Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   about:blank SearchForTheWeb und sp.html (https://www.trojaner-board.de/6048-about-blank-searchfortheweb-sp-html.html)

Gabor 18.06.2004 21:28
Also, ich habe auch problem mit sp.html, es kommt immer zurück.
Mein hijackthis logfile:
Logfile of HijackThis v1.97.7
Scan saved at 22:18:18, on 2004.06.18.
Platform: Windows XP Szervizcsomag 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\WINDOWS\System32\zstatus.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Gabor\Egyetem\Anal2\vizsga\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {B91FA33A-923E-4753-BDB1-F2B2D8E95712} - C:\WINDOWS\System32\hlfjbi.dll
O3 - Toolbar: &Rádió - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {11111111-1111-1111-1111-118483221455} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f10213.exe
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (WficaCtl Object) - http://www.neptun.bme.hu/wfica.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {4BEE3896-4820-48D1-85EA-5A9A9ECD3D95} (OPUCatalog Class) - http://office.microsoft.com/productu.../opuc/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...894.0237384259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD6801A8-C09F-4CAA-A466-C2660CD3A055}: NameServer = 145.236.227.108 145.236.88.66

Hilfe Mir:((!

Gabor 18.06.2004 21:41
Also meine startseite andert sich immer. Es ist about:blank, aber die seite ist diese Seacrch...
,is möchte es killen, aber das ist nicht so leicht:)

Lutz 18.06.2004 21:47
Hallo Gabor,

starte Deinen Rechner im abgesicherten Modus

Lösche bitte als erstes diese Datei:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\hlfjbi.dll</font>[/QUOTE]Anschließend fixe in HijackThis die folgenden Einträge:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {B91FA33A-923E-4753-BDB1-F2B2D8E95712} - C:\WINDOWS\System32\hlfjbi.dll

O16 - DPF: {11111111-1111-1111-1111-118483221455} - mhtml:file://C:NO_SUCH_MHT.MHT!http://w*w.008k.com/partner/inst/f10213.exe

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - h*tp://download.rfwnad.com/cab/crack.CAB</font>[/QUOTE]Danach musst Du Deine Temp-Ordner leeren (nicht löschen!)
Auf jedenfall muss aber diese Datei gelöscht werden:
</font><blockquote>Zitat:</font><hr />C:\DOCUME~1\POROSZ~1\LOCALS~1\Temp\sp.html</font>[/QUOTE]

Olo 18.06.2004 21:47
"sp.html"


danach schon mal im forum hier gesucht?

Gabor 18.06.2004 22:07
Du bist mein Lebensretter! Vielen dank! [img]smile.gif[/img] ))

Lutz 18.06.2004 22:10
Gern geschehen!

BTW:
Dies hier -&gt;
</font><blockquote>Zitat:</font><hr />O16 - DPF: {11111111-1111-1111-1111-118483221455} - mhtml:file://C:NO_SUCH_MHT.MHT!http://w*w.008k.com/partner/inst/f10213.exe</font>[/QUOTE]weist meiner Meinung nach auf eine Sicherheitslücke hin, die -im Gegensatz zu vielen anderen- von Microsoft geschlossen wurde. Hast du alle 'critical updates' von Microsoft auf Deinem Rechner installiert?

Gabor 18.06.2004 22:11
Olo, ich weiss, dass es schon war hier, aber ich konnte es nicht lösen, weil die Zusammenha'ngen mir nicht sauber. Noch einmal vielen dank!!!!!!!!
Gruss:
Gabor

Lutz 18.06.2004 22:14
</font><blockquote>Zitat:</font><hr />Original erstellt von Olo:
"sp.html"


danach schon mal im forum hier gesucht? </font>[/QUOTE]Hi Olo,

grundsätzlich gebe ich Dir vollkommen Recht, nach Möglichkeit erst die Suche zu nutzen, aber bei 'sp.html' fallen mir spontan drei vollkommen verschiedene Hijacker-Varianten ein, die auch vollkommen unterschiedlich zu entfernen sind. Einem Neuling sei da das posten seines Logs 'verziehen'. ;)

Gabor 18.06.2004 22:15
Ja, ich installiere aber wenn du eine gute Idee diese Probleme auszuveichen hast, ich passe auf.

Lutz 18.06.2004 22:20
Gabor,

lies Dir mal in aller Ruhe den ersten Link in meiner Signatur durch... ;)

Gabor 18.06.2004 22:29
[img]smile.gif[/img] )))))))) Ok, du hast recht. Ich wollte den Windows reinstallen, aber es war besser.
Entschuldige mir für die Grammatik, aber wir haben uns verstanden:)
Tschuss:
Gabor (aus Ungarn)

Lutz 18.06.2004 22:36
</font><blockquote>Zitat:</font><hr />Entschuldige mir für die Grammatik, aber wir haben uns verstanden:) </font>[/QUOTE]Wenn mein Englisch nur halb so gut wäre, wäre ich schon sehr zufrieden. Von einer anderen Fremdsprache will ich gar nicht erst reden...


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19