Hallo

Ich habe folgendes Problem. Habe mir irgendwie die Datei sp.html eingefangen. Habe mit CWS Shredder, Hijack This und Registry Durchforsten versucht, es wieder wegzubekommen, hat aber nie funktioniert. Habe dann bei Google gesucht und diese Seite gefunden. Hab ich natürlich gleich ausprobiert. Aber das Tool sagt ich wäre nicht infiziert mit diesem Trojaner.

Bei mir siehts folgendermassen aus. Bei mir scheinen keine dll's befallen zu sein, die Datei sp.html befindet sich lediglich im Windows/Temp Ordner, löschen bringt nix, sie kommt immer wieder. Auch mit HijackThis Sachen löschen bringt nix, wenn ich es neu starte sind sie wieder da.

Was hab ich mir da eingefangen ? Wie krieg ich es weg ? Das Tool dagegen hilft bei mir nicht, weil es behauptet, ich wäre nicht infiziert ??

Bitte helft mir, ich bin verzweifelt. Das Teil nervt tierisch!



Hier noch meine HJT Log

Logfile of HijackThis v1.97.7
Scan saved at 15:04:55, on 12.07.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\SYMANTEC\LIVEUPDATE\LUCOMSERVER.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MICROSOFT WORD\OFFICE\FINDFAST.EXE
C:\PROGRAMME\MICROSOFT WORD\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {987EE000-D391-11D8-97C5-0000293AEBC5} - C:\WINDOWS\SYSTEM\GKGJPKA.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GameKnot Chess - {61B5B39F-0750-4637-9D70-A63A79978B5D} - C:\WINDOWS\GAMEKNOT_TOOLBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\SYSTEM\atiptaxx.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKCU\..\Run: [SFPW] C:\Programme\Snapfish\Devmon.exe C:\Programme\Snapfish\Snapfish Photo Wizard.exe
O4 - HKCU\..\Run: [Disk Master] C:\windows\diskserv.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Word\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Word\Office\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.ht

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.ht

4 - HKCU\..\Run: [Disk Master] C:\windows\diskserv.exe


diese einträge unbedingt fixen.
benutz lieber zu firefox. viel sicherer http://firebird-browser.de/

Hi,
ich hab so ziemlich das selbe Problem. Überprüf doch mal unten stehende Zeile, bzw. Datei bei http://www.kaspersky.com/de/remoteviruschk.html :

O2 - BHO: (no name) - {987EE000-D391-11D8-97C5-0000293AEBC5} - C:\WINDOWS\SYSTEM\GKGJPKA.DLL

Wahrscheinlich liegt hier der Trojaner drin versteckt, der auch immer wieder die SP.html anlegt. Am besten startest du unter DOS und löschst die Datei aus deinem Systemordner. Dann sollte das Problem erstmal behoben sein. Aber schneller als du denkst, wirst du ihn wohl wieder drauf haben So ist es zumindest bei mir. Ich hab noch keine Methode gefunden, das Loch zu stopfen, über den mich dieses Mistvieh immer wieder infiziert. CWS, HiJackThis, Spybot, AdAware, etc. nix hat geholfen. Ich wäre echt dankbar, wenn mir da jemand mal ne 100%prozentige Lösung zeigen könnte.

Und by the way: Kriegt man irgendwie den IE komplett von seinem WindowsXP-System runter oder geht das gar net? Bin zwar mittlerweile auf Firefox umgestiegen, aber die typischen Spyware-Popups kommen z.B. beim Yahoo Messi wieder, wenn ich ein neues Chatfenster öffne. Vielleicht ist sogar der Messi das Loch, dass es zu stopfen gilt?!

Und wenn wir schon dabei sind. Wo gibts denn den Crack für das Windows Service Pack 2, um es auf nichtregistrierten Windows XP- Versionen zu installieren? Ein Kumpel bräuchte das nämlich, jaja so ist das *grins*

Viele Grüßles
LeBensch

...was ich noch vergessen hatte zu erwähnen: Wenn der Trojaner nach einer Weile wieder auftaucht, nachdem du die DLL gelöscht hast, dann reicht es nicht mehr nach der gleichen DLL zu suchen, weil dieser listige Hund die DLL umbenennt.

