# Ich weiß nicht was das ist und es läßt sich nicht löschen



## martin k. (1 Juni 2004)

Hallo!
Ich bin immernoch blutiger Anfänger, also entschuldigt, wenn ich mich nicht fachlich ausdrücke.
Ich hatte mir kürzlich einen Dailer eingefangen, den ich nicht entfernt bekommen habe. Ich habe mir daraufhin Spybot heruntergeladen und das auch benutzt. Es wurden daraufhin 58 Meldungen angezeigt (was ich ehrlich gesagt nicht verstehe, denn ich besuche keine zweifelhaften Seiten). Jedenfalls habe ich die Sachen alle gelöscht, was das eigentliche Problem auch beseitigt hat. Lediglich zwei Programme sperren sich hartnäckig gegen das Löschen. Das eine heißt DSO Exploit und das andere Common hijacker. Ich kann nicht feststellen, dass das irgendwelche Auswirkungen auf meinen Rechner hat. Es macht mich trotzdem nervös.
Kann mir jemand sagen, was das ist, ob ich das entfernen muß, und wenn ja, wie ich das weg bekomme.
Ich benutze Windows XP Home ED. SP1 auf neuestem Stand, IE6 aber auch t-online Browser, Opera und Netscape, je nachdem.

Martin


----------



## Anonymous (1 Juni 2004)

*Re: Ich weiß nicht was das ist und es läßt sich nicht lösche*



			
				martin k. schrieb:
			
		

> Ich habe mir daraufhin Spybot heruntergeladen und das auch benutzt. Es wurden daraufhin 58 Meldungen angezeigt (was ich ehrlich gesagt nicht verstehe, denn ich besuche keine zweifelhaften Seiten).


Ist Spybot auf dem neuesten Stand - Signaturen? Die neueste *Version* ist 1.3! Version ist nicht Signatur!

Es gibt auch noch Ad-aware (Personal) - ist auch Freeware! Überprüfe auch mal mit diesem Programm! 

Bei Windows XP gibt es so eine Systemwiederherstellungsfunktion, die muss wohl deaktiviert werden, keine Ahnung.

Wenn das mit Ad-aware nicht hilft, könntest Du hier ein Log von *Hijack-This* posten. Das ist auch ein Freeware-Programm.

Welchen Virenscanner hast Du? Schon mal mit Heuristik gescannt?



			
				martin k. schrieb:
			
		

> Ich benutze Windows XP Home ED. SP1 auf neuestem Stand, IE6 aber auch t-online Browser, Opera und Netscape, je nachdem.


Wenn Du Opera und Netscape hat, warum nutzt Du dann noch diese Sicherheitslücke IE6? Der t-online-Browser basiert auf dem IE!

Sind Netscape und Opera "neuere" Versionen? Selbst der aktuelle Netscape 7.1 ist ziemlich veraltet, nutzt die Mozilla-Engine 1.4, aktuell zurzeit Mozilla 1.7 Beta RC2!


----------



## martin k. (3 Juni 2004)

Hallo!
Spybot ist neuester Stand. Ad-Aware habe ich vorher gescannt, zeigt aber nichts an. Deswegen war ich so überrascht, dass Spybot noch was zeigte. Ich benutze AntiVir, neueste Version, auch Windows ist bei mir auf dem neuesten Stand.
Ich habe auch CWShredder drüber laufen lassen, ohne Wirkung. Das ist der Auszug aus HijackThis wobei ich immer Schwierigkeiten habe, weil ich kein englisch kann und alles Wort für Wort mit dem Lexikon übersetzen muß und das oftmals überhaupt keinen Sinn ergibt bzw. etliche Wörter da gar nicht drin stehen:

Logfile of HijackThis v1.97.7
Scan saved at 17:46:43, on 03.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\ScanPanel\ScnPanel.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O13 - WWW Prefix: 
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downl...-a3de-373c3e5552fc/msSecAdv.cab?1083519619625
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37880.3278472222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Ich benutze übrigens IE weil der eindeutig am schnellsten ist, was für mich als Modem Nutzer ein wichtiges Argument ist und außerdem besuche ich neben eBay eigentlich nur private Homepages und die sind meist ziemlich stümperhaft auf IE ausgerichtet und sind mit einem anderen Browser oftmals unleserlich.

