Trojaner-Board - Hilfe, was mach ich mit DOS Exploit?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe, was mach ich mit DOS Exploit? (https://www.trojaner-board.de/10034-hilfe-mach-dos-exploit.html)

Hilfe, was mach ich mit DOS Exploit?

Hi,

nächster Rechner nächstes Problem...

hier mein hijackthis log...:

Logfile of HijackThis v1.98.2
Scan saved at 16:46:54, on 24.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL Business\bolog.exe
C:\Programme\T-DSL Business\SpeedMgr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\ScanToPc.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Franz Rathmann\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.businessonline.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.businessonline.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\bolog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL Business\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WATCHPNP_Xerox] watchPnp.exe Xerox
O4 - HKLM\..\Run: [sysspoolx] C:\WINDOWS\System32\runhost.exe %srun%
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Personal Security Service] C:\DOKUME~1\FRANZR~1\LOKALE~1\Temp\ins2.tmp\installer[1].exe -ReportOnly
O4 - HKCU\..\Run: [runwinhost] C:\WINDOWS\System32\expolerhost.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scantool.lnk = C:\WINDOWS\ScanToPc.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.businessonline.t-online.de
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...ubGroup=356415
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binarie...1019_EN_XP.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binarie...ce_5_EN_XP.cab
O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/14...r_4.1.0.18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7FEC723-20E7-4706-879C-5C9280958737}: NameServer = 217.237.150.33 217.237.151.161
O20 - AppInit_DLLs:

Vorher wurde übrigens escan schon mal durchgeführt....

Wed Nov 24 16:32:19 2004 => ***** Checking for specific ITW Viruses *****
Wed Nov 24 16:32:19 2004 => Checking for Welchia Virus...
Wed Nov 24 16:32:19 2004 => Checking for LovGate Virus...
Wed Nov 24 16:32:19 2004 => Checking for CodeRed Virus...
Wed Nov 24 16:32:19 2004 => Checking for OpaServ Virus...
Wed Nov 24 16:32:19 2004 => Checking for Sobig.e Virus...
Wed Nov 24 16:32:19 2004 => Checking for Winupie Virus...
Wed Nov 24 16:32:19 2004 => Checking for Swen Virus...
Wed Nov 24 16:32:19 2004 => Checking for JS.Fortnight Virus...
Wed Nov 24 16:32:19 2004 => Checking for Novarg Virus...

Wed Nov 24 16:32:19 2004 => ***** Scanning complete. *****

Wed Nov 24 16:32:19 2004 => Total Number of Files Scanned: 31175
Wed Nov 24 16:32:19 2004 => Total Number of Virus(es) Found: 175
Wed Nov 24 16:32:19 2004 => Total Number of Disinfected Files: 58
Wed Nov 24 16:32:19 2004 => Total Number of Files Renamed: 0
Wed Nov 24 16:32:19 2004 => Total Number of Deleted Files: 108
Wed Nov 24 16:32:19 2004 => Total Number of Errors: 9
Wed Nov 24 16:32:19 2004 => Time Elapsed: 00:38:18
Wed Nov 24 16:32:19 2004 => Virus Database Date: 2004/11/24
Wed Nov 24 16:32:19 2004 => Virus Database Count: 110416

die desinfected Files ist Win32.Elkern.C
und der
I-Worm.Sober.C

Für Hilfe was ich da noch so machen kann bin ich schon mal im vorraus dankbar.

Gruß Schmu

Hallo,

das fixen:

O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binari..._1019_EN_XP.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binari...thv32_EN_XP.cab

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binari...ice_5_EN_XP.cab

O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/1...gr_4.1.0.18.cab

Dann poste was escan gefunden hat indem du folgendes machst:

Log öffnen: "Bearbeiten"-->"Suchen"-->"infected eingeben"-->"Weitersuchen"-->"Treffer makieren"-->"Ins Board kopieren"

DOS Exploit ist ein Fehler im Programm von Spybot.

Update kommt in kürze.

hallo,
mein spybot findet ebenfalls DOS Exploit. Ist das egal und kann man ohne Probleme auf dieses Update warten ?

Bei mir heißt das DSO Exploit und nicht DOS...
ist das ein Unterschied?
Gruß
wobo

Nein, es sollte natürlich DSO Exploit heissen ... dies passiert ... wenn man zuviel kopiert und dann wieder einfügt ...

Danke Christian.
Fehler inzwischen behoben.
Gruß wobo

Hallo zusammen,

ich habe ebenfalls ein Problem mit dem DSO Exploit.
Spybot Search&Destroy, letztes Update 8.1.2005 um 1.00 Uhr, zeigt mir 5 gefundene Probleme mit DSO Exploit an.
Es bietet auch an diese Probleme zu beheben und tut das angeblich auch. Ein erneuter Suchlauf führt allerdings wieder zum gleichen Ergebniss.
Kein anderes Programm (Ewido freie Version, BitDefender free, AVG free, AntiVir XP, A2 free noch AdAware free) zeigt ein Problem an.

Kann mir jemand erklären was das DSO Exploit egentlich ist und wie ich es los werde?

Anbei noch das Protokoll des letzten Suchlaufs:

--- Search result list ---
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-1078081533-1409082233-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

--- Spybot - Search && Destroy version: 1.3 ---
2004-11-29 Includes\Cookies.sbi
2005-01-04 Includes\Dialer.sbi
2005-01-04 Includes\Hijackers.sbi
2004-12-29 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2005-01-04 Includes\Malware.sbi
2004-11-29 Includes\Revision.sbi
2004-11-29 Includes\Security.sbi
2005-01-05 Includes\Spybots.sbi
2004-11-29 Includes\Tracks.uti
2005-01-04 Includes\Trojans.sbi

--- System information ---
Windows XP (Build: 2600) Service Pack 2
/ Windows XP / SP2: Windows XP Service Pack 2
/ Windows XP / SP3: Windows XP-Hotfix - KB834707
/ Windows XP / SP3: Windows XP-Hotfix - KB873339
/ Windows XP / SP3: Windows XP-Hotfix - KB885835
/ Windows XP / SP3: Windows XP-Hotfix - KB885836
/ Windows XP / SP3: Windows XP-Hotfix - KB886185
/ Windows XP / SP3: Windows XP-Hotfix - KB887797

Gruß Jochen

Das Thema wurde zwar schon etliche Male behandelt, aber gut:
->http://www.safer-networking.org/de/faq/36.html

Hallo zusammen,

danke schön auch noch Mal an dieser Stelle. Wie das einem so geht wenn man gegen 2.00 Uhr ins Bett geht und froh ist einen passenden Thread gefunden zu haben.
Nachdem ich gepostet habe habe ich dann den anderen Thread mit der Lösung gefunden.
Ich gehe dann Mal beruhigt ins Bett.

Vielleicht können die Admins die Threads ja zusammenfügen?

Gruß Jochen