 sphjfix geht nicht |
Willkommen, Gast ( Anmelden | Registrierung )
 21.05.2004, 16:22
Beitrag
#1
|
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853  |
Hallo, habe folgendes Problem:
Habe mir so wie`s aussieht einen Browser Hijacker eingefangen, Eure Erste-Hilfe-Maßnahmen durchgeführt und die Datei SpHjfix.exe downgeloadet. Wenn ich dort jedoch auf "Desinfektion starten" klicke, erscheint in der oberen Zeile "Nicht infiziert" Die Log-Datei: 21.05.2004 17:09:30 SPhjFix started v1.07 21.05.2004 17:09:30 Stealth-String not found -> Programm terminated 21.05.2004 17:15:34 SPhjFix started v1.07 21.05.2004 17:15:34 Stealth-String not found -> Programm terminated Nachdem ich Spybot und Ad-aware laufen hab lassen gibt mir Hijackthis folgende Log-Datei: Logfile of HijackThis v1.97.7 Scan saved at 17:19:08, on 21.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\SOUNDMAN.EXE C:\appz\Video\Quicktime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Dialer Control\dc.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Appz\I-net\GetRight\getright.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\WINDOWS\sllights.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Appz\System\WinRAR\WinRAR.exe C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C7D6C071-33BC-44B4-9B74-A2E24D949559} - C:\WINDOWS\System32\lbbpo.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\appz\Video\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Appz\I-net\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Appz\I-net\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Appz\I-net\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O16 - DPF: {4CA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://66.230.151.114/d/CABDialer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{C77DE0B1-A2ED-423E-9EC2-4AC982BE243D}: NameServer = 195.182.110.132 62.134.11.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0 Was kann ich jetzt tun? Danke im Voraus! |
 |
 
|
 |
Antworten
| Gast_JohnnyTheGod_* |
01.07.2004, 08:20
Beitrag
#2
|
|
Gäste |
Nein, hilft leider nicht.
Die Systemwiederherstellung als Dienst wieder zu starten nützt nichts, da ja beim Deaktivieren "alle Wiederherstellungspunkte gelöscht" wurden. Auch der Microsoft-Link ist eine Beschreibung, wie man manuell die Registrierungsdaten aus den Wiederherstellungspunkten zurückholt. Aber wie gesagt, beim Abschalten der Systemwiederherstellung wurden ja diese Punkte gelöscht und damit alle Wiederherstellungsdaten.  Nachdem ist schon sehr viel Zeit hinein gesteckt habe, ist die Zeit für eine Neuinstallation natürlich vernachlässigbar. Aber zuvor muss ich irgendwie an die Daten herankommmen (NTFS Verschlüsselung aktiv!). Meines Wissens zeigt das entsprechende Zertifikat, das zur Entschlüsselung nötig ist, erst beim korrekten Anmelden am System (also nicht nur an der Wiederherstellungskonsole) Wirkung. (Sonst könnte ja jeder die Dateien entschlüsseln, wenn er nur an das Dateisystem rankommt. *nichtmehrweiterweiß*  
|
|
|
|
Beiträge in diesem Thema
Tyler sphjfix geht nicht 21.05.2004, 16:22
raman Hast du es schon mit find-all.bat von http://www10... 21.05.2004, 16:44 Tyler --==***@@@ 'FIND-ALL' VERSION 6 -5/21 @@@*... 21.05.2004, 17:12 raman Das "Wichtigeste" fehlt. Nimm mal das Z... 21.05.2004, 17:35 Tyler Der Befehl "Xfind" ist entweder falsch g... 21.05.2004, 18:05 raman Hast du das Archive *komplett* entpackt? Sprich be... 21.05.2004, 18:21 Tyler Schon, aber dann erscheint eine file.txt die gar k... 21.05.2004, 18:47 raman Dann mal diese Datei C:\WINDOWS\System32... 21.05.2004, 18:52 Tyler Treffer!
Scanned file: lbbpo.dll
lbbpo.dl... 21.05.2004, 18:56 raman Vieleicht reicht ja schon das fixen der "R... 21.05.2004, 19:05 DerBilk Ich hab da mal ne Frage:
Verstehe ich das richtig,... 21.05.2004, 19:45 Seeker Jo würd mich auch interessieren...vielleicht hat s... 21.05.2004, 20:35 schlibo Hi @all,
hab auch ein Problem als hilfloser Helfer... 21.05.2004, 21:09 DerBilk QUOTE(schlibo @ 21. May 2004, 22:08) Hi @all,... 21.05.2004, 21:23 schlibo Hallo Bilk,
dass Senioren schlimmer sein können... 21.05.2004, 21:45 Tyler Also, habe gestern Abend noch den Link von Raman a... 22.05.2004, 19:17 DerBilk QUOTE(schlibo @ 21. May 2004, 22:44) Was mich... 23.05.2004, 11:38 Jugendbewegung Habe das gleiche Problem,wie der Thread-Eröffner ... 05.06.2004, 19:23 rock das sieht sonderbar aus:
(no name) - C:\WINDO... 05.06.2004, 21:46 Jugendbewegung flmlea.dll Infiziert: Trojan.Win32.StartPage.gv
U... 05.06.2004, 21:54 rock norton sollte trojan startpage erkennen.
also ein... 05.06.2004, 22:07 Rokop so einfach ist das bei Startpage.gv leider nicht ... 05.06.2004, 22:10 rock sch*....was tun?
tut's der CWSshredder? aber ... 05.06.2004, 22:11 Rokop Die Ursache beseitigen ist schwer, nicht die Sympt... 05.06.2004, 22:15 rock das klingt ja fast 'hoffnungslos'.
er sol... 05.06.2004, 22:20 Rokop @ Jugendbewegung
Wie gut kennst Du Dich in Sachen... 05.06.2004, 22:20 rock klingt gut... sachen gibt's... immer was im re... 05.06.2004, 22:22 raman In Bezug auf die "verstecke" Datei. Die... 05.06.2004, 22:29 Jugendbewegung QUOTE(Rokop @ 5. June 2004, 22:19) @ Jugendbe... 05.06.2004, 22:53 Rokop OK, dann wollen wir mal:
- regedit
- gehe nach HK... 05.06.2004, 23:09 Rokop Fast vergessen: Wenn die ctl.dll tot ist, solltest... 05.06.2004, 23:12 Jugendbewegung Folgendes : - regedit -> Windowsneu -> die D... 05.06.2004, 23:39 Rokop Normalerweise ist sie dann solange auch nicht im S... 06.06.2004, 08:07 Xymox hallo!
ich hab ein ähnliches problem, leider ... 09.06.2004, 14:55 Rokop Diese Datei:
C:\WINNT\system32\bhf... 09.06.2004, 15:56 Xymox leider habe ich das gleich problem wie Tyler, die ... 11.06.2004, 08:45 Remover Bin heute auch wieder bei einem Kunden auf eine SP... 11.06.2004, 15:24 paff @remover
Probiers mal hiermit die Datei anzeigen... 11.06.2004, 16:25 Remover @Paff
Kann ich machen, glaube aber nichts das es ... 11.06.2004, 19:45 Weinford Hallo, kann mir vielleicht jemand helfen. Komme mi... 15.06.2004, 01:15 Xymox moin, ich konnte mein problem lösen:
1. habe im s... 15.06.2004, 08:46 Weinford Danke, Xymox.
Was Xymox schreibt löst das Problem... 16.06.2004, 10:17 JohnnyTheGod Hilfe, hilfe, hilfe:
Nachdem ich mich monatelang ... 29.06.2004, 10:17 Seeker Läuft die Systemwiederherstellung als Dienst, wenn... 29.06.2004, 13:35
 |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 04.07.2025, 19:43 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment