# DSO EXPLOIT => falsche Startseite mit POP UPS



## Anonymous (24 Juni 2004)

Also habe seit heute eine komische Suchseite als Startseite (in Internetoptionen als Startseite eine leere Seite) außerdem hatte ich anfangs 5 DSO Exploit Meldungen inzwischen ist es nur noch ein Eintrag, trotzdem ist der Fehler noch da! Vielleicht kann mir ja jemand helfen!?

Hier mal die Hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 12:57:27, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\BenQ\QMusic2\QMAgent.exe
C:\Programme\BenQ\Q-MediaBar\QBar.exe
C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Bernd\LOKALE~1\Temp\Rar$EX01.096\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {697A2BD9-59A9-4483-819E-96E1589A6907} - C:\WINDOWS\System32\camadda.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programme\BenQ\Q-MediaBar\QBar.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Q-HotkeyMgr] C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C61BE99-9047-4D69-801A-376E4129093B}: NameServer = 217.237.150.141 194.25.2.129

Vielen dank für eventuelle Hilfestellungen!


----------



## virenscanner (24 Juni 2004)

Diese Einträge erst einmal im abgesicherten Modus "fixen":


> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Bernd\LOKALE~1\Temp\sp.html
> ...


Falls diese Seite nicht gewollt ist, ebenfalls fixen:





> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/


Die folgende DLL kenne ich nicht: Falls diese hier nicht absichtlich installiert wurde, fixen:





> O2 - BHO: (no name) - {697A2BD9-59A9-4483-819E-96E1589A6907} - C:\WINDOWS\System32\camadda.dll


Der folgende Eintrag könnte zum Hijacker gehören: 





> O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)


Falls die folgenden Einträge nicht "gewollt" sind, so auch fixen:





> O9 - Extra button: Messenger (HKLM)
> O9 - Extra 'Tools' menuitem: Messenger (HKLM)



Bzgl. "DSO Exploit": Bitte genaue Meldung posten.


----------



## Anonymous (26 Juni 2004)

Die Datei *sp.html* kehrt sehr schnell wieder zurück und diese *unbekannte dll* zwischen 3 und 10 Buchstaben legt sich nach Zufallsprinzip mit diesem Buchstabensalat auch automatisch wieder an.

Anti-Viren Scanner, Adaware und Spybot helfen da kaum.
Zum Einen sollte man diese .dll Datei erst einmal suchen lassen - dann einfach verschieben.
Dann die sp.html löschen und dann zur Sicherheit noch einma CWshredder drüber laufen lassen.

Dann am besten noch PestPatrol laufen lassen.
Bei der "Demo-Version" kann man das gefundene dann nur manuell entfernen.
Bei der Vollversion macht er es automatisch.

Damit sind alle Schädlinge erst einmal weg.
Doch kommen sie sehr schnell wieder, wenn man nur nen falschen Link erwischt erwischt oder sich bei der URL vertippt und man auf eine "Searchx" Seite oder ähnliches kommt.

Da hilft eigentlich nur wirklich, dass man eine Firewall installiert und sie so einstellt, dass nur bestimmte I-Net Seiten ohne Aufforderung geöffnet werden.
Alles andere sollte bestätigt werden - ist zwar umständlich, aber sehr effektiv!


----------



## Smigel (26 Juni 2004)

Wenn man die Dateien gelöscht hat bitte folgendes machen:

1. Registry sichern

2. mit regedit nach folgendem Wert suchen 53707962-6F74-2D53-2644-206D7942484F
und löschen

3. rechner neustarten

Da das Teil als BHO (Browser Helper Object) eingetragen ist werden beim start des IE die benötigten Dateien anhand der Registryeinträge wieder aus dem Netz nachgeladen.


----------



## Anonymous (26 Juni 2004)

Für alle, die nicht an die Registry ranwollen:
Bei Trojaner Info kan man einen Cleaner downloaden.

G.


----------



## Anonymous (28 Juni 2004)

Vielen dank für die Hilfe @Virenscanner

Is wieder alles roger!


----------

