sphjfix geht nicht |
Willkommen, Gast ( Anmelden | Registrierung )
sphjfix geht nicht |
21.05.2004, 16:22
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853 |
Hallo, habe folgendes Problem:
Habe mir so wie`s aussieht einen Browser Hijacker eingefangen, Eure Erste-Hilfe-Maßnahmen durchgeführt und die Datei SpHjfix.exe downgeloadet. Wenn ich dort jedoch auf "Desinfektion starten" klicke, erscheint in der oberen Zeile "Nicht infiziert" Die Log-Datei: 21.05.2004 17:09:30 SPhjFix started v1.07 21.05.2004 17:09:30 Stealth-String not found -> Programm terminated 21.05.2004 17:15:34 SPhjFix started v1.07 21.05.2004 17:15:34 Stealth-String not found -> Programm terminated Nachdem ich Spybot und Ad-aware laufen hab lassen gibt mir Hijackthis folgende Log-Datei: Logfile of HijackThis v1.97.7 Scan saved at 17:19:08, on 21.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\SOUNDMAN.EXE C:\appz\Video\Quicktime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Dialer Control\dc.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Appz\I-net\GetRight\getright.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\WINDOWS\sllights.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Appz\System\WinRAR\WinRAR.exe C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C7D6C071-33BC-44B4-9B74-A2E24D949559} - C:\WINDOWS\System32\lbbpo.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\appz\Video\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Appz\I-net\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Appz\I-net\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Appz\I-net\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O16 - DPF: {4CA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://66.230.151.114/d/CABDialer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{C77DE0B1-A2ED-423E-9EC2-4AC982BE243D}: NameServer = 195.182.110.132 62.134.11.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0 Was kann ich jetzt tun? Danke im Voraus! |
|
|
21.05.2004, 16:44
Beitrag
#2
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Hast du es schon mit find-all.bat von http://www10.brinkster.com/expl0iter/freeatlast/pvtool.htm versucht? Poste, nachdem die find-all.bat gestartet hast, den inhalt der output.txt, die danach im Editor auftaucht.
Der Beitrag wurde von raman bearbeitet: 21.05.2004, 16:45 -------------------- MfG Ralf
|
|
|
21.05.2004, 17:12
Beitrag
#3
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853 |
--==***@@@ 'FIND-ALL' VERSION 6 -5/21 @@@***==--
*System Info: Microsoft Windows XP [Version 5.1.2600] *IE version and Service packs: ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings MinorVersion REG_SZ ;SP1;Q810847;Q813951; *Google Toolbar version and Attributes: Defaults: "A" ;"R" Pfad nicht gefunden - C:\Programme\google Pfad nicht gefunden - C:\Programme\google *UserAgent: REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] *Wmplayer version: *M$Java version: *PC uptime: *Locked or 'Suspect' file(s) found... Der Befehl "Xfind" ist entweder falsch geschrieben oder konnte nicht gefunden werden. Der Befehl "Xfind" ist entweder falsch geschrieben oder konnte nicht gefunden werden. *Tasks (services): REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8418F54D-5BEF-4F6E-9E33-BEA02FE7C90B}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}] @="NAV Helper" REGEDIT4 [HKEY_CLASSES_ROOT\PROTOCOLS\Filter] [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler] @="AP Class Install Handler filter" "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate] @="AP Deflate Encoding/Decoding Filter " "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip] @="AP GZIP Encoding/Decoding Filter " "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml] @="AP lzdhtml encoding/decoding Filter" "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] "CLSID"="{9E8DCDC2-73A1-4A70-AE87-73338AB80881}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain] "CLSID"="{9E8DCDC2-73A1-4A70-AE87-73338AB80881}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml] @="WebView MIME Filter" "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}" *Security settings for 'Windows' key: ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_Dlls REG_SZ *ACLs list for *.* in 'junk' folder: (if exist) A C:\Dokumente und Einstellungen\Michael Dengler\Eigene Dateien\DL\winBackup.hiv A C:\Dokumente und Einstellungen\Michael Dengler\Eigene Dateien\DL\windows.txt A C:\FindallwinBackup.hiv |
|
|
21.05.2004, 17:35
Beitrag
#4
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das "Wichtigeste" fehlt. Nimm mal das Zip aus dem Anhang, packe es in einen seperaten Ordner, entpacke und starte die find.bat. Wenn diese ihre Arbeit beendet hat, befindet sich in dem Ordner eine file.txt. Poste den Inhalt dieser Datei bitte hierhin.
