sphjfix geht nicht Einstellungen

[Tyler]

Hallo, habe folgendes Problem:

Habe mir so wie`s aussieht einen Browser Hijacker eingefangen, Eure Erste-Hilfe-Maßnahmen durchgeführt und die Datei SpHjfix.exe downgeloadet.
Wenn ich dort jedoch auf "Desinfektion starten" klicke, erscheint in der oberen Zeile "Nicht infiziert"

Die Log-Datei:

21.05.2004 17:09:30 SPhjFix started v1.07
21.05.2004 17:09:30 Stealth-String not found -> Programm terminated
21.05.2004 17:15:34 SPhjFix started v1.07
21.05.2004 17:15:34 Stealth-String not found -> Programm terminated


Nachdem ich Spybot und Ad-aware laufen hab lassen gibt mir Hijackthis folgende Log-Datei:

Logfile of HijackThis v1.97.7
Scan saved at 17:19:08, on 21.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\appz\Video\Quicktime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Dialer Control\dc.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Appz\I-net\GetRight\getright.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\WINDOWS\sllights.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Appz\System\WinRAR\WinRAR.exe
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C7D6C071-33BC-44B4-9B74-A2E24D949559} - C:\WINDOWS\System32\lbbpo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\appz\Video\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Appz\I-net\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Appz\I-net\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Appz\I-net\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {4CA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://66.230.151.114/d/CABDialer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{C77DE0B1-A2ED-423E-9EC2-4AC982BE243D}: NameServer = 195.182.110.132 62.134.11.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0

Was kann ich jetzt tun?
Danke im Voraus!

[raman]

Hast du es schon mit find-all.bat von http://www10.brinkster.com/expl0iter/freeatlast/pvtool.htm versucht? Poste, nachdem die find-all.bat gestartet hast, den inhalt der output.txt, die danach im Editor auftaucht.

Der Beitrag wurde von raman bearbeitet: 21.05.2004, 16:45

[Tyler]

--==***@@@ 'FIND-ALL' VERSION 6 -5/21 @@@***==--

*System Info:

Microsoft Windows XP [Version 5.1.2600]


*IE version and Service packs:

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q810847;Q813951;

*Google Toolbar version and Attributes:
Defaults: "A" ;"R"
Pfad nicht gefunden - C:\Programme\google
Pfad nicht gefunden - C:\Programme\google

*UserAgent:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


*Wmplayer version:

*M$Java version:


*PC uptime:

*Locked or 'Suspect' file(s) found...
Der Befehl "Xfind" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
Der Befehl "Xfind" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.


*Tasks (services):
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8418F54D-5BEF-4F6E-9E33-BEA02FE7C90B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{9E8DCDC2-73A1-4A70-AE87-73338AB80881}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{9E8DCDC2-73A1-4A70-AE87-73338AB80881}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

*Security settings for 'Windows' key:


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ

*ACLs list for *.* in 'junk' folder: (if exist)
A C:\Dokumente und Einstellungen\Michael Dengler\Eigene Dateien\DL\winBackup.hiv
A C:\Dokumente und Einstellungen\Michael Dengler\Eigene Dateien\DL\windows.txt
A C:\FindallwinBackup.hiv


[raman]

Das "Wichtigeste" fehlt. Nimm mal das Zip aus dem Anhang, packe es in einen seperaten Ordner, entpacke und starte die find.bat. Wenn diese ihre Arbeit beendet hat, befindet sich in dem Ordner eine file.txt. Poste den Inhalt dieser Datei bitte hierhin.

Angehängte Datei(en)

 XFIND.ZIP ( 1.82KB ) Anzahl der Downloads: 113

 

[Tyler]

Der Befehl "Xfind" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

?! ?!

[raman]

Hast du das Archive *komplett* entpackt? Sprich beide Dateien? Es reicht nicht einfach die find.bat direkt aus dem Archiv zu starten.

[Tyler]

Schon, aber dann erscheint eine file.txt die gar keinen Text enthält

[raman]

Dann mal diese Datei C:\WINDOWS\System32\lbbpo.dll hier testen: http://www.kaspersky.com/scanforvirus .

[Tyler]

Treffer!

Scanned file: lbbpo.dll

lbbpo.dll - infected by Trojan.Win32.StartPage.gv

Und nu?

Danke übrigens für die bisherige Hilfe

[raman]

Vieleicht reicht ja schon das fixen der "R" Eintraege. Ansonsten mal diesen Scanner iim abgesicherten Modus nutzen, von einer WinpeCD(*) waere es zwar besser, aber abgesichert sollte auch schon was bringen.

http://www.mwti.net/antivirus/free_utilities.asp

(*)= http://www.patrikhinz.de/ , bzw nu2.nu/pebuilder

[DerBilk]

Ich hab da mal ne Frage:
Verstehe ich das richtig, dass Du -Tyler- die Datei C:\WINDOWS\System32\lbbpo.dll 'sehen' konntest? Sie war also nicht verborgen?
Das wäre imho auch der Grund, warum der Cleaner bei Dir 'versagt' hat...

21.05.2004 17:15:34 Stealth-String not found -> Programm terminated

Ich habe dann zwar spontan auch keine Erklärung, warum die Datei bei Dir im Gegensatz zu (fast) allen anderen Betroffenen nicht verborgen war, aber es interessiert mich, da ich vorgestern von einem ähnlichen Fall gelesen habe...

[Seeker]

Jo würd mich auch interessieren...vielleicht hat sich aber auch der Aufruf geändert

Hab ich jetzt auch schon paarmal gesehn wo der Cleaner den String nicht gefunden hat...

Die Stealth-DLL (nicht die in HJT-angezeigte) wär dann mal interessant, dann könnte man das mal testen..

Der Beitrag wurde von Seeker bearbeitet: 21.05.2004, 20:38

[Gast_schlibo_*]

Hi @all,
hab auch ein Problem als hilfloser Helfer.
näheres hier:
http://www.seniorentreff.de/diskussion/thr.../thread1472.php

gruß schlibo

[DerBilk]

Hi @all,
hab auch ein Problem als hilfloser Helfer.
näheres hier:
http://www.seniorentreff.de/diskussion/thr.../thread1472.php

gruß schlibo

Wie soll man denn da helfen
So wichtig scheint denen das Problem aber nicht zu sein...
Streiten sich über Namensähnlichkeiten tztztz
Vielleicht kannst Du den Betroffenen mal dazu überreden, doch noch sein Log zu posten...

Ich helf ja ganz gerne, aber da hilft ja nicht mal eine Glaskugel....

Der Beitrag wurde von DerBilk bearbeitet: 21.05.2004, 21:23

[Gast_schlibo_*]

Hallo Bilk,
dass Senioren schlimmer sein können als kleine Kinder erfahre ich grad familiär.
Was mich stutzig macht ist das hier:
R1HKCU\Software\Microsoft\Internet Explorer\Main, Searchbar=http\\www.any-find.com\sp.htm
Und der Cleaner soll nicht angeschlagen haben!

gruß schlibo

[Tyler]

Also, habe gestern Abend noch den Link von Raman ausprobiert (Besten Dank hierfür!), die lbbpo.dll dadurch gelöscht und die R-Einträge gefixt!

Nach mehrstündiger Wartezeit (Weil die R-Einträge ja scheinbar nach einiger Zeit bei manchen wieder aufgetaucht sind)
ist die Hijackthis.log nun soweit frei davon, auch der mwti-Scanner findet in der WINDOWS/System32 nichts verdächtiges mehr.

Hoffe damit ist das Problem erstmal aus der Welt, hätte da nur noch ne abschließende, vielleicht etwas blöde Frage (Kenn mich nicht sooooo wahnsinnig gut aus): Was bringt so ein Hijacker den Programmierern eigentlich?

PS: Ja, konnte die lbbpo `sehen`

[DerBilk]

Was mich stutzig macht ist das hier:
R1HKCU\Software\Microsoft\Internet Explorer\Main, Searchbar=http\\www.any-find.com\sp.htm
Und der Cleaner soll nicht angeschlagen haben!

Das sieht mir nach einer anderen Hijack-Variante aus, gegen diese der Cleaner nich geschrieben wurde.
Deswegen sagte ich ja, wir brauchen ein HijackThis-Log!

[Jugendbewegung]

Habe das gleiche Problem,wie der Thread-Eröffner !
SpHjfix sagt mir, ich sei nicht infiziert ...
Hier mal meine HijackThis Log :

StartupList report, 05.06.2004, 20:20:31
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Brende\Desktop\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Dokumente und Einstellungen\Brende\Desktop\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd
NAV CfgWiz = C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - E:\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:\WINDOWS\System32\flmlea.dll - {95AA32AF-D6C9-4236-B7A4-E4C9B6C28489}
NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Meinen Computer prüfen - Brende.job
Norton AntiVirus - Meinen Computer prüfen.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shockwa...director/sw.cab

[Minesweeper Flags Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\minesweeper.dll
CODEBASE = http://messenger.zone.msn.com/binary/MineS...er.cab28177.cab

[EARTPatchX Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll
CODEBASE = http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

[MessengerStatsClient Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll
CODEBASE = http://messenger.zone.msn.com/binary/Messe...nt.cab28177.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://active.macromedia.com/flash2/cabs/swflash.cab

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: c:\dokumente und einstellungen\brende\cookies\brende@redeye.willhill[2].txt||c:\dokumente und einstellungen\brende\cookies\brende@xxxcounter[1].txt


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.151 bytes
Report generated in 0,031 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

[Gast_rock_*]

das sieht sonderbar aus:
(no name) - C:\WINDOWS\System32\flmlea.dll - {95AA32AF-D6C9-4236-B7A4-E4C9B6C28489}

kannst du mal zur sicherheit deinen PC im abgesichertem modus mit deinem virenscanner durchscannen...oder hast du eine zuordnung für die datei?

hier kann man einzelne daten auch prüfen.

gruss
rock

[Jugendbewegung]

flmlea.dll Infiziert: Trojan.Win32.StartPage.gv

Und nun ? Kenne mich leider kaum aus auf diesem Gebiet ...
Einfach in der Registry löschen reicht wohl kaum aus oder ?