Home » Spyware & Browser Hijacker Support Forum » Problem mit DSO-Exploit, was macht der » Themenansicht

Problem mit DSO-Exploit, was macht der

Thema ist geschlossen!
Thema ist geschlossen!
#0
02.04.2004, 14:35
wctee
Member
Avatar wctee

Beiträge: 19
#1 //EDIT: WICHTIG ! BITTE LESEN ! ERKLÄRUNG zum DSO_EXPLOIT !

Zitat

Spybot Search & Destroy\ DSO Exploit
http://www.trojaner-board.de/showpost.php?p=70985&postcount=6
Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot.
Mauelle Beseitigung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959
oder
du benutzt ein Tool wie "dsostop":
http://www.nsclean.com/dsostop.html

Das Log ist sauber, aber es sind noch einige Dinge zu beachten:
# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt und durch jedermann, der Zutritt zu Ihrem Computer hat, ausgewertet werden können.
http://www.almisoft.de/traxex2.htm

#IE Spyad (ueber DOS)
IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers.
Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks
http://www.pctipp.ch/downloads/dl/27634.asp


#Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#.Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

mfg
Sabina
Ich habe so einen komischen DSO-Exploit
ich wes aber nicht was das ist :;)
spybot hat den gefunden
Bei http://security.greymagic.com/adv/gm001-ie/ is auch nix!
Dieser Beitrag wurde am 02.04.2004 um 15:16 Uhr von raman editiert.
Seitenanfang Seitenende
18.05.2004, 13:22
CoLdIcE
...neu hier

Beiträge: 3
#2 Also,

der "DSO-Exploit" ermöglicht es einem Webseiten-Programmierer eine beliebige Datei auf Deinem Rechner auszuführen.
Das ist ne Sicherheitslücke im InternetExplorer.
Wie das ganze funktioniert findest Du auf der Seite, die Du oben verlinkt hast.

auf der Seite steht auch, wie man das Problem beseitigen kann:

Zitat

There is no configuration-tweaking workaround for this bug, it will work as long as the browser parses HTML. The only possible solution must come in the form of a patch from Microsoft.

Update - 3 Mar 2002

Since the injected <object> runs in the "My Computer" Zone changing the Internet Zone's settings didn't affect it, but changing the correct zone's settings will prevent this exploit from running.

Here is the registry information:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
Change the value of "1004" (DWORD) to 3.

Many thanks to Axel Pettinger and Garland Hopkins for this workaround.
hier ein Link, um zu testen ob Dein InternetExplorer noch anfällig dafür ist: http://www.greymagic.com/security/advisories/gm001-ie/simplebind.html
Wenn dein InternetExplorer noch anfällig ist, öffnet sich beim Aufrufen der Seite automatisch der Taschenrechner von Windows.

Ich hoffe, ich konnte Dir damit weiterhelfen.

Gruß
CoLdIcE[/url]
Seitenanfang Seitenende
11.06.2004, 20:11
diana
...neu hier

Beiträge: 4
#3 hey hallo,
beim öffnen des links kam bei mir die meldung von mcaffe das ein trojaner beseitigt wurde...

der trojaner heisst exploit-codeBase.gen

ich habe seit heute auch das problem mit dso - exploit...

hm...merkwürdig...
weiss jemand rat????
Dieser Beitrag wurde am 11.06.2004 um 20:17 Uhr von diana editiert.
Seitenanfang Seitenende
11.06.2004, 22:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @Diana
Lade das HijackThis, scanne, save und kopiere das Log mit der Maus und ab ins Forum
http://board.protecus.de/t9391.htm
Dann koennen wir besser helfen
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.06.2004, 16:19
RBB
...neu hier

Beiträge: 2
#5 Hier meine Daten die ich mit dem Prog gesavt habe:




Logfile of HijackThis v1.97.7
Scan saved at 16:19:26, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\RBB\LOKALE~1\Temp\Rar$EX00.656\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {61867723-09AD-4AC4-956C-6EDEC75F1563} - C:\WINDOWS\System32\alijj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38151.5991435185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D602F79F-B7E8-4960-AF8A-1048CB057E17}: NameServer = 217.237.151.161 194.25.2.129




Könnt ihr was damit anfangen ich will das ding weg haben

Danke
Seitenanfang Seitenende
21.06.2004, 19:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 @RBB

Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RBB\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: (no name) - {61867723-09AD-4AC4-956C-6EDEC75F1563} - C:\WINDOWS\System32\alijj.dll

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL


neustarten

gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

#Deinstalliere das Programm MyWay
#dann loesche C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
#loesche C:\WINDOWS\System32\alijj.dll


normal neustarten

loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein.

Lade AdAware free von Lavasoft und den CWHredder und scanne.
(suche ...googeln ,oder im Forum sehen ... ich habe hier die Links zu den Seiten nicht)
Dann poste das gereinigte Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.06.2004 um 19:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.06.2004, 12:36
wctee
Member

Themenstarter
Avatar wctee

Beiträge: 19
#7 Danke bitte mal log anschauen ;) :

Logfile of HijackThis v1.97.7
Scan saved at 12:36:51, on 22.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.at/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINNT\DOWNLO~1\ALTAVI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINNT\DOWNLO~1\ALTAVI~1.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: AltaVista Search - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Translate - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1080914207
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.apple.com/iTunes4/WW/win/D019-0123.20040106.vfp5a/iTunesSetup.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.winexperts.de/TSWeb/msrdp.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38014.2975925926
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
Seitenanfang Seitenende
22.06.2004, 14:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 @wctee


ich habe nichts Auffaelliges gefunden.

Du kannst ja mal AdAware free laden
http://www.lavasoft.de/

und mwav.exe...30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp
wenn der Scanner was finden sollte, musst du es manuell loeschen.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.06.2004, 23:11
RBB
...neu hier

Beiträge: 2
#9 Also hier nochmal mein Scan ich denke es ist alles ok oder??



Logfile of HijackThis v1.97.7
Scan saved at 23:11:13, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\RBB\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38151.5991435185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D602F79F-B7E8-4960-AF8A-1048CB057E17}: NameServer = 217.237.151.161 194.25.2.129

oder nciht
Seitenanfang Seitenende
23.06.2004, 09:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @RBB

es ist alles sauber
Lade noch den Firefox als AlternativBrowser...ist hijackerfrei
http://www.firebird-browser.de/

und lade einen Virenscanner
http://www.free-av.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.06.2004, 13:32
Cue
Member

Beiträge: 16
#11 Hallo Leute!

Ich habe das gleiche Problem:
Hier mein Hijack Lock!

Logfile of HijackThis v1.97.7
Scan saved at 13:23:33, on 26.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\lvhidsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\Linksts.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\PROGRA~1\MOUSES~1\bally4d.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\lwkeu.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\windows\temp\ga.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Sony Handheld\AlarmApp.exe
C:\Programme\FMS32-PRO\fms32pro.exe
C:\Programme\Sony Handheld\HOTSYNC.EXE
C:\WINDOWS\System32\sDtcM.exe
C:\Programme\StatBar\StatBar.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\Dokumente und Einstellungen\Martin Kerstiens\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///C:/Dokumente%20und%20Einstellungen/Martin%20Kerstiens/Eigene%20Dateien/Eigene%20Webs/index.htm
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Microsoft Tray] C:\My Shared Folder\1500 nokia ringtones.exe
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [iwbhu] C:\WINDOWS\lwkeu.exe
O4 - HKLM\..\Run: [infamous.exe] C:\Programme\Windows Media Player\wmplayer.exe
O4 - HKLM\..\Run: [ga] C:\windows\temp\ga.exe
O4 - HKLM\..\Run: [sDtcM] C:\WINDOWS\System32\sDtcM.exe
O4 - HKCU\..\Run: [StatBar] C:\Programme\StatBar\StatBar.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AlarmApp.lnk = C:\Programme\Sony Handheld\AlarmApp.exe
O4 - Startup: fms32pro.lnk = C:\Programme\FMS32-PRO\fms32pro.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)


Was kann ich da machen? Wäre sehr dankbar wenn ihr mir helfen könnt!

SG Cue
Seitenanfang Seitenende
26.06.2004, 14:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @Cue


Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///C:/Dokumente%20und%20Einstellungen/Martin%20Kerstiens/Eigene%20Dateien/Eigene%20Webs/index.htm
R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [iwbhu] C:\WINDOWS\lwkeu.exe
O4 - HKLM\..\Run: [infamous.exe] C:\Programme\Windows Media Player\wmplayer.exe
O4 - HKLM\..\Run: [ga] C:\windows\temp\ga.exe
O4 - HKLM\..\Run: [sDtcM] C:\WINDOWS\System32\sDtcM.exe


das ist nicht <bad< sollte aber nicht im Autostart sein
fixe es auch
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

neustarten


#lade unbedingt... mwav.exe...30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp

#Lade AdAware free
http://www.rokop-security.de/main/article.php?sid=703

#Lade a2
http://www.emsisoft.de/de/software/free/

#Lade Spyhuter
http://www.antivirus-online.de/german/countspy.php3?a=14003
Poste, was das Tool anzeigt...

#Mache noch einen onlinescann
http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php

#Mache die WindowsUpdates

#aktualisiere den IE
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein.

Dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.06.2004 um 15:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.06.2004, 14:26
Cue
Member

Beiträge: 16
#13 Hallo Sabina!

Erstmal herzlichen dank für Deine schnelle Antwort. Aber ich habe ein paar probleme wie ich das alles machen soll.

Also ich habe ad aware und spybot S+D

desweiteren habe ich den AntiVir.

Reicht das aus, oder soll ich die anderen sachen auch noch ziehen?

Also, habe nun die sachen gefixt und die systemherstellung wieder aktiviert...

Ich habe den Internet Explorer nicht mehr als Borwser, ich benutze nun Firefox von Mozilla....

SG Cue
Dieser Beitrag wurde am 26.06.2004 um 14:58 Uhr von Cue editiert.
Seitenanfang Seitenende
26.06.2004, 15:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 du musst unbedingt alles abarbeiten......denn dein Comp. ist voellig verseucht.


nach dem Fixe und neustarten

#lade unbedingt... mwav.exe...30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp

#mit allen anderen Tools scanne, der Spyhunter loescht nicht...zeigt nur an,
Poste dann, was die mwav.exe angezeigt hat und auch der Spyhunter.

Dann poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.06.2004 um 15:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.06.2004, 17:39
Cue
Member

Beiträge: 16
#15 Hallo!

Spyhunter zeigt nur ne registry Datei names 180 Solutions an. Die kann ich aber manuell nicht entfernen. Das gleiche zeigt auch Spybot an. Der kann es aber nicht löschen.
Name 180Solutions
location HK_KEY_LOCAL_MACHINE\software180solutions
Type Registry
danger severe

Er hat auch keine Definition für die gefundene datei
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: