Browser Problem -> HijackThis Log

Dieses Thema im Forum "Sicherheit" wurde erstellt von Etrius, 7. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Etrius

    Etrius ROM

    Registriert seit:
    12. Februar 2004
    Beiträge:
    7
    Hallo liebe User.

    Da ich jetzt auch das berühmte Problem mit der Startseite habe und schon so ziemlich alles ausprobiert habe was mir eingefallen ist (AdAware, Shredder usw), poste ich einfach mal das Log aus Hijack This.

    Vielleicht werden die Spezis draus schlauch. Ich auf keinen Fall. :D

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    I:\Server\xampp\apache\bin\Apache.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    d:\Programme\CPUCooL\CooLSrv.exe
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\WINDOWS\system32\crypserv.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
    C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
    D:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\dokume~1\******\anwend~1\explorer.exe
    C:\WINDOWS\System32\Fast.exe
    C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
    I:\Server\xampp\apache\bin\Apache.exe
    I:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbeico.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbeico.dll/sp.html (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbeico.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lbeico.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lbeico.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\lbeico.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
    O1 - Hosts: 212.33.69.3 js1.hitbox.com
    O1 - Hosts: 212.33.69.3 stats.hitbox.com
    O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {20EC6CA1-F5D7-4C65-BAA6-E0EC6FCCE2A7} - C:\WINDOWS\System32\lbeico.dll
    O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O4 - HKLM\..\Run: [UpdReg] REM C:\WINDOWS\Updreg.exe
    O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [BackgroundSwitcher] REM C:\WINDOWS\System32\bgswitch.exe
    O4 - HKLM\..\Run: [CoolSwitch] REM C:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [FastUser] REM C:\WINDOWS\System32\fast.exe
    O4 - HKLM\..\Run: [Pop3trap.exe] REM "D:\Programme\Trend Micro\PC-cillin 2000\Pop3trap.exe"
    O4 - HKLM\..\Run: [WebTrapNT.exe] REM "D:\Programme\Trend Micro\PC-cillin 2000\WebTrapNT.exe"
    O4 - HKLM\..\Run: [WindowsUpdate] REM C:\WINDOWS\winv.exe
    O4 - HKLM\..\Run: [Jet Detection] REM C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [TotalRecorderScheduler] REM "d:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [PAHOVCJQ] REM C:\WINDOWS\PAHOVCJQ.exe
    O4 - HKLM\..\Run: [eval starter] REM "d:\Programme\FarStone\VirtualDrive\Eval.exe"
    O4 - HKLM\..\Run: [NVRT] REM C:\Programme\NVRefreshTool\nvrt.exe /startup
    O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
    O4 - HKLM\..\Run: [DataLayer] D:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
    O4 - HKLM\..\Run: [NetPumper] REM "C:\Programme\NetPumper\NetPumperIEProxy.exe"
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [NCLaunch] REM C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [Uptime-Project] REM D:\CLIENT\client.exe
    O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
    O4 - HKCU\..\Run: [SIDEBAR] REM C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe
    O4 - HKCU\..\Run: [System Update2] c:\dokume~1\*****\anwend~1\explorer.exe
    O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
    O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
    O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_all.htm
    O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
    O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRA~1\FlashGet\jc_link.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O9 - Extra button: WebSpeech (HKLM)
    O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
    O9 - Extra button: Translate (HKLM)
    O9 - Extra 'Tools' menuitem: Translator (HKLM)
    O9 - Extra button: Recherchieren (HKLM)
    O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: FlashGet (HKLM)
    O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
    O9 - Extra button: Yahoo! Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
    O12 - Plugin for .exe: D:\Programme\Opera7\PLUGINS\NPNetPumper_Application.dll
    O12 - Plugin for .php: D:\Programme\Opera7\PLUGINS\NPNetPumper_Application.dll
    O12 - Plugin for .rar: D:\Programme\Opera7\PLUGINS\NPNetPumper_Application.dll
    O12 - Plugin for .zip: D:\Programme\Opera7\PLUGINS\NPNetPumper_Application.dll
    O16 - DPF: {10B80396-96A7-11D3-B7A6-00A0C94C6AE0} (ParallelGraphics Cortona VRML 1.0 to VRML 2.0 convertor) - ht*p://www.parallelgraphics.com/bin/cortvrml10.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - ht*p://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - ht*p://www.parallelgraphics.com/bin/cortvrml.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ht*p://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Test
    O17 - HKLM\Software\..\Telephony: DomainName = Test
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Test

    Wäre lieb wenn vielleicht jemand helfen könnte.... :rolleyes:

    Danke...

    -Etrius-
     
  2. Gast

    Gast Guest

    Nein. Nichts ist gut. Du hast ein Symptom bekämpft, nicht die Ursache. Diese DLL war im System aktiv, weil der Internet Explorer sie im Rahmen eines BHOs ungefragt installierte und im System registrierte oder weil du ein vermeintlich nützliches kleines Tool manuell installiert hast, das diesen Hijacker mitbrachte.
     
  3. 6100

    6100 ROM

    Registriert seit:
    7. April 2004
    Beiträge:
    2
    Also hab die dll gefunden die sich eingehackt hatte

    hfljbha.dll


    alles gelöscht was mit der zu tun hatte und gut ist.


    aber achtung bei anderen heist sie anders......

    zb.nboonob.dll oder mshp.dll aber ich denke mal da gibst noch mehr
     
  4. 6100

    6100 ROM

    Registriert seit:
    7. April 2004
    Beiträge:
    2
    Logfile of HijackThis v1.97.7
    Scan saved at 18:19:08, on 07.04.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
    C:\WINNT\System32\svchost.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\ZipToA.exe
    C:\WINNT\Explorer.EXE
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\PROGRA~1\1&1 Programme\cFos\cfosdnt.exe
    C:\Programme\Webshots\WebshotsTray.exe
    C:\WINNT\system32\taskmgr.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\DOKUME~1\STREET~1\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hfljbha.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hfljbha.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hfljbha.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hfljbha.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hfljbha.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hfljbha.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {B8535F74-F1F7-44C2-B667-6BB44764E982} - C:\WINNT\system32\hfljbha.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [cfos] C:\PROGRA~1\1&1 Programme\cFos\cfosdnt.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Preispiraten 2.02 (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.de
    O14 - IERESET.INF: MS_START_PAGE_URL=http://www.google.de
    O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B3E8F1B4-C13F-4507-828F-A0BCE0D04D5D}: NameServer = 217.5.113.240 194.25.2.129




    aber bei mir bekomm ich des net in den griff :-(
    kann mir einer helfen habe alles schon probiert, wie adaware,spybot,cwsshredder,spysweeper...alle finden was, löschen es.aber wenn ich es nochmal durchlaufen lasse ists wieder da.....
     
  5. Gast

    Gast Guest

    1. Der Pfad stimmt nicht.
    2. Der Eintragsname [System Update2] stimmt nicht mit dem Dateinamen und dessen Verwendungszweck überein.
    3. Der Eintragsname an sich dürfte da überhaupt nicht stehen.
     
  6. Etrius

    Etrius ROM

    Registriert seit:
    12. Februar 2004
    Beiträge:
    7
    Hehe...
    Danke für die ausfürhliche "Aufklärung".
    Hab soweit alles gefixt bzw. gelöscht. Klappt jetzt auch wieder.

    Und zu deiner Info:
    Ich teste auf meinem "Apache" nur lokal mein Forum. ;)
    Da ist gar nichts nach aussen offen...

    Aber was mich noch interessieren würde...
    Warum ist der hier ---> O4 - HKCU\..\Run: [System Update2] c:\dokume~1\*****\anwend~1\explorer.exe
    so "hochverdächtig" ?
     
  7. Gast

    Gast Guest

    I:\Server\xampp\apache\bin\Apache.exe

    Bei dir läuft ein Apache-Server. Warum wird mir da mulmig?

    C:\dokume~1\******\anwend~1\explorer.exe

    Wie Nevok schon schrieb: HOCHVERDÄCHTIG

    R1 Fixen lassen.

    Datei HOSTS ist manipuliert (O1). Fixen

    O2 - BHO: (no name) - {20EC6CA1-F5D7-4C65-BAA6-E0EC6FCCE2A7} - C:\WINDOWS\System32\lbeico.dll

    Hijacker

    O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll

    Fragwürdig/Verdächtig

    O4 - HKLM\..\Run: [WindowsUpdate] REM C:\WINDOWS\winv.exe

    Weg!

    O4 - HKLM\..\Run: [PAHOVCJQ] REM C:\WINDOWS\PAHOVCJQ.exe

    Weg!

    O4 - HKCU\..\Run: [NCLaunch] REM C:\WINDOWS\NCLAUNCH.EXe

    Fragwürdig

    O4 - HKCU\..\Run: [Uptime-Project] REM D:\CLIENT\client.exe

    Fragwürdig

    O4 - HKCU\..\Run: [SIDEBAR] REM C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe

    Fragwürdig

    O4 - HKCU\..\Run: [System Update2] c:\dokume~1\*****\anwend~1\explorer.exe

    Jetzt amtlich: WEG!

    Bei dir ist soviel Müll auf der Platte und am Laufen, dass ich dir EINDRINGLICH rate, dein System neuaufzusetzen und vor allem den Apache, falls er für die Außenwelt zugänglich ist, vom Netz zu nehmen.
     
  8. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Etrius

    C:\dokume~1\******\anwend~1\explorer.exe
    Verdächtig, da die Datei nicht im Standardordner liegt.

    Schau dir mal folgende Seite an:

    http://www.eisenheim.de/tipps2/hjt.html

    Dort sind die ganzen Bezeichnungen wie "R1" etc. gut erklärt.

    Gruß
    Nevok
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen