Problem mit DSO-Exploit, was macht der

#31 @Cue, kannst du schicken..., obwohl ich weiss, womit der Comp. verseucht ist.....aber vielleicht hat der Onlinescann noch was gefunden, was ich nicht gesehen habe.

Scanne noch einmal mit (mwav.exe)...escann...aber erst fixe, was ich gepostet hatte und neustarten.


ich werde mir dein Log noch einmal in Ruhe ansehen und dir erklaeren, wie du manuell loeschen kannst.
So in einer Stunde poste ich es. o. k. ?
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#32 @Hallo Diana

Oppss...es scheint alle sauber.

Lade mal den Spyhunter.
http://www.antivirus-online.de/german/countspy.php3?a=14003
Das Tool loescht nicht, aber du kannst nach dem Scannen posten, ob was gefunden wirde.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#33 hallo sabina,
der spyhunter hat folgendes gefunden "cryp key" nicht näher definiert
location"prozesses"
type"memory"
danger "severe"

hm,was ist das denn ?
liebe grüsse diana

#34 @cue

bringe das wieder in den Autostart...falls du es gefixt hattest ....
Startup: fms32pro.lnk = C:\Programme\FMS32-PRO\fms32pro.exe
http://www.funkmelderservice.de/fms32pro.htm


Fixe
O4 - HKLM\..\Run: [ga] C:\windows\temp\ga.exe
O4 - HKLM\..\Run: [Microsoft Update] wudmate.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wudmate.exe
O4 - HKLM\..\Run: [infamous.exe] C:\Programme\Windows Media Player\wmplayer.exe



NEUSTARTEN

Gehe in den abgesicherten Modus...dazu drueckst du die Tast F8 wenn der Computer hochfaehrt.

Gehe in die Registry
Start<Ausfuehren<regedit reinschreiben und o.k

es oeffnet sich die Registry


Loesche jeweils auf der rechten Seite der Registry:

#HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[ga] temp\ga.exe.
[Microsoft Update]
[infamous.exe]Windows Media Player\wmplayer.exe

#HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
[Microsoft Update]
Windows Media Player = wmplayer.exe

#HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update


schliesse die Registry

Loesche mit Hilfe der Suchfunktion von Windows
c:\windows\system32\wmplayer.exe
c:\windows\system32\wudmate.exe
C:\Programme\windowsmediaplayer\wmplayer.exe
C:\windows\temp\ga.exe.
...........................................................................................................

wmplayer.exe Infiziert: TrojanDownloader.Win32.Small.iq


......................................................................................................
#mache einen Vollscann mit dem Antivirus
<alle Dateien scannen <einstellen

neustarten

Poste das Log noch einmal.
MfG
Sabina


http://www.sophos.de/virusinfo/analyses/w32rbotbf.html
http://www.vsantivirus.com/gaobot-ct.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#35 @Sabina

Vielen Dank für die Überprüfung.
Spybot zeigt mir immer wieder den DSO-Exploit an.
Ich weiß, daß es da diesen Bug gibt, aber ich wollte es eben nochmal als Vorsichtsmaßnahme überprüft haben.

#36 @Goettingen
Here is the registry information:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
Change the value of "1004" (DWORD) to 3.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#37 @Sabina

Achso, und Spybot löscht den Wert "3" dann wieder weg.

Was bewirkt denn dieser Value überhaupt?


MfG

#38 Ohne was falsches zu sagen...ich glaube, es hat etwas mit der Sicherheit von <sript< vom IE zu tun.

Das mit Spybot soll ein Bug sein.
Die neue Variante soll das schon nicht mehr haben.
http://www.safer-networking.org/index.php?page=download&lang=de
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#39 @diana

Mach dir keine Sorgen, ein <cryp key <dient zur Verschluesslung von Daten.
Die Spywarescanner "uebertreiben " manchmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#40 ok und danke;-)
liebe grüsse diana

#41 Hallo Sabina!
Ich konnte wmplayer.exe und wudmate.exe mit der Suchfunktion on Windows erfolgreich löschen, aber die dateien im Reg Editor konnt ich nicht finden. Sie sind anscheinend nicht vorhanden.
Den Temp ordner habe ich vorher schon geleert und somit ist die ga.exe auch gelöscht.

Hier mein Hijack Lock

Logfile of HijackThis v1.97.7
Scan saved at 20:34:42, on 27.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\lvhidsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\Linksts.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\StatBar\StatBar.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Sony Handheld\AlarmApp.exe
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Martin Kerstiens\Desktop\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Martin%20Kerstiens/Eigene%20Dateien/Eigene%20Webs/index.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [StatBar] C:\Programme\StatBar\StatBar.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Startup: AlarmApp.lnk = C:\Programme\Sony Handheld\AlarmApp.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{439E6A74-1C6E-499B-B1F9-4BDC316A75F0}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{439E6A74-1C6E-499B-B1F9-4BDC316A75F0}: NameServer = 62.104.191.241 62.104.196.134

#42 @Cue
Hartnaeckigkeit zahlt sich eben aus....

1. Deinstalliere deinen Virenscanner und installiere ihn neu, denn nach dieser Virenattacke ist er zerstoert.
2. diese Startseite ist komisch ..ist sie gewuenscht ???
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Martin%20Kerstiens/Eigene%20Dateien/Eigene%20Webs/index.htm

3. surfe nur mit dem Firefox...soll hijackerfrei sein...stelle ebenfalls eine Startseite ein.
http://www.firebird-browser.de/
4. Lade eine Firewall, falls du noch keine hast
http://smb.sygate.com/products/spf_standard.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#43 @Sabina

Gibt es denn eine Möglichkeit das wegzukriegen?

#44 @Göttingen und alle die, die sich nur wegen der wiederkehrenden DSO Exploit-Meldung von Spybot S&D v1.3 Sorgen machen, sonst aber keine erkennbarenProbleme mit dem Rechner haben.

Laut dem Spybot-Team, das auch im Spybot-Support-Forum postet, handelt es sich dabei um einen nicht weiter tragischen Fehler der Spybot S&D v1.3. (Wer zuvor die Version 1.2 installiert hatte, bekommt die Meldung offensichtlich nicht, da das DSO Exploit-Problem damit bereits korrekt gefixt wurde.)
Der Fehler soll in einem der nächsten Updates behoben werden.

Alles hier http://forums.net-integration.net/index.php?showtopic=15905&hl=dso+exploit nachzulesen.

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)

#45 @RollaCoasta

Besten Dank für die Info.
Dann bin ich jetzt wieder beruhigt und werde mal auf das Update warten.

MfG