Nach einem Scan mit Spybit bekommen ich 5 mal den Eintrag DSO Exploit. Den kann ich zwar entfernen, ist aber nach einem neuerlichen Systemstart wieder da?

1. Was genau ist das?
2. Wie kann ich das entfernen?



Hier mein sypbotlog:

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1163395192-2237029002-3241875758-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-10-26 Includes\Dialer.sbi
2004-10-26 Includes\Hijackers.sbi
2004-10-07 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-10-26 Includes\Malware.sbi
2004-10-05 Includes\Revision.sbi
2004-10-25 Includes\Security.sbi
2004-10-26 Includes\Spybots.sbi
2004-10-21 Includes\Tracks.uti
2004-10-26 Includes\Trojans.sbi

Hallo twrt,

erstelle einen Spybot-Report und sende ihn an detections@spybot.info.

Lade Hijack This runter: http://www.trojaner-board.de/51130-a...ijackthis.html, erstelle damit ein Logfile und poste es mittels copy&paste in diesen Thread.

SD

5 x DSO Exploit ist eine noch nicht geschlossene Sicherheitslücke im IE, Outlook und Outlook Express.
Bekannt seit Februar 2002.
Mit Spybot löschen, dann ist bis zum nächsten Mal alles o.k., dann dasselbe wieder.
Mehr darüber hier.
cacatoa

@twrt

kuckst du hier
http://www.safer-networking.org/de/faq/36.html
chaosman

@ chaosman:
Thx!!

danke @ chaosman, <--

bleibt zu hoffen, dass ich es mir jetzt merken kann ;-)

SD

Zitat:

Zitat von twrt

Spybot - Search && Destroy version: 1.3 ---

Eine Reporterstellung ist hier nicht möglich.
Die offzielle Version ist immernoch 1.3

Alles andere ist Beta-Gesülze und nicht empfehlenswert für User, die in Not sind.

Wer kann helfen, oder soll ich noch im HJlog forum posten.

Haweka

-------------------
Logfile of HijackThis v1.98.2
Scan saved at 11:45:23, on 15.11.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\DIT.EXE
C:\PROGRAMME\WEBROOT\ACCELERATE\ACCELERATE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\EUMEX 604PC HOMENET\CAPICTRL.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\SPEEDCOMMANDER 8\SPEEDCOMMANDER.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kopplandplan.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tl81.com:81/di.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: BHO - {06CAD548-14DD-4fa3-9EA9-05F83C18CBD7} - C:\WINDOWS\SYSTEM\MSPXS32.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] REM C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Matrox Powerdesk] REM C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe
O4 - HKLM\..\Run: [Accelerate] C:\Programme\Webroot\Accelerate\accelerate.exe /S
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [AutoStart-Manager] C:\PROGRAMME\AUTOSTART-MANAGER\AUTOSTART-MANAGER.exe /AUTOSTART
O4 - HKCU\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe
O4 - HKCU\..\Run: [filemanager] C:\Programme\filemon\Filemon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 604PC HomeNet\Capictrl.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\PROGRA~1\WINZIP\wzqkpick.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {466866E7-932E-6CBC-EF0C-3779204A33BB} - http://67.18.129.75/1/rdgDE1351.exe

Hallo haweka,

MSIE: Internet Explorer v6.00 (6.00.2600.0000) - update Deinen IE: www.windowsupdate.com

Lade Dir nun zunächst den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird dann manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. "Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

@
in dein logfile ist dieser hier
im system
O4 - HKLM\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe
der hat backdoor qualitäten, deswegen kann ich dir nur dies empfehlen
@Shadowdance
warst wieder schneller
chaosman

Bei mir erscheit DSO Exploid regelmäßig was mit Prozessorbelastung permanent steigen bis auf 100% was bis zum Neustart des Rechner dann auch so bleibt. Der Rechner bleibt dann einfach stehen, nichts geht mehr.
Spybot findet ihn kann ihn aber nicht endgütig beseitigen, sodas er immer wieder auftaucht.


Hilfe!!!
Wer weiß was?
Danke

tust du das mal lesen spybot s&d

So wie ich das lese ist DSO exploid also für nichts weiter verantwortlich.???
Wer müllt mir dann den Prozi zu??
Und warum geht der Rechner nach Spybot ne Weile?

Der DSO dürfte zumindest mit deinem Rechner nichts zu tun haben. Erstelle mal ein HJT-Log:

http://www.trojaner-board.de/51130-a...ijackthis.html

Hallo zusammen,

danke für die Hinweise. Ich hatte das gleiche Problem und bin jetzt deutlich entspannter.

Gruß Jochen