Toon posts:

[XP]DSO Exploit niet weg te krijgen

Pagina: 1
Acties:

maandag 24 mei 2004 11:02

Acties:
  • Ankh
  • Registratie: Mei 2001
  • Laatst online: 10:39

Ankh

|true

Topicstarter
ik zit met een irritante spyware oid, het gaat om het volgende:
Afbeeldingslocatie: http://www.tweakers.net/ext/f/32223/thumb.jpg

adaware en spysweeper vinden hem niet, maar deze wel. en hij blijft maar terug komen

ik heb verschillende dingen geprobeerd, zoals: http://security.greymagic.com/adv/gm001-ie/
en natuurlijk Google :)
ik krijg hem erniet uit :( iemand nog oplossing? of wordt het toch maar een keer windows opnieuw installeren (heb nogal last gehad van dat alle isntellingen weer naar het oude gaan..)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77

Logfile of HijackThis v1.97.7
Scan saved at 10:50:46, on 24-5-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\K-Lite Codec Pack\media player classic\mplayerc.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\PopUpCop\PopUpCop.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Image in New Window - res://C:\Program Files\PopUpCop\popupcop.dll/imagenew
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O15 - Trusted Zone: http://ww2.vodafone.nl
O15 - Trusted Zone: http://www.vodafone.nl
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38106.1952314815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

maandag 24 mei 2004 15:21

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Je log ziet er schoon uit, op deze regel na:
code:
1

R3 - Default URLSearchHook is missing

Overigens, probeer ook eens CWShredder. En nog een kleine opmerking, Messenger Plus! 2 staat in je opstartlijst, terwijl je ook Messenger Plus! 3 hebt ;)

Signature

maandag 24 mei 2004 17:38

Acties:
  • Ankh
  • Registratie: Mei 2001
  • Laatst online: 10:39

Ankh

|true

Topicstarter
CWShredder vind niets, naar mijn weten.

ik weet het :o ik dacht dat ding doet het wel auto, maar nee hoor :P

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

maandag 24 mei 2004 21:20

Acties:
  • smvs
  • Registratie: September 2000
  • Niet online

smvs

http://www.simtel.net/product.php?url_fb_product_page=58188

[ Voor 98% gewijzigd door smvs op 24-05-2004 21:25 ]

dinsdag 25 mei 2004 00:25

Acties:

Verwijderd

Manually :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1004"=dword:00000003

Tool :

http://www.nsclean.com/dsostop.html

Weet je niet hoe je met regedit om kan gaan wil ik wel een script maken voor je.

dinsdag 25 mei 2004 15:38

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Verwijderd schreef op 25 mei 2004 @ 00:25:
Manually :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1004"=dword:00000003

Tool :

http://www.nsclean.com/dsostop.html

Weet je niet hoe je met regedit om kan gaan wil ik wel een script maken voor je.
Als je die link had gevolgd in de TS had je gezien dat ie dat al gedaan had ;)

Signature

dinsdag 25 mei 2004 16:06

Acties:
  • Ankh
  • Registratie: Mei 2001
  • Laatst online: 10:39

Ankh

|true

Topicstarter
idd, het blijft gewoon terug komen, heb het net via de manual manier gedaan.. maar blijft nogsteeds de exploit geven.. raar dat die andere niets vinden

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

donderdag 3 juni 2004 23:30

Acties:
  • SolidD
  • Registratie: Juli 2001
  • Laatst online: 01-12 22:22

SolidD

 

Okee, ik heb dus hetzelfde probleem. (WIN98) Ad-Aware en SpyBot geïnstalleerd en gerund, SpyBot vond wel wat maar na 'reparatie' werd de DSO Exploit steeds weer opnieuw gevonden.

Na het runnen van het prog op http://www.nsclean.com/dsostop.html vind SpyBot niks meer, maar IE opent nog steeds met een of andere spam pagina die ik er niet uit krijg door de startpagina op about:blank te zetten. (Edit; de pagina die opent is 'http: // 213 .159.117.132 / redir.php' ik heb er een paar spaties tussen gezet omdat je er waarschijnlijk liever niet op wilt klikken) Wanneer je nu niet snel genoeg bent met op 'stoppen' drukken en die pagina is geladen, opent er bij het afsluiten van IE of naar andere pagina browsen een heeell irritant window. Maarja, de startpagina schiet er dus steeds op terug.

Is er al iemand die weet hoe dit te verhelpen is? Ik neem aan dat het door die DSO Exploit komt, geen idee wat het anders kan zijn.

Edit;
Ohja, hiernaast crasht m'n pc ook nog steeds als ik 'deze computer' of 'mijn documenten' of andere explorer toepassingen probeer te openen !!
Heb tijdens het spyware verwijderen wel 1 exe bestanden uit de windows dir verwijderd omdat deze er volgens mij niet thuishoorden:
/windows/system/stimon.exe
/windows/system32/wintime.exe
Suggesties? pleeaases.

[ Voor 34% gewijzigd door SolidD op 03-06-2004 23:47 ]

vrijdag 4 juni 2004 00:06

Acties:
  • SolidD
  • Registratie: Juli 2001
  • Laatst online: 01-12 22:22

SolidD

 

Tot mijn spijt weer een geval van te snel vragen zonder te zoeken, door wat toeval stuitte ik op deze thread: [rml][ spyware] Extreem hardnekkige en gore spyware*[/rml] waar de oplossing staat beschreven. In ieder geval werkte het programma 'cws shredder' (http://www.krone.at/index...ne_download_140404_1.html) hier, zowel IE als explorer doen het weer.

vrijdag 4 juni 2004 09:12

Acties:
  • Ankh
  • Registratie: Mei 2001
  • Laatst online: 10:39

Ankh

|true

Topicstarter
cws schredder helpt bij mij dus niet.. :( jammer maar helaas... :) voor de rest heb ik hem nog steeds om komt steeds terug..

ik ga snel maar eens me computer opnieuw installeren :)

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

vrijdag 4 juni 2004 10:14

Acties:
  • Pendaco
  • Registratie: Augustus 2003
  • Laatst online: 10:39

Pendaco

Vogon Poetry FTW!

SCaRaBaeuS schreef op 04 juni 2004 @ 09:12:
cws schredder helpt bij mij dus niet.. :( jammer maar helaas... :) voor de rest heb ik hem nog steeds om komt steeds terug..

ik ga snel maar eens me computer opnieuw installeren :)
komt ie dan niet gewoon net zo hard weer terug :? . Of heb ik die zooi er van buitenaf op gekregen?
Ik heb het er zelf ook op staan, en aangezien er in de details stond dat het van microsoft kwam, dacht ik dat het geen kwaad kon.

Maar uit die eerder genoemde link maak ik dus op, dat dit microsoft de kans geeft om van buitenaf jouw register te veranderen? of heb ik dat mis

[ Voor 5% gewijzigd door Pendaco op 04-06-2004 10:16 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq