Nou alles gelezen is dit toch de juiste oplossinger voor die
DSO Exploit:
A-merken voor lage prijzen
naar
BREEKPUNT FORUM
BREEKPUNT FORUM
Startpagina | Profiel | Registreren | Recente onderwerpen |
The Crew | Huisregels | Leden | Zoeken | FAQ
Gebruikersnaam:
Wachtwoord:
Bewaar wachtwoord
Select Skin: Switch to Dimgray Skin Switch to Lightgreen
Skin Switch to Brown Skin Switch to Silver Skin
Wachtwoord vergeten?
Alle forums
Overige
HijackThis-logs
DSO exploit Nieuw onderwerp Reageer op onderwerp
Printer versie
Auteur Vorig onderwerp Onderwerp Volgend onderwerp
miekiemoes
Junior Member
Belgium
Berichten 325
Berichten - 30 May 2004 : 13:16:51 Toon profiel Bezoek
%s1%'s homepagemiekiemoes Reageer met citaat
Na het scannen met adaware, spybot en spysweeper krijg ik
telkens de meldin bij spybot dat er 5 entries van DSO
exploit in mijn systeem aanwezig zijn. Spysweeper en adaware
vindt geen spyware/adware. Dus de items gefixt in spybot,
doch na het rebooten van de pc en het opnieuw scannen met
spybot zijn die items terug aanwezig. Daarna pc laten
scannen in safe mode.. terug hetzelfde scenario.. Spybot
fixt het, maar bij een volgende scan is het er weer.
Dus bij deze even een hijackthis log:
C:WINDOWSSystem32nvsvc32.exe
C:PROGRA~1AgnitumOUTPOS~1outpost.exe
C:Program FilesCommon FilesSymantec
SharedCCPD-LCsymlcsvc.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesJavaj2re1.4.2_04binjusched.exe
C:Program FilesMailWasher ProMailWasher.exe
C:Program FilesPocoMail3Poco.exe
C:WINDOWSExplorer.EXE
C:Documents and SettingsmiekiemoesMijn
documentensoftwarehijackthisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start
Page =
http://www.dedigitalerevolutie.nlR0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start
Page =
http://www.dedigitalerevolutie.nlR1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,AutoConfigURL = http://pac.telenet.be:8080
R0 - HKCUSoftwareMicrosoftInternet
ExplorerToolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208}
- C:Program FilesTechSmithSnagIt 7SnagItBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F}
- C:Program FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}
- c:program filesgooglegoogletoolbar1.dll
O2 - BHO: NAV Helper -
{BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus -
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program
FilesNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Google -
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar1.dll
O3 - Toolbar: &Radio -
{8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: SnagIt -
{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:Program
FilesTechSmithSnagIt 7SnagItIEAddin.dll
O4 - HKLM..Run: [ccApp] "C:Program FilesCommon
FilesSymantec SharedccApp.exe"
O4 - HKLM..Run: [Advanced Tools Check]
C:PROGRA~1NORTON~1AdvToolsADVCHK.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
NvQTwk,NvCplDaemon initialize
O4 - HKLM..Run: [Outpost Firewall] C:Program
FilesAgnitumOutpost Firewalloutpost.exe /waitservice
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program
FilesJavaj2re1.4.2_04binjusched.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet
ExplorerControl Panel present
O8 - Extra context menu item: &Google Search -
res://C:Program FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links -
res://C:Program
FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page -
res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages -
res://C:Program FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update
Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.9139930556O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabThe difference between ignorance and nonchalance...I don't
know and I don't care! Bewerkt door - Eagle op 30 May 2004
13:38:29
Eagle
Moderator
Netherlands
Berichten 6239
Berichten - 30 May 2004 : 13:40:23 Toon profiel Reageer
met citaat
Zo te zien is je logfile schoon.
Welke melding krijg je exact????? "Life goes on, whatever
happens".....
miekiemoes
Junior Member
Belgium
Berichten 325
Berichten - 30 May 2004 : 13:47:41 Toon profiel Bezoek
%s1%'s homepagemiekiemoes Reageer met citaat
Ik krijg geen specifieke melding, doch spybot geeft telkens
de volgende items aan... en ik vind het irri dat het telkens
terugkomt na het fixen.
DSO Exploit: Data source object exploit
(Register-verandering., nothing done)
HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZones1004!=W=3
DSO Exploit: Data source object exploit
(Register-verandering., nothing done)
HKEY_USERSS-1-5-21-507921405-1425521274-839522115-1005SoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZones1004!=W=3
DSO Exploit: Data source object exploit
(Register-verandering., nothing done)
HKEY_USERSS-1-5-20SoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZones1004!=W=3
DSO Exploit: Data source object exploit
(Register-verandering., nothing done)
HKEY_USERSS-1-5-19SoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZones1004!=W=3
DSO Exploit: Data source object exploit
(Register-verandering., nothing done)
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZones1004!=W=3
The difference between ignorance and nonchalance...I don't
know and I don't care! Bewerkt door - miekiemoes op 30 May
2004 13:48:19
Eagle
Moderator
Netherlands
Berichten 6239
Berichten - 30 May 2004 : 14:01:41 Toon profiel Reageer
met citaat
Meldingen zeggen me weinig, heb gekeken bij instellingen van
Spybot maar kan niets terugvinden over DSO exploit's. "Life
goes on, whatever happens".....
miekiemoes
Junior Member
Belgium
Berichten 325
Berichten - 30 May 2004 : 14:41:47 Toon profiel Bezoek
%s1%'s homepagemiekiemoes Reageer met citaat
Misschien is het een bug.. valse melding...?? Aangezien
andere antispyware deze items niet aangeven?? Kzal nog
eventjes afwachten en misschien is het na een nieuwe update
van Spybot S&D gefixed. The difference between ignorance and
nonchalance...I don't know and I don't care!
catbyte
Moderator
Netherlands
Berichten 5018
Berichten - 30 May 2004 : 15:59:35 Toon profiel Reageer
met citaat
'DSO-exploits' in Spybot zijn wat instellingen in het
register die misbruikt kunnen als je surft op internet. Deze
kun je met een gerust hart laten repareren door Spybot.
Staat er in Spybot geen informatie bij de gevonden sleutels?
Kijk anders hier:
http://forums.net-integration.net/index.php?showtopic=15308http://forums.net-integration.net/index.php?showtopic=15409miekiemoes
Junior Member
Belgium
Berichten 325
Berichten - 30 May 2004 : 16:18:26 Toon profiel Bezoek
%s1%'s homepagemiekiemoes Reageer met citaat
Dat is het nu juist catbyte, spybot fixt die, maar bij een
volgende scan komen die steeds terug. Verder is er in spybot
geen verdere info te bekennen bij de gevonden sleutels. Kzal
even de links bekijken die je mij gegeven hebt.
Alvast bedankt. ;-) The difference between ignorance and
nonchalance...I don't know and I don't care!
miekiemoes
Junior Member
Belgium
Berichten 325
Berichten - 30 May 2004 : 17:22:01 Toon profiel Bezoek
%s1%'s homepagemiekiemoes Reageer met citaat
Voila, probleem opgelost. Spybot geeft mij de melding van
DSO exploit niet meer. Blijkbaar was het toch een bug in
spybot waarbij de juiste waarde voor de items niet werden
gefixed. Er werd nl. door spybot niks aan het register
gedaan. Via de link die catbyte me gegeven heeft heb ik de
stappen opgevolgd om zelf het register te bewerken en de
desbtreffende registerkeys (REG_SZ) te wissen en nieuwe aan
te maken, maar deze keer een REG_DWORD in plaats van een
REG_SZ, zodat ik de waarde kon aanpassen naar 3 (zoals
beschreven op die site)
Nog eens thanx
The difference between ignorance and nonchalance...I don't
know and I don't care!
ajacied
Starting Member
Netherlands
Berichten 40
Berichten - 01 Aug 2004 : 13:32:51 Toon profiel Bezoek
%s1%'s homepageajacied Reageer met citaat
hoi miekie,kun je mij vertellen in het -nederlands-wat jij
gedaan hebt om dso exploit te verwijderen,ik heb ut ook.in
ut engels snap ik um niet.groetjes
roelieindo
Starting Member
Netherlands
Berichten 24
Berichten - 10 Aug 2004 : 17:33:19 Toon profiel Bezoek
%s1%'s homepageroelieindo Reageer met citaat
Register-editor:
Hkey_Current_User: map windows>>>internetsettings>>>zones>>
map 0: 1004....1004 reg_dword waarde: 3.
Daarna reset pc.
Succes
DeLorean
Moderator
Belgium
Berichten 4327
Berichten - 10 Aug 2004 : 18:46:44 Toon profiel Bezoek
%s1%'s homepageDeLorean Reageer met citaat
Download volgende zelfgemaakte fix ->
http://users.pandora.be/DeLorean/Downloads/DSO_Fix.regNa het downloaden, dubbelklikken op deze Fix, er zal dan de
vraag worden gesteld "weet u zeker dat u DSO_Fix.reg aan het
register wil toevoegen" , hierop geef je JA als antwoord.
Bovenstaande fix doet de register-wijzigingen automatisch
die besproken staan in de eerder aangegeven links.
Echter deze Fix herstelt maar 4 van de 5 gevonden sleutels
door Spybot.
Probleem is dat 1 van die 5 sleutels een cijffereeks bevat
die bij elke pc verschilt,de ander 4 sleutels zijn identiek
bij elke pc onder Windows XP.
De niet herstelde sleutel moet handmatig in het register
worden herstelt:
Start -> uitvoeren -> "regedit" typen zonder " " tekens en
Enter drukken.
Dan naar de volgende sleutel gaan:
HKEY_USERSS-1-5-21-{cijferreeks}
Deze sleutel met S-1-5-21 en een cijferreeks zal er 2 keer
te zien zijn,
hier kies je de bovenste van en je gaat vervolgens verder naar :
SoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZones
Hier verwijder je de sleutel waar 1004 in voorkomt,
nadien klik je rechts op een lege plaats en kiest
Nieuw -> Dword waarde en je geeft deze de naam 1004,
daarna klik je rechts op deze 1004, en je kiest "Wijzigen"
hier verander je de 0 naar 3 nadien mag je alle openstaande
vensters sluiten.
Nadien als je scant met Spybot zal er geen DSO Exploit meer
te zien te zijn als je alles goed hebt uitgevoerd.
Voor dat je aan de slag gaat , is het raadzaam om een
systeemherstelpunt te maken:
Start -> alle programma's -> bureauaccessoires ->
systeemwerkset -> systeemherstel
Hier kies je "Een herstelpunt maken" en je geeft de naam
"Register fix"
daarna klik je op volgende en het herstelpunt word gemaakt.
AANDACHT:
De Fix in begin van dit bericht werkt alleen voor Windows XP.
Na het toepassen van deze fix staan de beveiligings
instellingen per zone terug zoals standaard ingesteld staat.
Had je voordien een hogere beveiliging van een of meerdere
internet zones ingesteld dan zal je deze opnieuw moeten
verhogen.
Deze beveiligings-instellingen per zone staan op volgende
plaats:
Start -> configuratiescherm -> Internetopties -> beveiliging
Bewerkt door - DeLorean op 10 Aug 2004 18:47:42
roelieindo
Starting Member
Netherlands
Berichten 24
Berichten - 11 Aug 2004 : 17:56:34 Toon profiel Bezoek
%s1%'s homepageroelieindo Reageer met citaat
Ja ok,
Op die uitgebreide manier kan het ook, maar bij mij was op
de genoemde handeling uiteindelijk verwijdert.
Mvgr,
ajacied
Starting Member
Netherlands
Berichten 40
Berichten - 14 Aug 2004 : 09:01:11 Toon profiel Bezoek
%s1%'s homepageajacied Reageer met citaat
bedankt voor de uitleg maar ik krijg hier hulp bij,ja dat
register he,daar blijf ik liever af.
Jeki
Starting Member
Berichten 1
Berichten - 27 Aug 2004 : 12:52:04 Toon profiel Reageer
met citaat
Nieuw -> Dword waarde en je geeft deze de naam 1004,
daarna klik je rechts op deze 1004, en je kiest "Wijzigen"
hier verander je de 0 naar 3???????
Moet je dan beide nullen wijzigen in een 3?
Mvrg. Jeki
miekiemoes
Junior Member
Belgium
Berichten 325
Berichten - 27 Aug 2004 : 15:41:14 Toon profiel Bezoek
%s1%'s homepagemiekiemoes Reageer met citaat
neenee, na de Dword te hebben aangemaakt moet je erop
dubbelklikken, en dan zal je waardegegevens zien staan. En
daar 3 invullen ipv 0 The difference between ignorance and
nonchalance...I don't know and I don't care!
Vorig onderwerp Onderwerp Volgend onderwerp
Nieuw onderwerp Reageer op onderwerp
Printer versie
Ga naar:
BREEKPUNT FORUM © 1998-2004 Stichting Breekpunt Naar boven
Image Forum 2001 Deze pagina is gegenereerd in 0.22
seconden. Snitz Forums 2000