Martin


----------



## BenTigger (3 Juni 2004)

Nur zur Info: Spybot und Ad-Aware sind zwei unterschiedliche Programme und arbeiten unterschiedlich. Beide zusammen ergänzen sich wunderbar.
Deswegen findet das eine immer noch mal was, was das andere nicht gefunden hat. Beide zusammen sind ein wunderbares Team 

Ich nutze auch immer beide zusammen (nacheinander).


----------



## virenscanner (3 Juni 2004)

> Lediglich zwei Programme sperren sich hartnäckig gegen das Löschen. Das eine heißt DSO Exploit und das andere Common hijacker


Kannst Du uns auch sagen, welche *Programme* dahinter stehen?

Auf den ersten Blick sieht für mich Dein HJT-Log sauber aus.


----------



## martin k. (4 Juni 2004)

Entschuldige die stümperhafte Ausdrucksweise. Ich weiß nicht, ob Programme dahinter stehen. Das sind die beiden Meldungen, die mir Spybot rausschmeißt. DSO Exploit mit 5 Einträgen und Common Hijacker mit 2 Einträgen. Spybot verweist auf irgendetwas mit HKEY.... genau kann ich das jetzt nicht sagen, ich sitze auf der Arbeit und kann heute nacht erst wieder an meinen Rechner. Wenn ich mir über Spybot die Einträge  von DSO Exploit aufrufe, dann finde ich die innerhalb Windows in einem Ordner namens Dailer. Und da steht dann immer 'Kein Wert gesetzt'.
Das gleiche gilt für einen der Einträge von Common Hijacker. Der zweite Eintrag in Common Hijacker verweißt auf einen umgeleiteten Host. Und dieser Eintrag verschwindet, wenn ich CWShredder drüber laufen lasse. Er kommt aber irgendwann wieder, ohne das ich irgendeine Systematik dahinter erkennen kann.
Löschen mit Spybot nutzt garnichts, die Einträge sind sofort wieder da.
Wie gesagt, ich merke auch keine Auswirkungen auf meinen Rechner.

Martin


----------



## virenscanner (4 Juni 2004)

> DSO Exploit mit 5 Einträgen und Common Hijacker mit 2 Einträgen. Spybot verweist auf irgendetwas mit HKEY....


Dann versuche bitte mal, wenn Du wieder am Rechner sitzt, diese Meldungen von Spybot hier zu posten.


----------



## martin k. (4 Juni 2004)

Mach ich, sobald ich zu Hause bin.

Martin


----------



## martin k. (4 Juni 2004)

So, hier der Auszug aus Spybot. Beim Common Hijacker gibts z.Zt. nur einen Eintrag, die Host-Umleitung fehlt. Die kommt aber ganz sicher irgendwann wieder. Wie gesagt, eine Systematik erkenne ich nicht dahinter.



DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-4159782051-496393314-3364022493-1005\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Common hijacker: Prefix change (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http://


Martin


----------



## virenscanner (4 Juni 2004)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 

Dies bedeutet, dass in der Registry im Schlüssel 
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004
nicht der Wert (DWORD) 3 steht.
Spybot hat da eventuell in der Fix-Routine einen kleinen "Bug".
Wenn Du Dich ein klein wenig mit der Registry auskennst, kannst Du diese "DSO Exploits" händisch "fixen".
Hierzu musst Du in der Registry diese Schlüssel suchen, anklicken und den Wert auf 3 setzen.


Beim Schlüssel " HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www" sollte eigentlich der Wert  
	
	



```
http://
```
   stehen.  Auch dies kannst Du manuell dort eintragen.


----------



## martin k. (5 Juni 2004)

Also, in der Registry kenn ich mich nicht aus, ehrlich gesagt ist mir der ganze Rechner ein Rätsel.
Wenn ich aber im Auszug von Spybot hinten auf den Button klicke, dann komme ich automatisch zur angegebenen Stelle (oder sehe ich das total verkehrt?). 
Kommen wir zunächst zu DSO Exploit.
Wenn ich mir die Adresse 
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
über den Button aufrufe (das gilt jetzt auch für die vier anderen Eintragungen) dann finde ich unter dem Ordner Zones\0 den Eintrag (hier Name genannt) 1004, wird als Typ REG_SZ  definiert und ein Wert ist nicht gesetzt.
So, ich habe mal ein bisschen geschaut und gesehen, das es diese Zones\ von 0 bis 4 gibt und das jeweils unter 1004 ein Typ REG_DWORD definiert wird und der Wert jeweils 0x00000003 (3) ist. 
Ich denke mir, das ich alle fünf Eintragungen von DSO Exploit auf diese Weise änderen muß. Wie bewerkstellige ich das? Ich kann nicht direkt in die Liste schreiben. 
Wenn ich einen Rechtsklick mache, dann kann ich eine Neue Datei anlegen, das will ich nicht, links klicken geht nicht, aber doppelklicken. Da kann ich dann den Wert eintragen, aber nicht den Typ ändern. 
Das gleiche gilt auch für den Common Hijacker, wobei ich hier nicht einmal den Dateitypen ändern muß.
Was ich nicht verstehe, ist, wie kann Spybot was finden wo nichts ist und warum bekommt es das nicht entfernt und was sollen dann die Änderungen bewirken? Logisch gedacht müsste da doch irgendwo noch etwas sein, was Spybot überhaupt diese, was ist es überhaupt, Spyware, Dialer?, Einträge erkennen lässt und es müsste da irgendwo noch ein Eintrag existieren, der bewirkt, das sich das ganze nicht löschen lässt (bzw. Spybot zeigt an, das es gelöscht wurde und wenn ich unmittelbar danach Spybot prüfen lasse ist es sofort wieder da).

Reicht es, wenn ich vor der Änderung einen Wiederherstellungspunkt setze, falls ich das verhunzen sollte?

Martin


----------



## virenscanner (6 Juni 2004)

Spybot erkennt, dass derzeit nicht die "normalen" Werte eingetragen sind. 
Du kannst auch im Explorer manuell die Active-X-Downloads abschalten. Spybot warnt nur, dass derzeit jedes Active-X-Element ohne Nachfrage zugelassen ist...


----------



## martin k. (7 Juni 2004)

Hallo!

So, den Common Hijacker bekomme ich nicht mehr angezeigt. Ich habe das http:// als Wert eingesetzt und das wars.
Bei DSO Exploit ist die Lage etwas anders. Wenn ich das richtig verstanden habe, dann soll ich den Dateityp von REG_SZ auf REG_DWORD ändern und dann den Wert als Hexadezimalzahl eintragen. Ist das richtig?
Diese Dateien lassen sich nämlich nicht ändern, ich müsste also löschen und manuell neue Dateien eintragen. Und ich habe es gerade probehalber probiert und es ließ sich manuell keine Datei des Typs REG_SZ anlegen, ich könnte also den Vorgang nicht rückgängig machen.
Und bevor ich anfange, Änderungen in Bereichen vorzunehmen, von denen ich nichts verstehe, frage ich lieber noch mal nach.  

Martin


----------



## Anonymous (11 Juni 2004)

*Hilfe*

hallo,
ich habe das selbe problem
aber nur mit exploit.
gehe ich richtig davon aus das es keinen schaden anrichten kann?

das merkwürdige ist, das problem ist seit gestern.
und mcaffe hatte gestern einen trojaner gelöscht  der trojaner heisst exploit-codeBase.gen

hm ich finde das jetzt irgendwie merkwürdig denn heute ging auch schon 2x das fenster auf das mcaffe diesen trojaner eben gelöscht hat...

bitte um hilfe...
danke gruss diana


----------



## Anonymous (19 Juni 2004)

Hab das gleiche Problem:
Beim Durchlauf von Spybot (neuste Version) werden mir zwei einträge angezeigt, die das programm nicht beseitigen kann:
DSO Exploit und Common hijacker

Daraufhin habe ich mal CWShredder durchlaufen lassen -> leider ohne Erfolg. Jetzt habe ich einmal HijackThis durchlaufen lassen, mit folgender Log-Datei:

Logfile of HijackThis v1.97.7
Scan saved at 13:27:43, on 19.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\...\Desktop\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://....c/hp/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://....cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINNT\dpe.dll
O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: 
O13 - WWW Prefix: 
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash/cabs/swflash.cab


wo ist da der Fehler?? Ich bitte um dringende Hilfe... Danke!

