spy mist an bord

von **tntameise** am 06.07.2004, 21:26

hi alle zusammen
ich brauche mal eure fachmännische hilfe.lese mich schon seit tagen durch euer forum, von wegen den hijackern.ich hab auch mal so einen scan gemacht,kann es aber nicht 100% auswerten.das die seite sp.html
gelöcht werden muss ist mir klar,nur welche dll diese seite immer wieder lädt habe ich noch nicht erlesen können.vieleicht könnt ihr mir weiter helfen.und wie es dann weiter geht?
hier mein scan

Logfile of HijackThis v1.98.0
Scan saved at 21:46:46, on 05.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
C:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\programme\Quicktime 4.0\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Steganos Trace Destructor 6.5\itd.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Common\Bin\WinCinemaMgr.exe
C:\Programme\Quick Keys\QKeys.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Willi\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/1076/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://topotun.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9E81F571-0F2A-412C-B1FA-595E00CED32B} - C:\WINDOWS\System32\llfgjb.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [gljawu] "C:\WINDOWS\System32\gljawu.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\Quicktime 4.0\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [ITD65_ITD] "C:\Programme\Steganos Trace Destructor 6.5\itd.exe" /booting
O4 - HKCU\..\Run: [dllhelp] c:\windows\dllhelp.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [OLE] C:\WINDOWS\A0005093.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: QKeys.lnk = C:\Programme\Quick Keys\QKeys.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MS Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOFFI~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Microsoft® JavaScript® Console - {D950B166-3990-4429-AF38-55EC2804355D} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D950B166-3990-4429-AF38-55EC2804355D} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console - {D950B166-3990-4429-AF38-55EC2804355D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D950B166-3990-4429-AF38-55EC2804355D} - (no file) (HKCU)
O16 - DPF: Cyberlotto - https://wlgam4.cyberlotto.de/classes/cyberlotto4201.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Shared ... /cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/ ... veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8061937C-05D8-49EE-A813-38D99EECF7F4}: NameServer = 192.168.2.1
O18 - Filter: text/html - {5681FDDB-5CCB-4D11-9977-12C6717FAF41} - C:\WINDOWS\System32\llfgjb.dll
O18 - Filter: text/plain - {5681FDDB-5CCB-4D11-9977-12C6717FAF41} - C:\WINDOWS\System32\llfgjb.dll
O20 - AppInit_DLLs: msconfd.dll
O21 - SSODL: System - {6D18F66C-66CE-494F-971D-AFB3F1B6947E} - C:\WINDOWS\system32\system32.dll

vielen dank im voraus

von **GrayGhost** am 06.07.2004, 21:40

Hallo, auf jeden Fall musst du das fixen:

C:\WINDOWS\system32\slserv.exe
(Wenn SIS Treiber installiert sind normal. Es könnte auch der Virus W32/Gaobot.CR sein. Benutze ein Antivirenprogramm zum überprüfen.)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe

O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe

Sende nach dem Fixen das Log und warte auf weitere Instruktionen. Ich bin sicher, dass da noch mehr im argen liegt.

von **Nikita** am 07.07.2004, 20:13

tntameise

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Willi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/1076/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://topotun.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System
32\svcpack.exe

O2 - BHO: (no name) - {9E81F571-0F2A-412C-B1FA-595E00CED32B} - C:\WINDOWS\System32\llfgjb.dll

O4 - HKLM\..\Run: [gljawu] "C:\WINDOWS\System32\gljawu.exe"
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [dllhelp] c:\windows\dllhelp.exe
O4 - HKCU\..\Run: [OLE] C:\WINDOWS\A0005093.exe

O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O18 - Filter: text/html - {5681FDDB-5CCB-4D11-9977-12C6717FAF41} - C:\WINDOWS\System32\llfgjb.dll
O18 - Filter: text/plain - {5681FDDB-5CCB-4D11-9977-12C6717FAF41} - C:\WINDOWS\System32\llfgjb.dll
O20 - AppInit_DLLs: msconfd.dll

neustarten

Deaktiviere deien Virenscanner und lade Antivirus
http://www.free-av.de/

Einstellen: alle Dateien scannen
Heutistic:hoch

gehe in den abgesicherten Modus...F8 , beim Hochfahren druecken

mache einen Vollscann
-------------------------------------------------------------------------------------

Gehe in die Registry
Start<Ausfuehren<regedit

loesche :die CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{5681FDDB-5CCB-4D11-9977-12C6717FAF41}
9E81F571-0F2A-412C-B1FA-595E00CED32B}

falls es noch da ist :
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
LOESCHE :SVC Service

HKLM\Microsoft\Windows NT\CurrentVersion\Winlogon\
Loesche :Userinit

HKLM\Software\Microsoft\
LOESCHE

irectPlugin\EngineName
<Windows System>\DirectPlugin.installed"

HKLM\.HKLM\Software\Microsoft\Windows\CurrentVersion\Run: [gljawu] "C:\WINDOWS\System32\gljawu.exe"

HKLM\HKLM\Software\Microsoft\Windows\CurrentVersion\Run: [Winhost] C:\WINDOWS\winh.exe

HKLM\HKLM\Software\Microsoft\Windows\CurrentVersion\Run: [svchost] C:\WINDOWS\svchost.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run: [dllhelp]

schliesse die Registry

Loesche, FALLS ES NOCH DA IST
#C:\WINDOWS\System32\svcpack.exe
#C:\WINDOWS\System\msconfd.dll
#C:\WINDOWS\System32\llfgjb.dll
#c:\windows\dllhelp.exe
#C:\WINDOWS\svchost.exe ...genau die..nicht verwechseln !
#C:\WINDOWS\winh.exe
#C:\WINDOWS\System32\gljawu.exe

NOrmal neustarten

#Lade mwav.exe und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Spysweeper und scanne
http://www.spysweeper.com/

#Lade AdAware free..update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade Spybot
http://www.pctip.ch/downloads/dl/25550.asp

#Lade Cwhredder
http://www.chip.de/downloads/c_downloads_11353799.html

#Loesche mit ClearProg die TemporaryInternetFiles und Cookies
Lade die neuste Version...
http://www.shtools.de/downloads.php

#Loesche unter <InternetOptionen die TemporryInternetfiles
Dann poste das Log noch mal.

MfG
Nikita

http://www.sophos.de/virusinfo/analyses ... initc.html

http://securityresponse.symantec.com/av ... arker.html

spy mist an bord

spy mist an bord

Ähnliche Themen

Wer ist online?