| |
| |||||||
Log-Analyse und Auswertung: Hilfe, was mach ich mit DOS Exploit?Windows 7 Hier könnt Ihr Logs zwecks Auswertung posten. So bekommt man Hilfe: Erste Schritte zur Hilfe! |
 |
24.11.2004, 16:50
| #1 |
| |  Hilfe, was mach ich mit DOS Exploit? Hi, nächster Rechner nächstes Problem... hier mein HijackThis log...: Logfile of HijackThis v1.98.2 Scan saved at 16:46:54, on 24.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\T-DSL Business\bolog.exe C:\Programme\T-DSL Business\SpeedMgr.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\ScanToPc.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Franz Rathmann\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.businessonline.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.businessonline.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\bolog.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL Business\SpeedMgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WATCHPNP_Xerox] watchPnp.exe Xerox O4 - HKLM\..\Run: [sysspoolx] C:\WINDOWS\System32\runhost.exe %srun% O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Personal Security Service] C:\DOKUME~1\FRANZR~1\LOKALE~1\Temp\ins2.tmp\installer[1].exe -ReportOnly O4 - HKCU\..\Run: [runwinhost] C:\WINDOWS\System32\expolerhost.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Scantool.lnk = C:\WINDOWS\ScanToPc.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O14 - IERESET.INF: START_PAGE_URL=http://www.businessonline.t-online.de O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...ubGroup=356415 O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binarie...1019_EN_XP.cab O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binarie...ce_5_EN_XP.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/14...r_4.1.0.18.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C7FEC723-20E7-4706-879C-5C9280958737}: NameServer = 217.237.150.33 217.237.151.161 O20 - AppInit_DLLs: Vorher wurde übrigens escan schon mal durchgeführt.... Wed Nov 24 16:32:19 2004 => ***** Checking for specific ITW Viruses ***** Wed Nov 24 16:32:19 2004 => Checking for Welchia Virus... Wed Nov 24 16:32:19 2004 => Checking for LovGate Virus... Wed Nov 24 16:32:19 2004 => Checking for CodeRed Virus... Wed Nov 24 16:32:19 2004 => Checking for OpaServ Virus... Wed Nov 24 16:32:19 2004 => Checking for Sobig.e Virus... Wed Nov 24 16:32:19 2004 => Checking for Winupie Virus... Wed Nov 24 16:32:19 2004 => Checking for Swen Virus... Wed Nov 24 16:32:19 2004 => Checking for JS.Fortnight Virus... Wed Nov 24 16:32:19 2004 => Checking for Novarg Virus... Wed Nov 24 16:32:19 2004 => ***** Scanning complete. ***** Wed Nov 24 16:32:19 2004 => Total Number of Files Scanned: 31175 Wed Nov 24 16:32:19 2004 => Total Number of Virus(es) Found: 175 Wed Nov 24 16:32:19 2004 => Total Number of Disinfected Files: 58 Wed Nov 24 16:32:19 2004 => Total Number of Files Renamed: 0 Wed Nov 24 16:32:19 2004 => Total Number of Deleted Files: 108 Wed Nov 24 16:32:19 2004 => Total Number of Errors: 9 Wed Nov 24 16:32:19 2004 => Time Elapsed: 00:38:18 Wed Nov 24 16:32:19 2004 => Virus Database Date: 2004/11/24 Wed Nov 24 16:32:19 2004 => Virus Database Count: 110416 die desinfected Files ist Win32.Elkern.C und der I-Worm.Sober.C Für Hilfe was ich da noch so machen kann bin ich schon mal im vorraus dankbar. Gruß Schmu |
|
24.11.2004, 20:13
| #2 |
  | AW: Hilfe, was mach ich mit DOS Exploit? Hallo, das fixen: O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - C:\WINDOWS\mslagent\4b_1,0,1,2_mslagent.dll (file missing) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binari..._1019_EN_XP.cab O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binari...thv32_EN_XP.cab O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binari...ice_5_EN_XP.cab O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/1...gr_4.1.0.18.cab Dann poste was escan gefunden hat indem du folgendes machst: Log öffnen: "Bearbeiten"-->"Suchen"-->"infected eingeben"-->"Weitersuchen"-->"Treffer makieren"-->"Ins Board kopieren" |
|
24.11.2004, 21:24
| #3 |
| Gast | AW: Hilfe, was mach ich mit DOS Exploit? DOS Exploit ist ein Fehler im Programm von Spybot. Update kommt in kürze. |
|
27.11.2004, 12:36
| #4 |
| | AW: Hilfe, was mach ich mit DOS Exploit? hallo, mein spybot findet ebenfalls DOS Exploit. Ist das egal und kann man ohne Probleme auf dieses Update warten ? |
|
27.11.2004, 12:40
| #5 |
  | AW: Hilfe, was mach ich mit DOS Exploit? @butch ja chaosman
__________________ Bonus vir semper tiro Kein Support per PM @ all: Bitte aktive Links und persönliche Infos in HJT-Logfiles editieren!! z.B. http in h**p |
|
11.12.2004, 14:41
| #6 |
| | AW: Hilfe, was mach ich mit DOS Exploit? Bei mir heißt das DSO Exploit und nicht DOS... ist das ein Unterschied? Gruß wobo |
|
11.12.2004, 15:17
| #7 |
| Gast | AW: Hilfe, was mach ich mit DOS Exploit? Nein, es sollte natürlich DSO Exploit heissen ... dies passiert ... wenn man zuviel kopiert und dann wieder einfügt ... |
|
21.12.2004, 11:28
| #8 |
| | AW: Hilfe, was mach ich mit DOS Exploit? Danke Christian. Fehler inzwischen behoben. Gruß wobo |
|
08.01.2005, 02:07
| #9 |
 | AW: Hilfe, was mach ich mit DOS Exploit? Hallo zusammen, ich habe ebenfalls ein Problem mit dem DSO Exploit. Spybot Search&Destroy, letztes Update 8.1.2005 um 1.00 Uhr, zeigt mir 5 gefundene Probleme mit DSO Exploit an. Es bietet auch an diese Probleme zu beheben und tut das angeblich auch. Ein erneuter Suchlauf führt allerdings wieder zum gleichen Ergebniss. Kein anderes Programm (Ewido freie Version, BitDefender free, AVG free, AntiVir XP, A2 free noch AdAware free) zeigt ein Problem an. Kann mir jemand erklären was das DSO Exploit egentlich ist und wie ich es los werde? Anbei noch das Protokoll des letzten Suchlaufs: --- Search result list --- DSO Exploit: Data source object exploit (Registry change, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registry change, nothing done) HKEY_USERS\S-1-5-21-1078081533-1409082233-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registry change, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registry change, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registry change, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 --- Spybot - Search && Destroy version: 1.3 --- 2004-11-29 Includes\Cookies.sbi 2005-01-04 Includes\Dialer.sbi 2005-01-04 Includes\Hijackers.sbi 2004-12-29 Includes\Keyloggers.sbi 2004-05-12 Includes\LSP.sbi 2005-01-04 Includes\Malware.sbi 2004-11-29 Includes\Revision.sbi 2004-11-29 Includes\Security.sbi 2005-01-05 Includes\Spybots.sbi 2004-11-29 Includes\Tracks.uti 2005-01-04 Includes\Trojans.sbi --- System information --- Windows XP (Build: 2600) Service Pack 2 / Windows XP / SP2: Windows XP Service Pack 2 / Windows XP / SP3: Windows XP-Hotfix - KB834707 / Windows XP / SP3: Windows XP-Hotfix - KB873339 / Windows XP / SP3: Windows XP-Hotfix - KB885835 / Windows XP / SP3: Windows XP-Hotfix - KB885836 / Windows XP / SP3: Windows XP-Hotfix - KB886185 / Windows XP / SP3: Windows XP-Hotfix - KB887797 Gruß Jochen |
|
08.01.2005, 02:13
| #10 |
| | AW: Hilfe, was mach ich mit DOS Exploit? Das Thema wurde zwar schon etliche Male behandelt, aber gut: ->http://www.safer-networking.org/de/faq/36.html |
|
| Stichworte zu Hilfe, was mach ich mit DOS Exploit? |
| .dll, .inf, adobe, bho, boot, button, dateien, desktop, einstellungen, escan, explorer, file missing, hijack, hijackthis, hilfe, internet, internet explorer, messenger, microsoft, personal security, programme, security, software, sun java, system, system32, tcpip, temp, windows, windows messenger, windows xp |