Angehängte Datei(en)
-------------------- MfG Ralf
|
|
|
21.05.2004, 18:05
Beitrag
#5
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853 |
Der Befehl "Xfind" ist entweder falsch geschrieben oder
konnte nicht gefunden werden. ?! ?! |
|
|
21.05.2004, 18:21
Beitrag
#6
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Hast du das Archive *komplett* entpackt? Sprich beide Dateien? Es reicht nicht einfach die find.bat direkt aus dem Archiv zu starten.
-------------------- MfG Ralf
|
|
|
21.05.2004, 18:47
Beitrag
#7
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853 |
Schon, aber dann erscheint eine file.txt die gar keinen Text enthält
|
|
|
21.05.2004, 18:52
Beitrag
#8
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Dann mal diese Datei C:\WINDOWS\System32\lbbpo.dll hier testen: http://www.kaspersky.com/scanforvirus .
-------------------- MfG Ralf
|
|
|
21.05.2004, 18:56
Beitrag
#9
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853 |
Treffer!
Scanned file: lbbpo.dll lbbpo.dll - infected by Trojan.Win32.StartPage.gv Und nu? Danke übrigens für die bisherige Hilfe |
|
|
21.05.2004, 19:05
Beitrag
#10
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Vieleicht reicht ja schon das fixen der "R" Eintraege. Ansonsten mal diesen Scanner iim abgesicherten Modus nutzen, von einer WinpeCD(*) waere es zwar besser, aber abgesichert sollte auch schon was bringen.
http://www.mwti.net/antivirus/free_utilities.asp (*)= http://www.patrikhinz.de/ , bzw nu2.nu/pebuilder -------------------- MfG Ralf
|
|
|
21.05.2004, 19:45
Beitrag
#11
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - |
Ich hab da mal ne Frage:
Verstehe ich das richtig, dass Du -Tyler- die Datei C:\WINDOWS\System32\lbbpo.dll 'sehen' konntest? Sie war also nicht verborgen? Das wäre imho auch der Grund, warum der Cleaner bei Dir 'versagt' hat... QUOTE 21.05.2004 17:15:34 Stealth-String not found -> Programm terminated Ich habe dann zwar spontan auch keine Erklärung, warum die Datei bei Dir im Gegensatz zu (fast) allen anderen Betroffenen nicht verborgen war, aber es interessiert mich, da ich vorgestern von einem ähnlichen Fall gelesen habe... -------------------- Gruß,
Lutz |
|
|
21.05.2004, 20:35
Beitrag
#12
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 179 Mitglied seit: 05.07.2003 Mitglieds-Nr.: 126 |
Jo würd mich auch interessieren...vielleicht hat sich aber auch der Aufruf geändert
Hab ich jetzt auch schon paarmal gesehn wo der Cleaner den String nicht gefunden hat... Die Stealth-DLL (nicht die in HJT-angezeigte) wär dann mal interessant, dann könnte man das mal testen.. Der Beitrag wurde von Seeker bearbeitet: 21.05.2004, 20:38 -------------------- Gruß
Seeker |
|
|
Gast_schlibo_* |
21.05.2004, 21:09
Beitrag
#13
|
Gäste |
Hi @all,
hab auch ein Problem als hilfloser Helfer. näheres hier: http://www.seniorentreff.de/diskussion/thr.../thread1472.php gruß schlibo |
|
|
21.05.2004, 21:23
Beitrag
#14
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - |
QUOTE(schlibo @ 21. May 2004, 22:08) Hi @all, hab auch ein Problem als hilfloser Helfer. näheres hier: http://www.seniorentreff.de/diskussion/thr.../thread1472.php gruß schlibo Wie soll man denn da helfen So wichtig scheint denen das Problem aber nicht zu sein... Streiten sich über Namensähnlichkeiten tztztz Vielleicht kannst Du den Betroffenen mal dazu überreden, doch noch sein Log zu posten... Ich helf ja ganz gerne, aber da hilft ja nicht mal eine Glaskugel.... Der Beitrag wurde von DerBilk bearbeitet: 21.05.2004, 21:23 -------------------- Gruß,
Lutz |
|
|
Gast_schlibo_* |
21.05.2004, 21:45
Beitrag
#15
|
Gäste |
Hallo Bilk,
dass Senioren schlimmer sein können als kleine Kinder erfahre ich grad familiär. Was mich stutzig macht ist das hier: R1HKCU\Software\Microsoft\Internet Explorer\Main, Searchbar=http\\www.any-find.com\sp.htm Und der Cleaner soll nicht angeschlagen haben! gruß schlibo |
|
|
22.05.2004, 19:17
Beitrag
#16
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853 |
Also, habe gestern Abend noch den Link von Raman ausprobiert (Besten Dank hierfür!), die lbbpo.dll dadurch gelöscht und die R-Einträge gefixt!
Nach mehrstündiger Wartezeit (Weil die R-Einträge ja scheinbar nach einiger Zeit bei manchen wieder aufgetaucht sind) ist die Hijackthis.log nun soweit frei davon, auch der mwti-Scanner findet in der WINDOWS/System32 nichts verdächtiges mehr. Hoffe damit ist das Problem erstmal aus der Welt, hätte da nur noch ne abschließende, vielleicht etwas blöde Frage (Kenn mich nicht sooooo wahnsinnig gut aus): Was bringt so ein Hijacker den Programmierern eigentlich? PS: Ja, konnte die lbbpo `sehen` |
|
|
23.05.2004, 11:38
Beitrag
#17
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - |
QUOTE(schlibo @ 21. May 2004, 22:44) Was mich stutzig macht ist das hier: R1HKCU\Software\Microsoft\Internet Explorer\Main, Searchbar=http\\www.any-find.com\sp.htm Und der Cleaner soll nicht angeschlagen haben! Das sieht mir nach einer anderen Hijack-Variante aus, gegen diese der Cleaner nich geschrieben wurde. Deswegen sagte ich ja, wir brauchen ein HijackThis-Log! -------------------- Gruß,
Lutz |
|
|
05.06.2004, 19:23
Beitrag
#18
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 05.06.2004 Mitglieds-Nr.: 944 |
Habe das gleiche Problem,wie der Thread-Eröffner !
SpHjfix sagt mir, ich sei nicht infiziert ... Hier mal meine HijackThis Log : StartupList report, 05.06.2004, 20:20:31 StartupList version: 1.52 Started from : C:\Dokumente und Einstellungen\Brende\Desktop\HijackThis.EXE Detected: Windows XP (WinNT 5.01.2600) Detected: Internet Explorer v6.00 (6.00.2600.0000) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\Dokumente und Einstellungen\Brende\Desktop\HijackThis.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd NAV CfgWiz = C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - E:\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} (no name) - C:\WINDOWS\System32\flmlea.dll - {95AA32AF-D6C9-4236-B7A4-E4C9B6C28489} NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} -------------------------------------------------- Enumerating Task Scheduler jobs: Norton AntiVirus - Meinen Computer prüfen - Brende.job Norton AntiVirus - Meinen Computer prüfen.job Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [Shockwave ActiveX Control] InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll CODEBASE = http://download.macromedia.com/pub/shockwa...director/sw.cab [Minesweeper Flags Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\minesweeper.dll CODEBASE = http://messenger.zone.msn.com/binary/MineS...er.cab28177.cab [EARTPatchX Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll CODEBASE = http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab [MessengerStatsClient Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll CODEBASE = http://messenger.zone.msn.com/binary/Messe...nt.cab28177.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://active.macromedia.com/flash2/cabs/swflash.cab -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: c:\dokumente und einstellungen\brende\cookies\brende@redeye.willhill[2].txt||c:\dokumente und einstellungen\brende\cookies\brende@xxxcounter[1].txt -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 5.151 bytes Report generated in 0,031 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
|
|
Gast_rock_* |
05.06.2004, 21:46
Beitrag
#19
|
Gäste |
das sieht sonderbar aus:
(no name) - C:\WINDOWS\System32\flmlea.dll - {95AA32AF-D6C9-4236-B7A4-E4C9B6C28489} kannst du mal zur sicherheit deinen PC im abgesichertem modus mit deinem virenscanner durchscannen...oder hast du eine zuordnung für die datei? hier kann man einzelne daten auch prüfen. gruss rock |
|
|
05.06.2004, 21:54
Beitrag
#20
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 05.06.2004 Mitglieds-Nr.: 944 |
flmlea.dll Infiziert: Trojan.Win32.StartPage.gv
Und nun ? Kenne mich leider kaum aus auf diesem Gebiet ... Einfach in der Registry löschen reicht wohl kaum aus oder ? |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 23.05.2024, 15:42 |