![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
![]()
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 21.05.2004 Mitglieds-Nr.: 853 ![]() |
Hallo, habe folgendes Problem:
Habe mir so wie`s aussieht einen Browser Hijacker eingefangen, Eure Erste-Hilfe-Maßnahmen durchgeführt und die Datei SpHjfix.exe downgeloadet. Wenn ich dort jedoch auf "Desinfektion starten" klicke, erscheint in der oberen Zeile "Nicht infiziert" Die Log-Datei: 21.05.2004 17:09:30 SPhjFix started v1.07 21.05.2004 17:09:30 Stealth-String not found -> Programm terminated 21.05.2004 17:15:34 SPhjFix started v1.07 21.05.2004 17:15:34 Stealth-String not found -> Programm terminated Nachdem ich Spybot und Ad-aware laufen hab lassen gibt mir Hijackthis folgende Log-Datei: Logfile of HijackThis v1.97.7 Scan saved at 17:19:08, on 21.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\SOUNDMAN.EXE C:\appz\Video\Quicktime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Dialer Control\dc.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Appz\I-net\GetRight\getright.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\WINDOWS\sllights.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Appz\System\WinRAR\WinRAR.exe C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbbpo.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C7D6C071-33BC-44B4-9B74-A2E24D949559} - C:\WINDOWS\System32\lbbpo.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\appz\Video\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Appz\I-net\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Appz\I-net\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Appz\I-net\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O16 - DPF: {4CA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://66.230.151.114/d/CABDialer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{C77DE0B1-A2ED-423E-9EC2-4AC982BE243D}: NameServer = 195.182.110.132 62.134.11.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1E4AC5-9A3E-4371-871E-95CFED2F584D}: NameServer = 192.168.0.111,0.0.0.0 Was kann ich jetzt tun? Danke im Voraus! |
|
|
![]() |
![]()
Beitrag
#2
|
|
![]() "Sir Remover" ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS ![]() |
Bin heute auch wieder bei einem Kunden auf eine SP.HTML Variante gestossen.
Da war eine pan.dll im System32 ordner ueber die Registry zu sehen aber im Ordner nicht zu sehen. (Wie macht das Teil das eigentlich genau?) Habe ein wenig zu kaempfen gehabt im abgesicherten Modus und zum Schluss einige Dateien einfach umbenannt. Da waren z.b. zhelp.exe ziphelp.exe unter C:\windows und stozilla.dll , winhoh.dll usw. in c:\windows\system32 Man konnte sie alle am einheitlichen Datum erkennen, wobei aber die Uhrzeiten unterschiedlich waren. (14.32 15.45 16.30 etc.) Angezeigt wurde ausserdem vorher eine msopt.dll und sr.dll die ebenfalls nicht zu finden waren. Euer Tool hat uebrigens die Infizierung erkannt aber das BHO file nach Restart nicht gefunden. Habe die Dateien auch alle mal bei Kaspersky Onlinescan checken lassen, leider alles negativ. Zwar komische Packervarianten aber kaspersky kannte das Teil offenbar noch nicht. Naja, das war heute so gegen 13.30 Uhr. Bis jetzt noch keine Reinfektion, ausserdem ist der Kunde umgestiegen auf Mozilla. ![]() Der Beitrag wurde von Remover bearbeitet: 11.06.2004, 15:25 -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 06.07.2024, 07:34 |