Viele Grüßles
LeBensch

Ja, du hast völlig recht.
Diese Datei gehört auch noch raus:
O2 - BHO: (no name) - {987EE000-D391-11D8-97C5-0000293AEBC5} - C:\WINDOWS\SYSTEM\GKGJPKA.DLL


Ich fasse mal zusammen:
Diese Dateien bitte im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {987EE000-D391-11D8-97C5-0000293AEBC5} - C:\WINDOWS\SYSTEM\GKGJPKA.DLL
O4 - HKCU\..\Run: [Disk Master] C:\windows\diskserv.exe

diskserv.exe löschen!

Danach www.windowsupdate.com besuchen und alle verfügbaren Sicherheitsupdates einspielen. Außerdem rate ich dir einen anderen Browser zu verwenden, z. B. www.firebird-browser.de

ich glaube man bekommt den müll( internet explorer) unter systemsteureung software weg indem man ihm deinstalliert. kann aber auch sein das ich mich irre.

*g* Danke, aber so schlau war ich auch schon...hab ich schon gemacht und trotzdem isser noch da...wird wohl ziemlich tief in Windows verankert sein...hmm.....

Ich hatte den selben Müll drauf.
ich dachte erstmal es wäre nur Adware und son müll. dabei habi ch gemerkt das die scheisse Search For..... site so hartnäckig war das sie net weg ging.
Folgendes hab i ch gemacht:

Das ist die Adresse wo ich die anweisung bekommen habe
"http://securityresponse.symantec.com/avcenter/venc/data/w32.tibick.html"


1. sollte man von Symantec die anweisung haben wie man ihn löscht.
das wäre erstmal die Systemwiederherstellung ausschalten.
dann ist in der registry (in die kommt man wenn man "ausführen" macht und dort "regedit" eingibt, Bitte vorsichtig sein was ihr hier macht)
2. dort bei HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reinschauen
dort liegt eine datei mit dem namen "svcnet.exe"
diesen eintrag löschen
nun stellt sich der wurm erstmal wieder nicht her
dann sollte man im Windows Verzeichnis, dort im System32 verzeichnis , das verzeichnis "msview" löschen. Wenn ihr nun angst habt ihr zerstört was. das tut ihr nicht. weil das verzeichnis niemals zum windows gehört. dort sind nur dateinamen drin die dann über Programme wie z.b. Emule weitergeschickt werden. wenn ihr z.b. auf den Razorback 2 server geht dann meldet der sever aber auch gleich das ihr nen wurm drauf habt.
so nun hatte ich noch das ganze zeug mit dem internet explorer drauf das sich dort immer gestartet hat
ich hab das immer mit Spyware adware gelöscht

nun das wichtige: startet euren PC im Abgesicherten Modus (vor dem windows start F8 drücken)
nun solltet ihr vorher nach dem programm spyware adware geschaut haben. und das im abgesichteren modus installieren.
das programm suchen lassen
und die registrierungseinträge löschen lassen
die fangen meistens mit sp.html irgendwo an
bzw. steht am ende dran.
vielleicht hilft euch auch das programm "Search & Destroy" ist auch son
Adware progi

Das eigentliche Problem bei mir war immer wenn der internet explorer geöffnet wurde kam das doofe search vor
und jetzt ist es auf einmal weg nachdem ihr den PC neu gestartet habt.

ich hoffe ich konnte helfen.
Abgesehn davon glaub ich irgendwie das der Virus nicht von irgend jemand ist. sondern von ner firma die nicht will das programme gecrackt werden
gerade weil die Dateien mit cracks usw. im emule weiter verbreitet werden sollten.
sieht mir nur so aus. ich behaupte garnichts. aber ich find sowas ne saurrei
also dann mal schön

ich hab auch das mit dem nicht öffnenden arbeitspaltz und dem only the best müll



aber ich hab in der reg in besagtem ornder nur einen verdächtigen und der heißt netwa.exe ind C:\windows