sphjfix geht nicht - Rokop Security

Rokop Security

Mitglieder Moderatoren

Regeln

Hilfe

Suche

Mitglieder

Kalender

sphjfix geht nicht

Einstellungen

Tyler Profil ansehen	21.05.2004, 16:22 Beitrag #1
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853	Hallo, habe folgendes Problem: Habe mir so wie`s aussieht einen Browser Hijacker eingefangen, Eure Erste-Hilfe-Maßnahmen durchgeführt und die Datei SpHjfix.exe downgeloadet. Wenn ich dort jedoch auf "Desinfektion starten" klicke, erscheint in der oberen Zeile "Nicht infiziert" Die Log-Datei: 21.05.2004 17:09:30 SPhjFix started v1.07 21.05.2004 17:09:30 Stealth-String not found -> Programm terminated 21.05.2004 17:15:34 SPhjFix started v1.07 21.05.2004 17:15:34 Stealth-String not found -> Programm terminated Nachdem ich Spybot und Ad-aware laufen hab lassen gibt mir Hijackthis folgende Log-Datei: Logfile of HijackThis v1.97.7 Scan saved at 17:19:08, on 21.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\SOUNDMAN.EXE C:\appz\Video\Quicktime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Dialer Control\dc.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Appz\I-net\GetRight\getright.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\WINDOWS\sllights.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Appz\System\WinRAR\WinRAR.exe C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C7D6C071-33BC-44B4-9B74-A2E24D949559} - C:\WINDOWS\System32\lbbpo.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\appz\Video\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Appz\I-net\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Appz\I-net\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Appz\I-net\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O16 - DPF: {4CA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://66.230.151.114/d/CABDialer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{C77DE0B1-A2ED-423E-9EC2-4AC982BE243D}: NameServer = 195.182.110.132 62.134.11.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0 Was kann ich jetzt tun? Danke im Voraus!

Antworten

Rokop Profil ansehen	09.06.2004, 15:56 Beitrag #2
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine	Diese Datei: C:\WINNT\system32\bhfa.dll/sp.html ist nur die Auswirkung, der eigentliche Übeltäter ist eine dll, die auch im System32 Ordner sitzt aber nicht sichtbar ist. Du erkennst den Namen, wenn du die angefügte Datei entpackst, die find.bat startest, wartest bis sich das Fenster geschlossen hat und anschließend die neu entstandene Textdatei ausliest (Du kannst den Inhalt auch gern hier reinpasten) -------------------- (-- Roman --)

Beiträge in diesem Thema

Tyler sphjfix geht nicht 21.05.2004, 16:22

raman Hast du es schon mit find-all.bat von http://www10... 21.05.2004, 16:44

Tyler --==***@@@ 'FIND-ALL' VERSION 6 -5/21 @@@*... 21.05.2004, 17:12

raman Das "Wichtigeste" fehlt. Nimm mal das Z... 21.05.2004, 17:35

Tyler Der Befehl "Xfind" ist entweder falsch g... 21.05.2004, 18:05

raman Hast du das Archive *komplett* entpackt? Sprich be... 21.05.2004, 18:21

Tyler Schon, aber dann erscheint eine file.txt die gar k... 21.05.2004, 18:47

raman Dann mal diese Datei C:\WINDOWS\System32... 21.05.2004, 18:52

Tyler Treffer! Scanned file: lbbpo.dll lbbpo.dl... 21.05.2004, 18:56

raman Vieleicht reicht ja schon das fixen der "R... 21.05.2004, 19:05

DerBilk Ich hab da mal ne Frage: Verstehe ich das richtig,... 21.05.2004, 19:45

Seeker Jo würd mich auch interessieren...vielleicht hat s... 21.05.2004, 20:35

schlibo Hi @all, hab auch ein Problem als hilfloser Helfer... 21.05.2004, 21:09

DerBilk QUOTE(schlibo @ 21. May 2004, 22:08) Hi @all,... 21.05.2004, 21:23

schlibo Hallo Bilk, dass Senioren schlimmer sein können... 21.05.2004, 21:45

Tyler Also, habe gestern Abend noch den Link von Raman a... 22.05.2004, 19:17

DerBilk QUOTE(schlibo @ 21. May 2004, 22:44) Was mich... 23.05.2004, 11:38

Jugendbewegung Habe das gleiche Problem,wie der Thread-Eröffner ... 05.06.2004, 19:23

rock das sieht sonderbar aus: (no name) - C:\WINDO... 05.06.2004, 21:46

Jugendbewegung flmlea.dll Infiziert: Trojan.Win32.StartPage.gv U... 05.06.2004, 21:54

rock norton sollte trojan startpage erkennen. also ein... 05.06.2004, 22:07

Rokop so einfach ist das bei Startpage.gv leider nicht ... 05.06.2004, 22:10

rock sch*....was tun? tut's der CWSshredder? aber ... 05.06.2004, 22:11

Rokop Die Ursache beseitigen ist schwer, nicht die Sympt... 05.06.2004, 22:15

rock das klingt ja fast 'hoffnungslos'. er sol... 05.06.2004, 22:20

Rokop @ Jugendbewegung Wie gut kennst Du Dich in Sachen... 05.06.2004, 22:20

rock klingt gut... sachen gibt's... immer was im re... 05.06.2004, 22:22

raman In Bezug auf die "verstecke" Datei. Die... 05.06.2004, 22:29

Jugendbewegung QUOTE(Rokop @ 5. June 2004, 22:19) @ Jugendbe... 05.06.2004, 22:53

Rokop OK, dann wollen wir mal: - regedit - gehe nach HK... 05.06.2004, 23:09

Rokop Fast vergessen: Wenn die ctl.dll tot ist, solltest... 05.06.2004, 23:12

Jugendbewegung Folgendes : - regedit -> Windowsneu -> die D... 05.06.2004, 23:39

Rokop Normalerweise ist sie dann solange auch nicht im S... 06.06.2004, 08:07

Xymox hallo! ich hab ein ähnliches problem, leider ... 09.06.2004, 14:55

Rokop Diese Datei: C:\WINNT\system32\bhf... 09.06.2004, 15:56

Xymox leider habe ich das gleich problem wie Tyler, die ... 11.06.2004, 08:45

Remover Bin heute auch wieder bei einem Kunden auf eine SP... 11.06.2004, 15:24

paff @remover Probiers mal hiermit die Datei anzeigen... 11.06.2004, 16:25

Remover @Paff Kann ich machen, glaube aber nichts das es ... 11.06.2004, 19:45

Weinford Hallo, kann mir vielleicht jemand helfen. Komme mi... 15.06.2004, 01:15

Xymox moin, ich konnte mein problem lösen: 1. habe im s... 15.06.2004, 08:46

Weinford Danke, Xymox. Was Xymox schreibt löst das Problem... 16.06.2004, 10:17

JohnnyTheGod Hilfe, hilfe, hilfe: Nachdem ich mich monatelang ... 29.06.2004, 10:17

Seeker Läuft die Systemwiederherstellung als Dienst, wenn... 29.06.2004, 13:35

JohnnyTheGod Nein, hilft leider nicht. Die Systemwiederherstel... 01.07.2004, 08:20

« Vorhergehendes Thema · HijackThis-Logs · Folgendes Thema »

1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)

0 Mitglieder: