Hallo Leute !

Vor einigen Tagen hatte ich ein Hilfe-topic gepostet.
Dabei ging es darum, dass mein PC sobald die Online-verbindung aktiv war nach einigen Minuten ohne jegliche Fehlermeldung oder Vorwarnung heruntergefahren ist.

Mithilfe der netten Menschen in diesem Forum dachte ich das Problem geloest zu haben. Das Programm Spybot fand 4 registry-eintraege, u.a. den Eintrag -DS0 Exploit-

Nachdem die Eintraege geloescht wurden lief auch alles wieder tadellos.

Heute habe ich meinen Rechner gestartet und siehe da - nachdem der Windows-ladebildschirm verschwunden war nur ein blackscreen!
Die zuletzt sichere Systemkonfiguration ergab selbiges Phenomen.
Auch die Systemwiederherstellung im abgesicherten Modus brachte leider keinen Erfolg.
Ich liess daraufhin nochmals Spybot durchlaufen und siehe da - der Eintrag -DS0 Exploit- war wieder da!
Als ich nun auch diesen Eintrag laut Programm erfolgreich geloescht hatte wollte ich auf Nummer sicher gehen und liess das tool erneut durchlaufen. Mit dem Ergebnis, dass selbiger Eintrag erneut erschien.
Auch ein Update von Spybot brachte nicht den gewuenschten Erfolg!
Ich werde dieses Problem einfach nicht los - sobald ich offline den PC starte ist alles wieder in bester Ordnung.

Hat evtl. irgendjemand Erfahrung mit dieser Art von Problem - bitte helft mir !!!

Also an diesem DSO-Exploit kann es eigentlich nicht liegen. Fast immer wenn ich Spybot S&D laufen lasse habe ich 5 Einträge des DSO-Exploits drauf. (allerdings auch "nur" die;) Bei mir gibt es immo keine wirklichen Probleme, an denen kann es jedenfalls nicht liegen.

Hallo@Morja

Wenn du moechtest, dass wir dir helfen, musst du IMMER das Log vom HijackThis mitposten.
Hellsehen koennen wir leider noch nicht

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save und kopiere das Log ins Forum

mfg
Nikita

ok, wenn´s nicht an diesem Eintrag liegen wird, dann hoffe ich mal, dass euch dieses logfile etwas mehr sagt

Logfile of HijackThis v1.98.2
Scan saved at 18:02:36, on 15.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\DeltTray.exe
C:\WINDOWS\system32\rmctrl.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Sonique\sqstart.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
H:\Utilities\Internet\Security\Hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] e:\Programme\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6821035906
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69B38D47-C0BB-4851-BDFE-41D5FC10B959}: NameServer = 145.253.2.196,145.253.2.81

Hallo @Morja

Hast du das ?
CyberLink's PowerDVD version 4 and above
_____________________________________________________

Fixe mit dem HijackThis
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

neustarten

Ueberpruefe die exe
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

<C:\WINDOWS\system32\rmctrl.exe
<C:\WINDOWS\system32\DeltTray.exe

Poste das Ergebnis.

mfg
Nikita

Habe nun den Eintrag mit Hijack bearbeitet. Allerdings startet der Rechner nun weder mit noch ohne Internet-verbindung

Momentan schreibe ich auch nur noch aus dem abgesicherten Modus.

Sobald der Windows-Ladebildschirm erscheint folgt daraufhin ein Blackscreen.

Die .exe hab ich auch mir dem online-tool prüfen lassen - sie ist ok.

Ich bin mittlerweile echt am Ende - ein früherer Systemwiederherstellungspunkt hat auch nix gebracht.
Was ich vorhin noch vergessen hatte zu sagen, ist, dass der Rechner selbst im abgesicherten Modus sporadisch einfach herunterfährt. Zumindest hat er das vorhin einmal beim Durchlaufen von Spybot getan.

Und naja ..mittlerweile fährt er halt gar nicht mehr hoch!

Gibtz da noch ne Rettung oder muss ich ihn nun komplett platt-machen ?

Hallo@Morja

Eigentlich ist dein Log sauber, aber bevor du alles platt machst, lade aus dem abgesicherten Modus (mit Internetverbindung) folgendes:
und scanne.
Das eScan AV Toolkit (mwav.exe) herunterladen,

http://www.mwti.net/antivirus/free_utilities.asp

Kopiere aus dem Scan-Log ab, was als infiziert gefunden wurde.

mfg
Nikita

Hallo Morja,
hier mal ein informativer Link zum Thema DOS Exploit:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959

Hallo zusammen,

ersteinmal ne digge Entschuldigung meinerseits, dass ich mich erst jetzt zurückmelde. Ich musste den Kram erstmal aus´m Kopf kriegen (man hat ja nicht aller Tage mit solchen Probs zu tun) und war mit meiner Süßen unterwegs..

Es ist wirklich merkwürdig, manchmal startet der PC nun wieder sobald ich ihn komplett heruntergefahren habe - allerdings auch nur sporadisch - also ein Neustart aus dem abgesicherten Modus bringt´s meistens nicht.

Habe das ms-tool durchlaufen lassen und keinen Virus gefunden!

Mittlerweile werde ich das Gefühl nicht los, dass irgendwas in meinem Windows-system geshmashed wurde, denn sämtliche Toolz finden nichts.

Was mich allerdings aufgrund des letzten Beitrages noch etwas verwirrt ist, dass unter dem link http://www.wintotal.de/Tipps/Eintrag.php?TID=959 folgendes gesagt wird:

DSO Exploit soll einem Webseiten-Programmierer erlauben, eine beliebige Datei auf einem Rechner auszuführen.

Ich meine, ist das nicht eine Art von remote-zugriff, der nicht erwünscht sein sollte ?!

Ist es evtl. auch möglich, dass ich mir diesen Fehler selbst zuzuschreiben habe ?
Denn vor einiger Zeit hab ich auf Anraten eines Freundes das SP2 installiert - erst vor einiger Zeit, als ich merkte, dass DirectX9.0c sich nicht installieren liess wurde mir klar, dass es sich beim Servicepack nur um eine Beta-version handelte.
Daraufhin hab ich einfach nochmal das Microsoft-update über die Startleiste gestartet.
Nach einigem hin- und her (zu wenig festplattenspeicher auf C:\) war dies auch installiert.
Kann dabei vielleicht etwas zerstört worden sein ?

Vielleicht ist es ja doch ratsam und unvermeidlich, den PC nochmal frisch zu machen ?

Hallo Morja,
der Link war vielleicht nicht eindeutig genug...
schau doch auch noch mal hier nach...
http://www.giza-web.de/html/spybot-sd-p ... ungen.html
da wird genau gesagt, was es mit dem DSO Exploit aus sich hat...
unter:
http://www.chip.de/forum/thread.html?bwthreadid=673280
kannst du auch noch mal schauen, da gibt es eine Möglichkeit zu checken, ob die DSO Exploit Sicherheitslücke bei dir überhaupt noch existiert...

zu deinem eigentlichen Problem, hast du eScan schon drüberlaufen lassen, wie dir nikita geraten hat?
hier findest du eine gute Anleitung:
http://www.trojaner-info.de/hijacker/escan.shtml

Hi@Franc !

Habe eScan bereits ohne Erfolg durchlaufen lassen.

Seit einigen Tagen läuft der Rechner auch wieder stabil (zumindest solange ich ihn aus dem ausgeschalteten Zustand ohne Netzwerkverbindung hochfahre).

Aufgrund der ausgebliebenen Resultate mit sämtlichen Tools vermute ich mal, dass es sich um ein Windows-internes Problem handelt. Wahrscheinlich wirklich irgendwie Zerschossen beim 2maligen update von SP2 (1x SP2beta + 1x normal über den update-button) - ich werde nun bei Zeiten den Rechner einfach nochmal neu einrichten - mir dann n schönes Backup danach ziehen und hoffentlich problemlos meiner Wege gehen

Vielen Dank jedoch nochmal an alle Beteiligten in diesem Topic.
Nach wie vor schätze ich dieses Forum als das Beste, was mir bisher untergekommen ist.

Wünsche Euch allen alles Gute und keinerlei Gemeinheiten mit Euren Pcs !!!

Da´Morja

hat hier wer den Titel des threads geändert ?!

..kann mich nicht erinnern, ihn so genannt zu haben - hehe

by the way: ergänzend zu meiner letzten Nachricht läuft der PC nun auch mit Netzwerkverbindung wieder hoch.

Momentan scheint es als wenn nie was gewesen wär!
Auch kein Absturz seitdem ..

Hab nur leider keinen Plan, woran es nun wirklich gelegen hat.

Grüße!

Morja

Hallo @Morja
Ich habe den Thread-Titel veraendert (mache ich immer, weil es dann so besser in den Suchmaschinen erscheint) und so auch anderen hilfreich sein kann.

Hast du denn die
CyberLink's PowerDVD version 4 and above
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
aus dem Autostart genommen ?
Es kann sein, dass es der Grund fuer deine Probleme war.

mfg
Nikita