*[Virenscanner: Namen und URLs entfernt]*


----------



## virenscanner (19 Juni 2004)

> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://....c/hp/ (obfuscated)
> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://....cc/hp/ (obfuscated)
> O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINNT\dpe.dll


Zumindest diese drei Einträge (im abgesicherten Modus) miitels HiJackThis fixen.


----------



## Anonymous (19 Juni 2004)

So, die drei habe ich gefixt. leider ist das Problem immer noch nicht behoben...
hier nochmal die jetzt aktuelle Log-Datei:

Logfile of HijackThis v1.97.7
Scan saved at 14:27:12, on 19.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\......\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: 
O13 - WWW Prefix: 
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash/cabs/swflash.cab

vielleicht findet ihr ja noch was...? Danke

*[Virenscanner: Wieder Namen entfernt]*


----------



## virenscanner (19 Juni 2004)

Welches Problem besteht denn derzeit noch genau?


----------



## Anonymous (19 Juni 2004)

Das Problem ist, dass ich keine Seiten im I-Net aufrufen kann, zumindest nicht, wenn ich die Adresse in die Explorer Leiste eintippe. Die einzige Möglichkeit auf Internet Seiten zu kommen ist über Favoriten/Links, oder indem ich über Google eine Seite suche.
Hinzu kommt noch, dass der Internet Explorer manchmal einfach dicht macht. Dann kommt irgenteine Meldung "Fehler bei der Anwendung... ein Fehlerprotokoll wird erstellt" dann ist der I-Explorer dicht.


----------



## Anonymous (19 Juni 2004)

Das Problem mit der Startseite ist übrigens weg. Und der I-Explorer ist auch nicht mehr abgestürzt, seitdem ich die drei Einträge gefixt habe.
Allerdings kann ich immer noch nicht "frei" surfen...


----------



## virenscanner (19 Juni 2004)

> O13 - DefaultPrefix:
> O13 - WWW Prefix:
> O14 - IERESET.INF: SEARCH_PAGE_URL=
> O14 - IERESET.INF: START_PAGE_URL=


Dann erst einmal diese Einträge fixen...


----------



## Anonymous (19 Juni 2004)

Es funktioniert wieder alles wie gewohnt. Wenn ich Spybot durchlaufen lasse, ist "Common hijacker" weg, allerdings ist "DSO Exploit" noch da; das lässt sich auch nach wie vor nicht mit Spybot entfernen. Wie bekomme ich das denn noch weg?


----------



## virenscanner (19 Juni 2004)

Bitte die exakte Meldung von Spybot posten...


----------



## Anonymous (19 Juni 2004)

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1659004503-823518204-725345543-1000\Software\Microsoft\Windows\CurrentVersion\Intern et Settings\Zones\0\1004!=W=3


----------



## virenscanner (19 Juni 2004)

> ...\1004!=W=3


Das bedeutet, dass in der Registry "am Schlüssel" 1004 nicht das "Word" 3 eingetragen ist (und dies kann Spybot... aufgrund eines Bugs nicht selbst beheben).
Entweder "ignorieren" oder z.B. mittels "regedit" den Datentyp des Schlüssels "1004" auf "DWORD" ändern und den Wert 3 eingeben. Alternative: http://forum.computerbetrug.de/viewtopic.php?p=59710#59710


----------



## Anonymous (19 Juni 2004)

Alles klar! Vielen Dank für deine Hilfe!


----------



## Anonymous (24 Juni 2004)

*spy und das ganze*

hallo ich habe auch das selbe problem, wenn ich nun C:// formatiere und den ganzen scheiss lösche ist dann 99,9% sicher das dies alles weg ist?


----------

