Home » Spyware & Browser Hijacker Support Forum » Problem mit DSO-Exploit, was macht der » Themenansicht
Problem mit DSO-Exploit, was macht derThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
01.07.2004, 00:19
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
01.07.2004, 00:30
...neu hier
Beiträge: 4 |
#77
hallo
Ich hab mir einen wurm (Trojaner?!) aus dem IRC eingefangen 1. beim win start öffnet sich kurz IRC, obwohl ich es nicht installiert habe 2. im IRC sende ich links, die ich selber nicht sehe, aber auf den wurm verweisen -Spybot findet den DSO Exploit (direkt vers. 1.3 installiert) mit 5 regkey Einträgen und Kazaa.IRC.Spybot13.WorldNL (ich habe kein kazaa drauf). Ich kann das beides so oft löschen wie ich will, es ist immer nach reboot wieder da -Norton AV & Norton SEC sagen beim Klicken des Wurmlinks sie hätten einen Virus gelöscht, finden beim Scan aber nichts -ad aware findet immer nur einen regkey Eintrag -stinger findet ebenfalls nichts hier ist mein hijackthis log Logfile of HijackThis v1.98.0 Scan saved at 00:25:55, on 01.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\programme\powerstrip\pstrip.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\DLCJZOYV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\windows\system32\secure\rundll32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\windows\system32\rundll32\svchost.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Downloads\HijackThis.exe F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Winsock2 driver] DLCJZOYV.EXE O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\RunOnce: [Winsock2 driver] DLCJZOYV.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe powerstrip ist clean, das ist ein gamma programm für die helligkeit Ich hoffe es kann mir jemand helfen Danke im Voraus |
|
|
|
|
|
|
01.07.2004, 09:01
...neu hier
Beiträge: 10 |
#78
@sabina hi und guten morgen schaue dir bitte mein log nochmal an!!
Logfile of HijackThis v1.97.7 Scan saved at 08:59:41, on 01.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Dokumente und Einstellungen\molli\Eigene Dateien\Wurm - Kur\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0 O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE |
|
|
|
|
|
|
01.07.2004, 11:14
Ehrenmitglied
 Beiträge: 29434 |
#79
@Roland2k4
Deaktiviere die Wiederherstellung Fixe mit dem HijackThis F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O4 - HKLM\..\Run: [Winsock2 driver] DLCJZOYV.EXE O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKLM\..\Run: [RUNDLL] c:\windows\system32\rundll32\svchost.exe O4 - HKCU\..\RunOnce: [Winsock2 driver] DLCJZOYV.EXE neustarten Bevor ich dich in die Registry schicke, scanne mit mwav.exe <alle Dateien. Dann poste das Log noch mal. http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina Viren : C:\WINDOWS\System32\DLCJZOYV.EXE C:\windows\system32\secure\rundll32.exe __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.07.2004 um 11:15 Uhr von Sabina editiert.
|
|
|
|
|
|
|
01.07.2004, 11:17
Ehrenmitglied
Beiträge: 29434 |
#80
@mr.molli
Das Log ist in Ordung Update immer den Antivirus und den AdAware und scanne regelmaessig Surfe nur mit dem Firefox...ist sicherer. http://www.firebird-browser.de/ Tschuess Sabina  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.07.2004, 12:24
...neu hier
Beiträge: 4 |
#81
was meinst du mit Deaktiviere die Wiederherstellung ? :s
|
|
|
|
|
|
|
01.07.2004, 13:02
...neu hier
Beiträge: 10 |
#82
@Sabina du hast mir sehr geholfen kein plan wie ich dir das zurückzahlen kann VIELLLLLLLLLLEN DANK und mache weiter so.
Bis zum nächsten Problem!!!!!!!!!!!!! Mfg molli |
|
|
|
|
|
|
01.07.2004, 14:05
...neu hier
Beiträge: 4 |
#83
Ich hab gefixet was du sagtest und den scan gemacht, er zeigte über 400 dateien an (über 200 aber "taged as not-a-virus" -> no action; ca 180 gelöscht)
Hier ist der Log Logfile of HijackThis v1.98.0 Scan saved at 14:02:57, on 01.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\programme\powerstrip\pstrip.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\hijackthis\HijackThis.exe F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe by the way: IRC startet beim Winstart nichtmehr 
|
|
|
|
|
|
|
01.07.2004, 14:17
...neu hier
Beiträge: 1 |
#84
Hi Sabina,
erstmal Vielen Dank für deinen tollen Dienst hier!. Nachdem ich mich lange nicht um Trojaner, Viren, usw. gekümmert habe, da ich hinter einer Firewall sitze und mein System normalerweise sauber halte, tauchen jetzt einige Probleme auf. Spybot zeigt mir auch das Problem mit dem "DSO Exploit" an und IE (den ich nur selten nutze) startet auch immer mit einem neuen Fenster, wenn ich es öffne. Hier mal mein Hijack-Log: C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Creative\SBLive\Surround Mixer\CTSysVol.exe C:\Programme\Globe Software\StatBar\StatBar.exe D:\Downloads\DeeEnEs-2.3.27\DeeEnEs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe E:\Emule\emule0.42g-pawcio.4.25d-se-bin\emule0.42g-pawcio.4.25d-se-bin\emule.exe E:\Emule\emulev0.42g-MorphXTv3.5-bin\emule\emule.exe C:\Programme\Opera723\Opera.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\JanK\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HijackThis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.123.254/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\qeaezu.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AcronisTrueImage Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBLive\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunOnce: [C:\WINDOWS\System32\ivexogu.dll] C:\WINDOWS\system32\cmd.exe /c del C:\WINDOWS\System32\ivexogu.dll >nul O4 - HKCU\..\Run: [StatBar] C:\Programme\Globe Software\StatBar\StatBar.exe O4 - HKCU\..\Run: [DeeEnEs] D:\Downloads\DeeEnEs-2.3.27\DeeEnEs.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://express.bilderservice.de/static/download/iedropupload.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7ABFDA45-09ED-4C8D-8D37-5A2A1513F45A}: NameServer = 192.168.123.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{7ABFDA45-09ED-4C8D-8D37-5A2A1513F45A}: NameServer = 192.168.123.254 O17 - HKLM\System\CS2\Services\Tcpip\..\{7ABFDA45-09ED-4C8D-8D37-5A2A1513F45A}: NameServer = 192.168.123.254 ------------------------ ich lasse auch gerade das mwav.exe-Programm durchlaufen und habe mir AntiVir runtergeladen... Danke nochmals.. Bate /Edit: O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\qeaezu.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll Die sind doch sehr auffällig... Dieser Beitrag wurde am 01.07.2004 um 15:51 Uhr von Bate editiert.
|
|
|
|
|
|
|
01.07.2004, 19:42
...neu hier
Beiträge: 2 |
#85
soo hier is mein log nach dem scanning und fixen:
Logfile of HijackThis v1.97.7 Scan saved at 19:41:41, on 01.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe E:\Programme\Winamp\Winampa.exe E:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe E:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe E:\programme\powerstrip\pstrip.exe C:\WINDOWS\system32\javain.exe C:\Programme\Internet Explorer\iexplore.exe E:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: (no name) - {D8F86D1C-DCB4-B7F0-F514-1EC3928A742B} - C:\WINDOWS\addal.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] E:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [javain.exe] C:\WINDOWS\system32\javain.exe O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: PowerStrip.lnk = E:\programme\powerstrip\pstrip.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Download by NetAnts - E:\DOWNLO~1\NetAnts\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - E:\DOWNLO~1\NetAnts\NAGetAll.htm O9 - Extra button: NetAnts (HKLM) O9 - Extra 'Tools' menuitem: &NetAnts (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38058.6830092593 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FBBF6CE6-02D6-4FF4-98E5-CC05FC2E4580}: NameServer = 217.237.149.161 194.25.2.129 sollte wohl jetzt i.O. sein...denk ich maok..edit: nachm neustart haut die startseite hin..nur ich hab den blöden trojaner immer noch drauf  Dieser Beitrag wurde am 01.07.2004 um 19:52 Uhr von coma editiert.
|
|
|
|
|
|
|
01.07.2004, 19:54
Ehrenmitglied
Beiträge: 29434 |
#86
Roland2k4
Soweit ich sehen kann, ohne Startseite ist alles o.k. Was hast du nicht loeschen koennen (mwav.exe)??? mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.07.2004, 20:03
Ehrenmitglied
Beiträge: 29434 |
#87
@Bate
Fixe mit dem HijackThis R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.123.254/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\qeaezu.dll neustarten Loesche C:\WINDOWS\mxTarget.dll C:\WINDOWS\System32\qeaezu.dll #Lade mwav.exe ...30 Tage free und scanne <alle Datein< poste, was das Tool noch fefunden hat. http://www.mwti.net/antivirus/free_utilities.asp #Lade Spysweeper free http://www.spysweeper.com/ #Lade Sp http://www.rokop-security.de/main/article.php?sid=746 #Lade Cwhredder http://www.spywareinfo.com/~merijn/downloads.html #lade ClearProg. ...BETA 8 und loesche die TemporayInternetFiles und die Cookies mit diesem Tool...stelle dann eine neue Startseite unter <InternetOptionen ein http://www.clearprog.de/ #Lade Firefox...ist sicherer http://www.firebird-browser.de/ MfG Sabina http://www.kaspersky.com/remoteviruschk.html ueberpruefe das mit Kspersky O4 - HKLM\..\RunOnce: [C:\WINDOWS\System32\ivexogu.dll] C:\WINDOWS\system32\cmd.exe /c del C:\WINDOWS\System32\ivexogu.dll >nul __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.07.2004 um 20:03 Uhr von Sabina editiert.
|
|
|
|
|
|
|
01.07.2004, 20:07
Ehrenmitglied
Beiträge: 29434 |
#88
@coma
Fixe noch O2 - BHO: (no name) - {D8F86D1C-DCB4-B7F0-F514-1EC3928A742B} - C:\WINDOWS\addal.dll O4 - HKLM\..\Run: [javain.exe] C:\WINDOWS\system32\javain.exe neustarten Loesche im abgesicherten Modus...F8 beim Booten druecken C:\WINDOWS\addal.dll scanne,mit mwav.exe ...30 Tage free poste, was das Tool noch gefunden hat. http://www.mwti.net/antivirus/free_utilities.asp loesche die TemporaryInternetfiles unter InternetOptionen Tip der AVGUARD.EXE Antivirus muss unbedingt im Autostart 04 erscheinen, sonst hast du gleich wieder einen VIRUS drauf..... Lade Firefox...ist sicherer http://www.firebird-browser.de/ und lade eine firewall Sygate free http://smb.sygate.com/products/spf_standard.htm Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.07.2004 um 20:11 Uhr von Sabina editiert.
|
|
|
|
|
|
|
01.07.2004, 21:46
...neu hier
Beiträge: 4 |
#89
@Sabina
Das mwav.exe hat dateien gefunden, diese dann aber teilweise renamed oder taged als "not-a-virus" aber ich denke das is schon ok. Es läuft wieder alles normal, danke für deine Hilfe
|
|
|
|
|
|
|
02.07.2004, 18:42
...neu hier
Beiträge: 1 |
#90
hmm
seit heute habe ich auch das "DSO Exploit". Und das obwohl ich gestern erst formatiert habe, vorher hatte ich das noch nie, und das erste was ich gestern gemacht habe waren die Windows Updates. Woher kommt das? Ich benutze nichtmals IE. und wie bekomm ich das DSO Expoilt wieder weg? mein hijackthis log ---- Logfile of HijackThis v1.98.0 Scan saved at 18:40:51, on 02.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\programme\powerstrip\pstrip.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\devldr32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\NoNameScript\mirc.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe E:\tools\hijackthis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\RunServices: [Microsoft Update] SCVHOSTXP.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{60157296-8691-4FBA-919A-9E612A6038C0}: NameServer = 217.237.150.97 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{60157296-8691-4FBA-919A-9E612A6038C0}: NameServer = 217.237.150.97 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{60157296-8691-4FBA-919A-9E612A6038C0}: NameServer = 217.237.150.97 194.25.2.129 ---- danke schonmal :/ |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
vielen dank ich glaube im mom is der Pc sauber vielen dank und ich hoffe ich kann dir auch mal helfen.
Ps mein 2 rechner is auch bald dran hehe bis denne molli