Auteur Topic: Vervelende boodschap ivm "buffer" (gelezen 5938 keer)

sven2 · « **Reactie #15 Gepost op:** 18 augustus 2004, 15:08:01 »

Bedankt allemaal voor de reacties.

Ik zal deze avond de aangeduide zaken verwijderen en hijack opnieuw laten scannen.

Aangezien ik waarschijnlijk in de toekomst nog met zulke zaken zal te maken krijgen, zou ik hier graag meer over te weten komen.

Daarom dus de vraag: waar kan ik bijkomende informatie vinden over hijack en belangrijker nog, hoe weet ik welke zaken men mag verwijderen en welke niet ?

Bedankt,
Sven.

sven2 · « **Reactie #16 Gepost op:** 18 augustus 2004, 17:14:22 »

Na alle voorgaande beschreven zaken te hebben uitgevoerd krijg ik nog steeds ongewenste pop-up schermen.

Tevens geeft Spybot melding van spyware (DSO Exploit) maar kan deze niet verwijderen! (zie onderstaande gegevens)

Hoe los ik dit op ?

Fout gedurende controle!: Xabot (Ungültiger Datentyp für '') ()

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-21-1390067357-1343024091-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Register-verandering., nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-08-11 Includes\Dialer.sbi
2004-08-11 Includes\Hijackers.sbi
2004-08-11 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-08-11 Includes\Malware.sbi
2004-08-11 Includes\Revision.sbi
2004-08-11 Includes\Security.sbi
2004-08-11 Includes\Spybots.sbi
2004-08-11 Includes\Tracks.uti
2004-08-11 Includes\Trojans.sbi

guido1 · « **Reactie #17 Gepost op:** 18 augustus 2004, 18:32:51 »

Hoi,

Citaat

een mijns inziens meer onderlegd persoon dan ik , zijnde Guido1

Ik heb alleen maar wat grof werk geleverd, het fijnere werk laat ik over aan de specialist terzake, zijde Spyder. Die is allom bekent voor zijn kundigheid. Ere wie ere toekomt.

@sven2,

Om van die DSO-Exploit af te geraken kan je manueel in het register zitten prutsen en bij die 5 sleutels dat Spybot gevonden heeft de DWORD-waarde wijzigen in 3.
Maar je kan ook bijgaand progje gebruiken, dat doet dat allemaal voor u.
Als je het progje wil gebruiken moet je wel de extentie van txt wijzigen in exe want anders werkt het natuurlijk niet. Ik heb er een txt van gemaakt omdat ik het anders hier niet kan bijvoegen.
Na de naamsverandering gewoon dubbel klikken op het bestand DSO-Exploit.exe

Succes, Guido

NB, Smoelsmid, dit is alweer een nieuwe versie.

sven2 · « **Reactie #18 Gepost op:** 18 augustus 2004, 18:56:45 »

Beste Guido,

nogmaals bedankt voor de informatie. Met behulp van je programma heb ik inderdaad de sleutels kunnen verwijderen.

Ik heb nog een laatste maal een scan uitgevoerd met hijack (zie hieronder) en hoop nu over een clean systeem te beschikken.

mvg,
Sven.

Logfile of HijackThis v1.98.2
Scan saved at 18:52:18, on 18/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.be/default.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pandora.be:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

smoelsmid · « **Reactie #19 Gepost op:** 18 augustus 2004, 19:56:47 »

Deze zou je ook nog moeten fixen, cfr. spyder:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

Smoelsmid

spyder · « **Reactie #20 Gepost op:** 18 augustus 2004, 22:08:07 »

Citaat van: smoelsmid op 18 augustus 2004, 13:03:48

Citaat van: spyder op 18 augustus 2004, 00:01:34

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - (no file)
heb ik mij dus maar een beetje ingehouden.

Moet ge niet doen. Daar krijgt ge krampen van.

Citaat

Mijn vraag is of de BHO hierboven echt weg moet, en zo ja, waarom (of waarom niet)? :-\Bij computercops wordt die aangegeven als horende bij SnagIt
Niet om je hijack autoriteit in vraag te stellen natuurlijk, wel om weer wat slimmer te worden.

Foutje van mijnentwege. Ik ben te rap geweest.

Deze hoort dus inderdaad bij SnagIt en is een volledig correct programma. (De schuld van mijn jeugdige onbezonnenheid

)

Citaat van: dwa op 18 augustus 2004, 13:47:11

Kan je er misschien dadelijk bijvertellen wat die 'L' betekent...
De 'X' is duidelijk genoeg, en de 'O' is waarschijnlijk van Onverdacht ofzo

Ik ga het zeggen,Walter......

De L staat voor "legal" (legaal)
De O staat voor "open for discussion" (Hier valt over te klappen)
De X staat voor shit-,spy-,ad-, en nog andere rotzooiware (Te verwijderen dus)
Het kan ook zijn dat je een vraagteken ziet staan: dit betekent dat er voorlopig nog zeer weinig informatie hierover bekend is. (In mijn ogen is dit bijna altijd foute boel) In deze gevallen moet je dan ook een beetje op je gevoel afgaan.

Ik hoop dat ik "mijn leerlingen" alweer een beetje slimmer heb gemaakt?

spyder

spyder · « **Reactie #21 Gepost op:** 18 augustus 2004, 22:13:39 »

Hoi Guido,

Citaat van: guido1 op 18 augustus 2004, 18:32:51

Ik heb alleen maar wat grof werk geleverd, het fijnere werk laat ik over aan de specialist terzake, zijde Spyder. Die is allom bekent voor zijn kundigheid. Ere wie ere toekomt.

Ge weet toch dat het op deze manier moeilijk wordt om met beide voeten op de grond te blijven en niet te beginnen zweven.

Of hebt ge iets nodig?

guido1 · « **Reactie #22 Gepost op:** 18 augustus 2004, 22:50:32 »

Citaat van: spyder op 18 augustus 2004, 22:08:07

Ik hoop dat ik "mijn leerlingen" alweer een beetje slimmer heb gemaakt?

spyder

En ik die dacht dat er hier maar één "meester" was.!!

sven2 · « **Reactie #23 Gepost op:** 19 augustus 2004, 21:34:58 »

Hier ben ik dan weer:

na alles te hebben geprobeerd (ad aware, Spybot, Hijack)
komt die verveldende boodschap nog steeds terug!

De exacte melding is de volgende:

bericht van microsoft (daar begint het al) networks aan windows useruser

Microsoft security bulletin MS03-043

Buffer overrun in messenger service could allow code execution (828035)

Affected software:

MS windows nt workstation
MS windows Nt server 4.0
MS XP

... enz

your system is affected, download the patch from the adress below www.patchwindows.org

Wie doet er nog een poging ??

Alvast bedankt,
Sven.

dwa · « **Reactie #24 Gepost op:** 19 augustus 2004, 22:03:57 »

Hoi sven2,

Heb er niet zoveel kaas van gegeten, maar in de microsoft security bulletins zijn ze toch vrij serieus over die patch... $:-\$

dwa

Help!

Menu

Hulp bij posten

Zoeken

Recente topics