.exe C:\Dokumente und Einstellungen\Woldemar Deines\Desktop\stinger.exe C:\Dokumente und Einstellungen\Woldemar Deines\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ F3 - REG:win.ini: run=C:\WINDOWS\System32\services\ir.exe O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\ir.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\ir.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3D0C1BB7-3904-47B3-B159-F9001BDBC967}: NameServer = 62.104.191.241 62.104.196.134 O17 - HKLM\System\CS1\Services\Tcpip\..\{3D0C1BB7-3904-47B3-B159-F9001BDBC967}: NameServer = 62.104.191.241 62.104.196.134 Ich weiß nicht mehr weiter. Ich hab nur Angst, dass sich so ein bescheuerter Sex-Dialer bei mir einnistet, ohne dass ich es merke und ich dann am Schluß eine Riesenrechnung habe, d.h. ich brauche eure Hilfe. 
|
|
|
|
|
|
|
23.08.2004, 16:15
Ehrenmitglied
Beiträge: 29434 |
#305
Hallo @Woldemar
Deaktiviere die Wiederherstellung (wichtig !) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 scanne mit dem HijackThis, und hake an, was ich poste, dann <fix< und sofort neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ F3 - REG:win.ini: run=C:\WINDOWS\System32\services\ir.exe O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\ir.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\ir.exe neustarten Lade Antivirus http://www.free-av.de/ konfiguriere: <alle Dateien <Guard aktiviren <Heuristik:mittel dann gehe in den abgesicherten Modus (F8 druecken, wenn der Computer hochfaehrt) http://www.bsi.de/av/texte/winsave.htm #und mache einen Vollscann mit dem Antivirus Loesche, falls es noch da ist: C:\WINDOWS\System32\services\ir.exe C:\WINDOWS\slrundll.exe C:\WINDOWS\WindowUpdate.exe C:\Program Files\WindUpdates\WinUpdt.exe C:\WINDOWS\System32\yoaakv.exe D:\downloads\568209\kavpers.exe C:\Dokumente und Einstellungen\Woldemar Deines\Anwendungsdaten\oroe.exe C:\WINDOWS\System32\wsbc.exe C:\WINDOWS\System32\services\coolers.exe normal neustarten Dann lade EScan http://www.mwti.net/antivirus/free_utilities.asp suche eine mwav.exe, starte den Scanner, setzte alle Haeckchen und Cleanscan, Poste dann bitte, (abkopieren), was der Scanner angezeigt hat (Virenlog) Dann lade Sygate (Firewall) http://www.sygate.de/ (ganz unten auf der Site ist die Freeversion) stelle alles auf <fragen< , und sperre alles, ausser dem Net und dem Virenscanner. Loesche unter <Internetoptionen< die TemporaryInternetfiles und stelle eine neue Startseite ein. #Dann poste das Log noch mal (und die Infos von mwav.exe ) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 16:25 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.08.2004, 19:41
...neu hier
Beiträge: 3 |
#306
Hallo Sabina,
hab meinen Spybot nochmal drüberlaufen lassen und der sagt mir das der DSO Exploit noch immer da ist, zumindest habe ich keine lästigen Werbepop-Ups mehr. Was ist nun los? Wieso zeigt mir Spybot das an? Kann man jetzt nur noch manuell aus der Registrierung löschen? Wenn ja, ich hab mal die Suchfunktion in der Registrierung gemacht und da kamen Einträge wie "DsOobject" oder so ähnlich. Kann man die löschen? Und woher weiß ich, ob ein Eintrag, wo die Buchstaben dso vorkommen, nicht doch zu meinem Rechner gehören? Ich will nicht einfach so in meiner Registrierung herumlöschen. Mein Rechner ist übrigens nun schneller geworden. *freu* Und danke nochmal für die schnelle Hilfe.  Lieben Gruß Basti |
|
|
|
|
|
|
23.08.2004, 22:37
Ehrenmitglied
Beiträge: 29434 |
#307
Hallo @Basti
You see, there are several reports of this issue here in the Spybot forum, which shows that it is happening for a lot of people, so in that sense it's normal - meaning your system is reacting like many others... However, the fact that Spybot isn't properly fixing this is just a simple bug that I'm sure will be fixed soon. Basically what's happening is that Spybot is finding that the security setting for "Download unsigned ActiveX controls" for the (normally) hidden "My Computer" zone in Internet Explorer is not set to disabled. Given that anyone who is properly patched (via Windows Update) is not vulnerable to this exploit anymore, this is really not a serious issue, so provided your system is patched, you have nothing to worry about and can just ignore this until the fix comes out. #aendere also unter <Internetoptionen< <Download unsigned ActiveX controls< auf "nein" (dann kansst du aber bestimmte Sachen nicht mehr laden) und mache immer fleissig die WindowsUpdates.(IE eingeschlossen) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 22:38 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.08.2004, 23:46
Member
Beiträge: 1095 |
#308
Zitat Woldemar posteteDas schafft der Dialer bestimmt nicht durch den DSO Exploit Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.08.2004 um 23:47 Uhr von paff editiert.
|
|
|
|
|
|
|
26.08.2004, 01:39
...neu hier
 Beiträge: 4 |
#309
Hi,
Ich habe den DSO Exploit Folgendermasen losbekommen: +Regedit +angegebenen Pfad wählen [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] + Wert 1004 löschen... + rechte Maustaste "Neu/DWORD-Wert" + Neuen Wert 1004 nennen + Anklicken und einen Wert 3 der Basis Hexadezimal festlegen + OK + Schließen + Neustart ......Bingo, Spybot war sauber ! Gruß Mick |
|
|
|
|
|
|
26.08.2004, 18:13
...neu hier
Beiträge: 7 |
#310
Hallo ich bin neu hier und habe auch ein problem den dso exploit zu entfernen ich dürfte jetzt schon so ziehmlich alle gängigen programme zur entfernung von viren versucht haben nix schlägt an. Hier mal mein logfile:
Logfile of HijackThis v1.97.7 Scan saved at 18:11:06, on 26.08.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\msdc.exe C:\WINDOWS\system32\ipsl32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Micha der große Held\Desktop\hijacker für kazza\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 O2 - BHO: (no name) - {02787344-5570-7DA8-92C0-D1EB914ABB5C} - C:\WINDOWS\ipuk.dll O4 - HKLM\..\Run: [ipsl32.exe] C:\WINDOWS\system32\ipsl32.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKLM\..\RunOnce: [msdc.exe] C:\WINDOWS\system32\msdc.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B4551B45-4C31-4074-9956-6DEA916F5B17}: NameServer = 217.237.149.225 194.25.2.129 |
|
|
|
|
|
|
26.08.2004, 18:59
Ehrenmitglied
Beiträge: 29434 |
#311
Hallo @Hefekind
fixe mit dem HijackThis, dann sofort neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rmouw.dll/sp.html#37049 O2 - BHO: (no name) - {02787344-5570-7DA8-92C0-D1EB914ABB5C} - C:\WINDOWS\ipuk.dll O4 - HKLM\..\Run: [ipsl32.exe] C:\WINDOWS\system32\ipsl32.exe neustarten Ueberpruefe mit Kaspersky(poste es mir dann) C:\WINDOWS\system32\ipsl32.exe http://www.kaspersky.com/remoteviruschk.html #Gehe in <Internetoptionen< und loesche die <TemporaryInternetfiles, Offline ,Cookies ) #Gehe in Start<Ausfuehren<%temp% /reinschreiben oder reinkopieren und loesche alle Temporay-Dateien Lade folgende Tools und scanne #AdAware (free)...updaten und dann <alle Dateien< scannen http://www.lavasoft.de/support/download/ #Spysweeper(free) http://www.spysweeper.com/ #Lade von dieser Seite CwShreeder http://www.chip.de/downloads/c_downloads_11353799.html (Lowspeed-Download) schliesse alle Browser-Fenster und scanne #Antivirus(free) ...<NOCH NICHT SCANNEN, SONDERN DANN IM ABGESICHERTEN MODUS, ZUSAMMEN MIT <ESCAN< konfigurierst du den Scanner unter <Optionen< <alle Dateien <Heuristik:mittel <Guard aktivieren (!) #Dann laedst du< eScan< (entpacke alles in eine c:\base, die du anlegst http://www.mwti.net/antivirus/free_utilities.asp suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) _________________________________________________________________ GEHE IN DEN ABGESICHERTEN MODUS(F8 beim Hochfahren dreucken) #Loesche manuell: C:\WINDOWS\system32\ipsl32.exe C:\WINDOWS\ipuk.dll 1) Mache einen Vollscann mit Antivirus 2)suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. NORMAL NEUSTARTEN _________________________________________________________________ Nach dem Scann, postest du mir alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal. (und die Info von Kaspersky) (stelle vorher im IE eine neue Startseite ein) MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.08.2004 um 19:10 Uhr von Sabina editiert.
|
|
|
|
|
|
|
26.08.2004, 21:54
...neu hier
Beiträge: 7 |
#312
ok danke für die super schnelle hilfe werde morgen mal versuchen ob ich das alles so hinkrieg
 allso hab alles probiert geht nich weg find einfach die ispl32.exe nich hier nochmal mein logfile Logfile of HijackThis v1.97.7 Scan saved at 16:29:38, on 28.08.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\addrt.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\Micha der große Held\Desktop\computer neu\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 O2 - BHO: (no name) - {AC143F1D-AC5E-2BFB-3800-4506564697DB} - C:\WINDOWS\addgk32.dll O4 - HKLM\..\Run: [addrt.exe] C:\WINDOWS\system32\addrt.exe O4 - HKLM\..\RunOnce: [ielm32.exe] C:\WINDOWS\ielm32.exe O4 - HKLM\..\RunOnce: [apiap32.exe] C:\WINDOWS\system32\apiap32.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B4551B45-4C31-4074-9956-6DEA916F5B17}: NameServer = 217.237.149.225 194.25.2.129 Dieser Beitrag wurde am 28.08.2004 um 16:29 Uhr von Hefekind editiert.
|
|
|
|
|
|
|
28.08.2004, 17:43
Ehrenmitglied
Beiträge: 29434 |
#313
@Hefekind
Datum Heute, 12:27 _________________________________________________________________ hallo also ich hab versucht die anleitung genau zu befolgen aber leider probleme gehabt habe die datei C:\WINDOWS\system32\ipsl32.exe nicht gefunden... Logfile of HijackThis v1.97.7 Scan saved at 12:23:40, on 28.08.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\addrt.exe C:\WINDOWS\System32\alg.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\eMCrypt\eMCrypt.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\IZArc\IZArc.exe C:\Dokumente und Einstellungen\Micha der große Held\Desktop\computer neu\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 O2 - BHO: (no name) - {AC143F1D-AC5E-2BFB-3800-4506564697DB} - C:\WINDOWS\addgk32.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ipsl32.exe] C:\WINDOWS\system32\ipsl32.exe O4 - HKLM\..\Run: [addrt.exe] C:\WINDOWS\system32\addrt.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKLM\..\RunOnce: [javaln32.exe] C:\WINDOWS\system32\javaln32.exe O4 - HKLM\..\RunOnce: [appyo32.exe] C:\WINDOWS\appyo32.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O17 - HKLM\System\CCS\Services\Tcpip\..\{B4551B45-4C31-4074-9956-6DEA916F5B17}: NameServer = 217.237.149.225 194.25.2.129 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.08.2004 um 17:44 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.08.2004, 17:48
Ehrenmitglied
Beiträge: 29434 |
#314
@Hefekind
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zzqjv.dll/sp.html#37049 O2 - BHO: (no name) - {AC143F1D-AC5E-2BFB-3800-4506564697DB} - C:\WINDOWS\addgk32.dll deaktiviere das vor dem Fixen im Taskmanager O4 - HKLM\..\Run: [ipsl32.exe] C:\WINDOWS\system32\ipsl32.exe O4 - HKLM\..\Run: [addrt.exe] C:\WINDOWS\system32\addrt.exe O4 - HKLM\..\RunOnce: [javaln32.exe] C:\WINDOWS\system32\javaln32.exe O4 - HKLM\..\RunOnce: [appyo32.exe] C:\WINDOWS\appyo32.exe neustarten #Dann laedst du< eScan< (entpacke alles in eine c:\base, die du anlegst http://www.mwti.net/antivirus/free_utilities.asp suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) 2)suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. Nach dem Scann, postest du mir alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal. (stelle vorher im IE eine neue Startseite ein) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.08.2004, 19:24
...neu hier
Beiträge: 3 |
#315
Hi!
hab auch den Dso Exploit Logfile of HijackThis v1.97.7 Scan saved at 19:23:49, on 28.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe E:\Programme\Logitech\iTouch\iTouch.exe E:\Programme\DU Meter\DUMeter.exe e:\Programme\Logitech\MouseWare\system\em_exec.exe E:\Programme\PTBSync\PTBSync.exe E:\Programme\Hmonitor\hmonitor.exe E:\Programme\PestPatrol\PPMemCheck.exe E:\Programme\PestPatrol\CookiePatrol.exe D:\Steam\Steam.exe C:\WINDOWS\System32\devldr32.exe E:\Programme\Seti@home\SetiHide.exe E:\PROGRA~1\ICQ\ICQ.exe E:\Programme\Seti@home\setiathome-3.08.i386-winnt-cmdline.exe E:\Programme\eMule\emule.exe E:\Programme\Mirc\mirc_upp.exe E:\Programme\totalcmd\TOTALCMD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Downis\HijackThis.exe E:\Programme\The Bat!\thebat.exe C:\WINDOWS\System32\taskmgr.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [zBrowser Launcher] e:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [DU Meter] E:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [PTBSync] E:\Programme\PTBSync\PTBSync.exe /Start O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [hmonitor] E:\Programme\Hmonitor\hmonitor.exe O4 - HKLM\..\Run: [PPMemCheck] E:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] E:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [Steam] D:\Steam\Steam.exe -silent O4 - Startup: Verknüpfung mit SetiHide.lnk = E:\Programme\Seti@home\SetiHide.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab danke schonmal für die hilfe |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
You see, there are several reports of this issue here in the Spybot forum, which shows that it is happening for a lot of people, so in that sense it's normal - meaning your system is reacting like many others...
However, the fact that Spybot isn't properly fixing this is just a simple bug that I'm sure will be fixed soon.
Basically what's happening is that Spybot is finding that the security setting for "Download unsigned ActiveX controls" for the (normally) hidden "My Computer" zone in Internet Explorer is not set to disabled.
Given that anyone who is properly patched (via Windows Update) is not vulnerable to this exploit anymore, this is really not a serious issue, so provided your system is patched, you have nothing to worry about and can just ignore this until the fix comes out.
#aendere also unter <Internetoptionen< <Download unsigned ActiveX controls<
auf "nein" (dann kansst du aber bestimmte Sachen nicht mehr laden)
#der Antivirus hat unter <Optionen< ein Kaestchen, wo du <Guard aktivieren< anhaken kannst. Dann sollte er sich gleich beim Hochfahren mitladen .
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit