Home » Spyware & Browser Hijacker Support Forum » Problem mit DSO-Exploit, was macht der » Themenansicht

Problem mit DSO-Exploit, was macht der

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.06.2004, 18:39
Websoul
...neu hier

Beiträge: 6
#46 Arme Sabina ;)

musst echt viel arbeiten O.o aber kannst du vieleicht mein LOG auch anschaun
würd mir echt weiter helfen wenn ich wissen würd wen ich was falsches aufm
Pc hab ;)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SYSTEM32\runsvc32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\SYSTEM32\runsvc32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Alex\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.jetsearch.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jetsearch.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jetsearch.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jetsearch.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jetsearch.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.jetsearch.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jetsearch.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jetsearch.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.camelotserver.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [runsvc32.exe] C:\WINDOWS\SYSTEM32\runsvc32.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe
O4 - HKCU\..\Run: [runsvc32.exe] C:\WINDOWS\SYSTEM32\runsvc32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//onlyforyou/main.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/hb/files.chm::/file.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/de/soesysinfo.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E79C86-13F7-449F-A9DD-9D6053FA587F}: NameServer = 217.237.149.161 194.25.2.129

vieleicht sihst du auch ein Fehler wieso mein CPU immer oft zu stark überlastet ist ;)

danke im voraus
Seitenanfang Seitenende
28.06.2004, 23:30
Cue
Member

Beiträge: 16
#47 Hallo Sabina!
alles klar, die sachen mache ich...
die startseite ist ne selbstgeschriebene, wo ich alle meine meistbesuchtesten Internetseiten als Link stehen habe.

Ich werde dann nun in den nächsten Tagen nen neuen Virenscanner und né neue Firewall installieren.

Ich sage besten Dank und ich werde das Forum weiterempfehlen.
SG Cue
Seitenanfang Seitenende
29.06.2004, 00:03
Cidre
Member

Beiträge: 441
#48 @ Websoul

Ich bin zwar nicht Sabina, aber trotzdem ans Werk lol

Überprüfe diese Datei C:\WINDOWS\System32\system.exe bei http://www.kaspersky.com/de/remoteviruschk.html
und teile uns das Ergebnis mit.

Lade dir hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

Diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.jetsearch.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jetsearch.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jetsearch.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jetsearch.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jetsearch.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.jetsearch.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jetsearch.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jetsearch.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.camelotserver.de/
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\system.exe Info
O4 - HKCU\..\Run: [runsvc32.exe] C:\WINDOWS\SYSTEM32\runsvc32.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//onlyforyou/main.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/hb/files.chm::/file.exe

Anmelden im abgesicherten Modus http://www.bsi.de/av/texte/wiederher_xp.htm und diese Dateien löschen:
C:\WINDOWS\System32\wer1306.dll
C:\WINDOWS\System32\system.exe
C:\WINDOWS\SYSTEM32\runsvc32.exe

ggf. Versteckte Dateien und Ordner anzeigen:
"Windows Explorer" öffnen ->"Extras" ->"Ordneroptionen" ->"Ansicht" ->"Versteckte Dateien und Ordner" ->"Alle Dateien und Ordner anzeigen"

- Temporäre Internet Files löschen
- mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) scannen
- interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
- Neustart
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
- neues Log-File posten

[/url]
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 29.06.2004 um 00:04 Uhr von Cidre editiert.
Seitenanfang Seitenende
29.06.2004, 01:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 @websoul
Lade noch den Cwhredder
http://www.spywareinfo.com/~merijn/downloads.html
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.06.2004 um 01:10 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.06.2004, 07:30
coma
...neu hier

Beiträge: 2
#50 ja hm ich hab den dso exploit sowie erm ..den trojaner TR/Dldr.Agent.Z.2

hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 07:21:31, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
E:\Programme\Winamp\Winampa.exe
E:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\javain.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
E:\programme\powerstrip\pstrip.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
\Comasic-a09y1ol\korsett\HijackThis.exe
\Comasic-a09y1ol\korsett\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qukkl.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qukkl.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qukkl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qukkl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qukkl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qukkl.dll/sp.html#37049
O2 - BHO: (no name) - {D8F6D4A4-DA9B-375A-A22C-47B875715113} - C:\WINDOWS\system32\mfczx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] E:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [javain.exe] C:\WINDOWS\system32\javain.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: PowerStrip.lnk = E:\programme\powerstrip\pstrip.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download by NetAnts - E:\DOWNLO~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - E:\DOWNLO~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts (HKLM)
O9 - Extra 'Tools' menuitem: &NetAnts (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38058.6830092593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBBF6CE6-02D6-4FF4-98E5-CC05FC2E4580}: NameServer = 217.237.149.161 194.25.2.129

bitte helfen ;)
Seitenanfang Seitenende
29.06.2004, 09:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 @coma

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qukkl.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qukkl.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qukkl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qukkl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qukkl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qukkl.dll/sp.html#37049
O2 - BHO: (no name) - {D8F6D4A4-DA9B-375A-A22C-47B875715113} - C:\WINDOWS\system32\mfczx.dll

O4 - HKLM\..\Run: [javain.exe] C:\WINDOWS\system32\javain.exe

neustarten

Gehe in den abgesicherten Modus...F8 beim Boooten druecken

#loesche
C:\WINDOWS\system32\mfczx.dll

Registry
Start\Ausguehren\regedit reinschreiben..es oeffnet sich die Registry
Loesche aud der rechten Seite unter folgendem Schluessel folgendes>[javain.exe]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

schliesse die Registry


#loesche C:\WINDOWS\system32\javain.exe
#mache einen Vollscann mit dem Antivir.
stelle ein \alle Dateien scannen\
......................................................................................................
neustarten

#Lade Cwshredder
http://www.spywareinfo.com/~merijn/downloads.html
#lade escan ...mwav.exe und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp

Poste , ob das Tool noch was gefunden hat.

#loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein.

#surfe nur mit Firefox..ist sicherer
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.06.2004 um 09:57 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.06.2004, 12:53
andin
...neu hier

Beiträge: 2
#52 Hi,
habe auch so ein DSO-Exploit Problem.
Nach stöbern in diversen foren hab ich mir einen anderen Internet Browser installiert (Netscape).
Könnte sich jemand mal mein HiJack Logfile anschauen und mir sagen was zu tun ist?
Logfile of HijackThis v1.97.7
Scan saved at 12:52:37, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Ideas\Iona\OrbixE2A\asp\5.1\bin\itconfig_rep.exe
f:\Ideas\mf\mfjobman\bin\mfjobman.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\dhbrwsr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\ziphelp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\dhsvr.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.213\HijackThis.exe
C:\Programme\Norton AntiVirus\OPScan.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0982868C-47F0-4EFB-A664-C7B0B1015808} - C:\WINDOWS\System32\mskhhe.dll
O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\PROGRA~2\java\bpkwb.dll (file missing)
O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {94927A13-4AAA-476A-989D-392456427688} - C:\WINDOWS\System32\msjfbl.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Truefonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msgked.exe
O4 - HKCU\..\Run: [ziphelp] C:\WINDOWS\ziphelp.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ACD201F-309E-4ABB-9B85-40B2237EEAF8}: NameServer = 145.253.2.203,145.253.2.171

Vielen Dank schonmal

Andi
Seitenanfang Seitenende
29.06.2004, 13:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#53 @andin

Fixe mit dem HijackThis

O2 - BHO: (no name) - {0982868C-47F0-4EFB-A664-C7B0B1015808} - C:\WINDOWS\System32\mskhhe.dll
O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll
O2 - BHO: PK IE Plugin - {1E1B2879-88FF-11D3-8D96-D7ACAC95951A} - C:\PROGRA~2\java\bpkwb.dll (file missing)
O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll (file missing)
O2 - BHO: (no name) - {94927A13-4AAA-476A-989D-392456427688} - C:\WINDOWS\System32\msjfbl.dll
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll

O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msgked.exe
O4 - HKCU\..\Run: [ziphelp] C:\WINDOWS\ziphelp.exe

neustarten

..........................................................................................................
gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

#Gehe in die Registry
Start\Ausfuehren\regedit
loescht du diese [winupd,ziphelp, msgked.exe.. jeweils auf der rechten Seite

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER>winupd

# und dann auch mit HIlfe der Suchfunktion von Windows

1. Starten Sie Windows Explorer.
2. Klicken Sie im Menü "Extras" auf "Ordneroptionen".
3. Klicken Sie auf die Registerkarte "Ansicht".
4. Deaktivieren Sie "Dateinamenerweiterung bei bekannten Dateitypen ausblenden".
5. Deaktivieren Sie "Geschützte Systemdateien ausblenden (empfohlen)" und klicken Sie unter "Versteckte Dateien und Ordner" auf "Alle Dateien und Ordner anzeigen".
6. Klicken Sie auf "Übernehmen" und anschließend auf "OK".
--
#C:\WINDOWS\System32\winupd.exe
#C:\WINDOWS\ziphelp.exe
#C:\WINDOWS\System32\msgked.exe



#Loesche ....falls es nicht geht...benenne sie um und loesche
C:\WINDOWS\System32\msibkd.dll
C:\WINDOWS\System32\toolbar.dll
C:\PROGRA~2\java\bpkwb.dll
C:\WINDOWS\System32\msjfbl.dll

..............................................................................................................
neustarten


#Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein

#Lade escan...mwav.exe ...30 Tage free und scanne alle Dateien..poste dann das Endergebnis vom Scann
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Cwshredder...schliesse vor dem Scannen den Browser
http://www.spywareinfo.com/~merijn/downloads.html
#Lade Spysweeper ...free
http://www.spysweeper.com/download.html

Surfe mit dem Firefox...ist sicherer
http://www.firebird-browser.de/

Dann poste das Log noch einmal.
MfG
Sabina

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_BAGLE.N
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.06.2004 um 13:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.06.2004, 13:42
Websoul
...neu hier

Beiträge: 6
#54 danke vorerst Cidre

leider habe ich keine stystem.exe unter Windows/system.exe nur eine Ini datei:

Zu überprüfende Datei: system.ini

system.ini Ok

und einen System ordner.
Seitenanfang Seitenende
29.06.2004, 14:39
boneaGe
...neu hier

Beiträge: 2
#55 Ich finde es wirklich beachtlich, dass hier einige ihre freizeit für individuelle Internetsicherheit opfern ;)
und wenn wir gerade dabei sind, ich würde gerne auch meine hijackthis log durchsucht bekommen, weil ich diverse probleme hab, die ich unten noch weiter schildere.

erstmal hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 14:36:31, on 29.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Proggs\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vnv4ever.de.vu/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Bei DSO Exploit zeigt S&D mir auch immer 5 hijacker entries an

Seit heute benutze ich ausschließlich Firefox als Browser.
Ein weiteres Problem gerade was ich habe ist, dass all meine Ordner schreibgeschützt sind.
Bin mir sicher ihr könnt helfen

edit: die vnv4ever.de.vu page ist von meinem Clan die interne Page falls euch das fremd erscheint
Dieser Beitrag wurde am 29.06.2004 um 14:40 Uhr von boneaGe editiert.
Seitenanfang Seitenende
29.06.2004, 14:42
Websoul
...neu hier

Beiträge: 6
#56 mein neuer LOG leider geht update nicht ^^

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Alex\Desktop\Neuer Ordner\HijackThis.exe

O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E79C86-13F7-449F-A9DD-9D6053FA587F}: NameServer = 217.237.149.161 194.25.2.129


ist da noch was zu finden ?
Seitenanfang Seitenende
29.06.2004, 15:44
andin
...neu hier

Beiträge: 2
#57 @sabina
Danke erstmal,
folgende Probleme sind aufgetreten:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER>winupd

soll ich den RUN-Ordner löschen oder nach ....winupd,ziphelp, msgked.exe.... suchen und diese entfernen? Die gab es dort nicht.

Mit der Suchfunktion von windows habe ich alles gelöscht was ich finden konnte.

Muss ich dir den ganzen escan_Log schicken oder reichen die 10 identifizierten Viren? Alles ist ein wenig viel.


Danke Andi
Seitenanfang Seitenende
29.06.2004, 22:50
mr.molli
...neu hier

Beiträge: 10
#58 hallo Leute habe mich gerade bei euch angemeldet!!

Habe nicht viel ahnung im umgang mit der sicherheit und ja ich habe mir hier schon viel durchgelesen.
Habe spybot .... durchlaufen lassen und meinen virenscanner auch aber trotzdem komt immer diese meldung,
5 dso exploit gefunden habe nun hijacker ausgeführt und hier mein Logfile.

Logfile of HijackThis v1.97.7
Scan saved at 22:31:04, on 29.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\molli\Eigene Dateien\Wurm - Kur\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://p2.hostingprod.com/@systemsupdate.com/index.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Windows Firewall] firewal1.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Windows Firewall] firewal1.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Windows Firewall] firewal1.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

so liebe leute könnt ihr mir bitte weiterhelfen
mfg mr.molli
Seitenanfang Seitenende
30.06.2004, 02:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#59 @boneaGe

Bei DSO Exploit zeigt S&D mir auch immer 5 hijacker entries an.............
Das ist ein Bug..also keine Sorge.
Das Log scheint sauber.
Lade mal den Spysweeper...free und scanne.
http://www.spysweeper.com/


Mache die WindowsUpdates und aktualisiere den IE
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6


Lade einen Antivirus, falls du keinen hast.
Stelle ein <alle Dateien scannen.
und mache immer die Updates.
http://www.free-av.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.06.2004 um 02:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.06.2004, 02:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#60 @Websoul
Der Antivirus hat einen Guard..muss im Autostart 04 eingetragen sein.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: