# HILFE - hab ein Problem mit Common Hijacker u. DSO Exploit



## Anonymous (29 Juni 2004)

Hallo Leute! Ich verfolge mit Spannung eure Themen im Forum aber ich werd trotzdem nicht ganz schlau daraus. Mein Problem sieht so aus:

AdAware fand einige Einträge - hab ich problemlos wegbekommen. Norton Antivirus findet nichts (außer irgeneinen Adware Puritiyscan)

Uns jetzt der Hammer: Spybot 1.3 findet Common Hijacker mit 2 Einträgen und DSO-Exploit im 6 Einträgen - und wenn ich die Dinger dann bereinigen will kommt eine Virenwarnung vom Norton ( Bloodhound Exploit6 - konnte NICHT gelöscht werden) und wenn ich dann das nächster
 Mal im Internet bin, komm ich zwar auf die Startseite aber sobald ich oben eine neue Adresse eingebe, findet er nichts (stellen sie sicher, daß Pfad und Adresse korrekt sind)

Adressen, die aber im Verlauf drinnen sind, kann ich aus dem Verlauf heraus besuchen - kein Problem.

Wenn ich dann mit Wiederherstellungspunkt usw. die alte Konfiguration herstelle, geht das Spiel von vorne los.

Bemerkbar macht sich das Ding im täglichen Betrieb durch getürkte Meldungen (Sicherheitswarnung mit einem wunderschönen Windows-Logo - wenn ich dem Link folge, komm ich auf eine Seite mit wunderbaren Downloads von gebührenpflichtiger Software zum Bereinigen v. Spyware...)

Und angefangen hat der ganze Zoff mit COOLWEBSEARCH - jede zweite Weiterleitung ist eine Pornoseite...

Hat vielleicht irgend jemand eine Idee??? :bigcry:


PS: hab einen Screenshot meiner Prozesse im Taskmanager angehängt - vielleicht hilfts ja etwas


----------



## Anonymous (30 Juni 2004)

*DSO exploits*

Moin!

Ich habe ein ähnliches problem (DSO Exploits kommen immer wieder).
Dazu fand ich dies:
http://www.giza-web.de/html/spybot-sd-problemloesungen.html

Evtl. hilft Dir das schon mal ein Stück weiter. :tröst: 

Ich habe die alte Version 1.2 ~5800 Kennungen getestet-*nix DSO Exploit* 8) 

Gruß

Stan


----------



## virenscanner (30 Juni 2004)

@Robert L.
Lade Dir mal HiJackThis , scanne Dein System und erzeuge ein LOG. Poste dann mal das LOG als Attachment.


----------



## Anonymous (1 Juli 2004)

*HiJackthis - Logfile*

An alle Profis unter euch - schaut euch bitte mal mein Logfile an - vielleicht kann mir irgend jemand helfen???

Robert Luder

"Menschen machen Fehler - aber um wirklichen Scheiß zu bauen, braucht man einen Computer...)



Logfile of HijackThis v1.98.0
Scan saved at 12:44:23, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\services\msxmidi.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\Robert Luder\Anwendungsdaten\cudb.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Robert Luder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\816RGHMZ\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h[...]/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h[...]/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [...]h/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [...]z/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [...]ch/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = [...]arch/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [...]ch/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [...]c/hp/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [...]rch/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = [...]rch/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = [...]ch/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [...]ch/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =[...]ch/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = [...]h/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [...]ch/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [...]h/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\Run: [Zone Alarm] vsmon.exe
O4 - HKLM\..\RunServices: [Zone Alarm] vsmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKCU\..\Run: [Aels] C:\Dokumente und Einstellungen\Robert Luder\Anwendungsdaten\cudb.exe
O4 - HKCU\..\Run: [Zone Alarm] vsmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O13 - DefaultPrefix: [...]4%74%70%2E%63%63/?
O13 - WWW Prefix: [...]%74%74%70%2E%63%63/?
O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT![...].117.237:4000/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\x.mht![...].47.178/chm.chm::/1/e.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - h..........com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABA66BE4-9590-4D52-A71E-604EBC0E1ABF}: NameServer = 195.58.160.2 195.58.161.3

*[Virenscanner: URLs unkenntlich gemacht]*


----------



## virenscanner (1 Juli 2004)

Bitte erst einmal im abgesicherten Modus die folgenden Einträge fixen:


> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h[...]/ (obfuscated)
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h[...]/ (obfuscated)
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [...]h/ (obfuscated)
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [...]z/
> ...


Der folgende Eintrag sagt mir nichts. Bitte schau Dir mal die Eigenschaften der Datei "cudb.exe" an und scanne diese Datei mit einem aktuellen Virenscanner:


> O4 - HKCU\..\Run: [Aels] C:\Dokumente und Einstellungen\Robert Luder\Anwendungsdaten\cudb.exe


Falls Dir der folgende Eintrag nichts sagen sollte, dann auch diesen fixen:


> O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - h...../MediaTicketsInstaller.cab


----------



## Anonymous (2 Juli 2004)

*Was meinst du mit fixen`???*

Hi Virenscanner!

Erst mal vielen Dank für die Hilfe - aber ich bin anscheinend ein kompletter Dummy - was genau soll ich mit den Einträgen machen - was meist du mit fixen?

CUDB.exe ist übrigens eine adware-geschichte, adware-purityscan heißt das ding.

Liebe Grüße


----------



## virenscanner (3 Juli 2004)

Fixen:
Im abgesicherten Modus mit HiJackThis scannen, vor den betroffenen Einträgen das jeweilige Kästchen markieren und anschließend "fix checked" anklicken.


----------



## Anonymous (5 Juli 2004)

*DSO Exploits*

:holy: Das Problem ist ein kleiner Fehler (BUG) in Spybot. 
Bei den DSO Exploits wird ein Wert überprüft. Stimmt dieser Wert nicht mit einem bestimmten Wert überein, muss er ersetzt werden. Leider wird dieser zurzeit durch einen falschen Wert ersetzt, was dazu führt, dass diese Einträge bei der nächsten Überprüfung erneut gefunden werden. 
Das ist nicht weiterhin schlimm für das System, Sie brauchen sich keine Sorgen machen.
Der Bug ist auch schon bereits gefixt, lokalisiert und der Fehler wird bald in einem Update verfügbar sein. Bei den DSO Exploits handelt es sich um Sicherheitslücken im Internet Explorer.
 0


----------

