Hi Leute,

habe obige Meldungen von Spybot angezeigt bekommen. Kann mal jemand meine HiJack überprüfen. Danke schon mal.

Gruss Euchrid

Logfile of HijackThis v1.98.0
Scan saved at 16:04:44, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Genius NetScroll + Series Mouse\mouseElf.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Teledat\IWatch.exe
C:\Dokumente und Einstellungen\bodo vehrs\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:www.google.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [mouseElf] C:\Programme\Genius NetScroll + Series Mouse\mouseElf.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBCF6B76-6B1B-4551-B0DB-DB65D5D2EF7F}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9601F8F-FB6A-4AB9-B883-63B2D8A7A1E8}: NameServer = 192.168.121.252,192.168.121.253

check mal bitte die folgende Datei bei Kaspersky:

C:\WINDOWS\system32\userinit.exe

Sie könnte Dein Problem sein, weil von Wurm überschrieben!

Hallo Leute !

Seit zehn Stunden habe ich mich mit "Hilfe" von Forenbeiträgen mit DSO Exploit auseinandergesetzt und mich erst jetzt endlich gegen DSO Exploit durchsetzen können. Allerdings: Eine fertige Lösung gibts nirgends. Nach dem ein Spiegelbericht mir den letzten Wissensbaustein verliehen hat, hier der Weg wie man DSO Exploit los wird:

Alle Einzelschritte, was ihr tun müßt:

1.) Download des Programms "BHODemon" von www.definitivesolutions.com

Dieses kostenlose Programm wird auf Eurem Rechner alle BHOs erkennen und anzeigen. Es wird auf jeden Fall diverse bekannte BHOs finden. Bei mir waren es vier. Vier, die gewollt und in Ordnung waren. Ein weiteres vorhandenes, war dem Programm jedoch nicht bekannt und wurde bemängelt.

Dieses unbekannte BHO könnte man nun von BHODemon löschen lassen. Das würde zu diesem Zeitpunkt aber noch keinen Sinn machen, weil DSO Exploit eine dll namens jci.dll in folgendes Verzeichnis hineingelegt hat: C:\WINNT\system32

Diese DLL würde das BHO sofort wieder in die Registry eintragen. Deshalb würde eine einfache BHO-Löschung aus der Registry nicht genügen !

Deshalb weiter mit der Liste die DLL muß weg und erst dann dieses unbekannt BHO:

2.) Im Menü "Start" auf ausführen gehen.
3.) Dort "cmd" eingeben
4.) Dort mit "cd WINNT" ins Verzeichnis WINNT wechseln
5.) Dann mit "cd system32" in dieses Unterverzeichnis wechseln
6.) Dann folgenden Befehl eingeben: "del jci.dll"

Nach dem die jci.dll gelöscht ist ( geht nur auf der DOS Ebene !!! ), lässt man durch das Programm BHODemon das BHO aus der Registry löschen.

Und dann den neuen Rechner starten. Neue Startseite eintragen und man ist diesen verfluchten DSO Exploit los.

Die ganzen Porgramme wie HighjackThis, Adware, Spybot etc. helfen nichts ! Sie finden zwar das BHO und monieren es zu Recht, sie wissen aber nicht, daß dieses BHO durch jci.dll immer wieder neu eingetragen wird. Deshalb entfernen diese Programme das BHO und die dll trägt es wieder ein ( lustiges Spiel ).

Ich hoffe Euch geholfen zu haben.

Viele Grüße von Mathias, der sich hier in diesem Forum auf dem Weg zum Erfolg auch einige Bausteine "zusammen geklaut" hat ;-)

Zitat:

Viele Grüße von Mathias, der sich hier in diesem Forum auf dem Weg zum Erfolg auch einige Bausteine "zusammen geklaut" hat ;-)

Dafür sind Foren wie dieses ja da...

Zitat:

Die ganzen Porgramme wie HighjackThis, Adware, Spybot etc. helfen nichts ! Sie finden zwar das BHO und monieren es zu Recht, sie wissen aber nicht, daß dieses BHO durch jci.dll immer wieder neu eingetragen wird. Deshalb entfernen diese Programme das BHO und die dll trägt es wieder ein ( lustiges Spiel )

HiJackThis entfernt keine Dateien nur die Aufrufe in der Registry. Deswegen gehört zu einer 'ordentlichen' Log-Analyse eben, dass man nicht nur sagt, was zu fixen ist, sondern auch welche Dateien manuell zu löschen sind. Ich will mich aber gar nicht davon freisprechen, dass ich das nicht auch mal vergesse zu erwähnen, bei der Masse an Postings...