Hallo an alle !
Ich habe mir vor einiger Zeit einige Screensavers auf mein Notebook (Amilo M7400) downgeloaded und habe seitdem, wenn ich Spybot laufen lassen immer eine DSO-Exploit Meldung.

Kann mir vielleicht jemand sagen, was das genau ist und wie ich diesen wieder loswerde ????

Das Problem ist auch, dass ich gar keine Ahnung von PCs usw. habe und dementsprechend für jede einfache Erklärung bzw. Ratschlag dankbar bin.
Auf dem Gebiet bin ich echt ein Laie.
Achso, kann mich seit einiger Zeit auch nicht mehr mit Smartsurfer ins Internet einwählen. Jedes Mal erhalte ich die Meldung, dass es kein Freizeichen gibt.
Kann dies an DSO-Exploit liegen ????

Vielen Dank !!
Bye

Hallo @cuty83

Lade das HijackThis, scanne, save und kopiere das Log hier in Forum.
http://www.downloads.subratam.org/hijackthis.zip

(der Exploid ist kein Problem...du hast dir bestimmt noch andere Dinge eingefangen.
Ich sehe dann dein Log durch )

mfg
Nikita

hallo.. hab das gleiche problem, hoffe dass du auch mir weiterhelfen kannst.
hier mein log:

Logfile of HijackThis v1.98.2
Scan saved at 17:13:56, on 30.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton Anti Virus 2002\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\NORTON~3\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\Viren - Spyware Tools\Anti Spyware\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Viren - Spyware Tools\Anti Spyware\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Norton Anti Virus 2002\Navw32.exe
C:\Programme\Norton Anti Virus 2002\QSERVER.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Carmen\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Viren - Spyware Tools\Anti Spyware\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Anti Virus 2002\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Anti Virus 2002\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update Machine] ntce.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~3\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\RunServices: [Microsoft Update Machine] ntce.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] ntce.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Viren - Spyware Tools\Anti Spyware\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: auto-bit.lnk = C:\SYSPREP\bit\bit.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Corel Network monitor worker - {25D01C5F-77D1-4418-9C30-502D7A81DEF6} - (no file)
O9 - Extra button: Corel Network monitor worker - {370AA879-F281-443F-B8F2-68D93C8EE68E} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {370AA879-F281-443F-B8F2-68D93C8EE68E} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/220fce7d61d ... 601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe

Hallo@sternchen2306

Aendere alle wichtigen Passworte, dein PC ist durch Trojaner kompromittiert.

scanne mit dem HijackThis, dann hake an, was ich angebe und <fix<
dann starte den PC neu.

vordem Fixen im Taskmanager deaktivieren
O4 - HKLM\..\Run: [Microsoft Update Machine] ntce.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] ntce.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] ntce.exe

neustarten

2)Dann laedst du< eScan<erstelle vorher einen Ordner C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

3)Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

4)Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal.

#Loesche vorher unter <Internetoptionen< die Temporaryinternetfiles (auch Offline) und stelle eine Startseite ein

Tipp:
Deinstalliere den Symantec und lade neu (er ist zerstoert)

mfg
Nikita

vordem Fixen im Taskmanager deaktivieren
O4 - HKLM\..\Run: [Microsoft Update Machine] ntce.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] ntce.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] ntce.exe

also die drei anhaken und auf "fix checked" gehen..?
ich will da echt nix falsch machen, deshalb frag i lieber numal nach.

im Taskmanager deaktivieren ,die drei anhaken ,und auf "fix checked" gehen und dann PC neustarten
Nikita

mah des dauert lang

hoff du hast nu a bissl zeit...
i möcht des dringend heut nu erledigt ham.
er hat bis jetzt mal 27 trojaner gfunden

i meld mi später wieder.. wenn i fertig bin.
danke aber im voraus!!

Lass dir Zeit
Ich bin erst heute nacht wieder am PC
mfg
Nikita

eScan Report:
File C:\Programme\FlashFXP\ffxp143.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Norton Anti Virus 2002\SETUP\WIN\SHOCKWAVE_FLASH_INSTALLER.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.



Logfile of HijackThis v1.98.2
Scan saved at 20:20:05, on 30.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\lexpps.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\base\mwavscan.com
C:\base\kavss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Carmen\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Viren - Spyware Tools\Anti Spyware\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [DeleteMe] "C:\WINDOWS\System32\cmd.exe" /c "C:\DOKUME~1\Carmen\LOKALE~1\Temp\DeleteMe.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Viren - Spyware Tools\Anti Spyware\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: auto-bit.lnk = C:\SYSPREP\bit\bit.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Corel Network monitor worker - {25D01C5F-77D1-4418-9C30-502D7A81DEF6} - (no file)
O9 - Extra button: Corel Network monitor worker - {370AA879-F281-443F-B8F2-68D93C8EE68E} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {370AA879-F281-443F-B8F2-68D93C8EE68E} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/220fce7d61d ... 601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe

ahjo.. i man i was ned, obs damit was zu tun hat...
aber i hab voi die probleme mim internet explorer.
entweder i krieg sofort nachm start a fehlermeldung oder er macht ma nach a poa klicks alle fenster automatisch zu..?!?
wast du wos des sein kann..?!

danke übrigens.. du bist ma echt a große hilfe!!!


PS. falls i heut nimma zum rechner kum, bin i morgen ab 18 uhr wieder da!
danke

fixe(vorher im Taskmanager deaktivieren), danach neustarten !

O4 - HKLM\..\RunOnce: [DeleteMe] "C:\WINDOWS\System32\cmd.exe" /c "C:\DOKUME~1\Carmen\LOKALE~1\Temp\DeleteMe.bat"

neustarten

Backdoor.Win32.GrayBird.509641 ODER BKDR_DELF.CN
________________________________________________

Start<Ausfuehren<
kopiere rein:
command /c copy %WinDir%\regedit.exe regedit.com | regedit.com

doppelklick auf:
HKEY_CLASSES_ROOT>exefile>shell>open>command
steht dort der korrekte Wert POSTE ES !!!
"%1" %*

gibt es ???
HKEY_CLASSES_ROOT\.key

gibt es ???
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion\Policies\WinOldApp

gibt es ???
HKEY_CLASSES_ROOT>txtfile>shell>open>command
"%WINDOWS%\NOTEPAD.EXE %1" (korrekter Wert)

schliesse die Registry
............................................................................................................
versteckte und geschuetzte Ordner anzeigen :
#[Tools] -> [Folder Options] -> [View] -> Release "Hide file extensions for known file types"

1.)Suche und loesche mit der Suchfunktion von Windows (versteckte Dateien anzeigen lassen)
'C:\Windows\System32\svch0st' (aufpassen: ist ein "0" und kein "O")File size : 509,641 bytes)

loesche:
SVCH0ST.EXE;DELETEME.BAT

Start<Ausfuehren<%temp% reinkopieren oder reinschreiben und suche und loesche:
C:\DOKUME~1\Carmen\LOKALE~1\Temp\DeleteMe.bat"
............................................................................................................
Dann scanne noch mal (ohne Internetverbindung ) mit der mwav.exe.
und antworte, was du in der Registry gefunden hast.

mfg
Nikita

http://de.trendmicro-europe.com/enterpr ... DR_DELF.CN
http://www.hauri.com.sg/html/support/vi ... BAW3000597

also der wert steht auf alle fälle mal drinnen

(Standard) - REG_SZ - "%1"*

gibt es ???
HKEY_CLASSES_ROOT\.key

ja

gibt es ???
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion\Policies\WinOldApp

nein

gibt es ???
HKEY_CLASSES_ROOT>txtfile>shell>open>command
"%WINDOWS%\NOTEPAD.EXE %1" (korrekter Wert)

ja, auch wert ist korrekt

so... auch den rest hab i nu geschafft (außer den scan, der is sich nimma ausgangen)...

folgendes:
die datei "svch0st.exe" gibts mei mir nicht.
bei mir gibts nur "svchost.exe" (13 kb).
ist aber auch unter c:\WINDOWS\system32 zu finden.
löschen kann ich sie aber nicht, da ich dann die meldung "zugriffsverweigerung, datei kann nicht gelöscht werden... blablabla" bekomme!

die datei "deleteme.bat" konnte ich im Temp-Ordner leider nicht finden. (und auch sonst nirgends unter c:\)

hiiiiiiiiiiiiiiilfe

(alles andre habe ich in den vorigen zwei posts geschrieben)

Entfernen backdoor: BKDR_DELF.CN

1. Fixe mit dem HijackThis
O4 - HKLM\..\RunOnce: [DeleteMe] "C:\WINDOWS\System32\cmd.exe" /c "C:\DOKUME~1\Carmen\LOKALE~1\Temp\DeleteMe.bat"
unbedingt neustarten

Gehe in die Registry:
Start<Ausfuehren <(reinkopieren)
command /c copy %WinDir%\regedit.exe regedit.com | regedit.com

#Schluessel
HKEY_CLASSES_ROOT\.key
loesche:.key

Korrekten Wert ueberpruefen:
HKEY_CLASSES_ROOT>txtfile>shell>open>command
"%WINDOWS%\NOTEPAD.EXE %1" (korrekter Wert)

loesche rechts, falls es da ist:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run\LoadPowerfile = "%System%\SVCH0ST.EXE"

loesche rechts, falls es da ist:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
LoadPowerfile = "%System%\SVCH0ST.EXE

schliesse die Registry
____________________________________________________________
neustarten

scanne mit mwav.exe und poste das Ergebnis.
und das Log vom HijackThis.
mfg
Nikita