|
sp.html Hallo Ich habe folgendes Problem. Habe mir irgendwie die Datei sp.html eingefangen. Habe mit CWS Shredder, Hijack This und Registry Durchforsten versucht, es wieder wegzubekommen, hat aber nie funktioniert. Habe dann bei Google gesucht und diese Seite gefunden. Hab ich natürlich gleich ausprobiert. Aber das Tool sagt ich wäre nicht infiziert mit diesem Trojaner. Bei mir siehts folgendermassen aus. Bei mir scheinen keine dll's befallen zu sein, die Datei sp.html befindet sich lediglich im Windows/Temp Ordner, löschen bringt nix, sie kommt immer wieder. Auch mit Hijackthis Sachen löschen bringt nix, wenn ich es neu starte sind sie wieder da. Was hab ich mir da eingefangen ? Wie krieg ich es weg ? Das Tool dagegen hilft bei mir nicht, weil es behauptet, ich wäre nicht infiziert ?? Bitte helft mir, ich bin verzweifelt. Das Teil nervt tierisch! Hier noch meine HJT Log Logfile of HijackThis v1.97.7 Scan saved at 15:04:55, on 12.07.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE C:\PROGRAMME\SYMANTEC\LIVEUPDATE\LUCOMSERVER.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE C:\PROGRAMME\MICROSOFT WORD\OFFICE\FINDFAST.EXE C:\PROGRAMME\MICROSOFT WORD\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {987EE000-D391-11D8-97C5-0000293AEBC5} - C:\WINDOWS\SYSTEM\GKGJPKA.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: GameKnot Chess - {61B5B39F-0750-4637-9D70-A63A79978B5D} - C:\WINDOWS\GAMEKNOT_TOOLBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\SYSTEM\atiptaxx.exe O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NORTON~2\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKCU\..\Run: [SFPW] C:\Programme\Snapfish\Devmon.exe C:\Programme\Snapfish\Snapfish Photo Wizard.exe O4 - HKCU\..\Run: [Disk Master] C:\windows\diskserv.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Word\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Word\Office\OSA.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) |
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.ht R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.ht 4 - HKCU\..\Run: [Disk Master] C:\windows\diskserv.exe diese einträge unbedingt fixen. benutz lieber zu firefox. viel sicherer http://firebird-browser.de/ |
Hi, ich hab so ziemlich das selbe Problem. Überprüf doch mal unten stehende Zeile, bzw. Datei bei http://www.kaspersky.com/de/remoteviruschk.html : O2 - BHO: (no name) - {987EE000-D391-11D8-97C5-0000293AEBC5} - C:\WINDOWS\SYSTEM\GKGJPKA.DLL Wahrscheinlich liegt hier der Trojaner drin versteckt, der auch immer wieder die SP.html anlegt. Am besten startest du unter DOS und löschst die Datei aus deinem Systemordner. Dann sollte das Problem erstmal behoben sein. Aber schneller als du denkst, wirst du ihn wohl wieder drauf haben :( So ist es zumindest bei mir. Ich hab noch keine Methode gefunden, das Loch zu stopfen, über den mich dieses Mistvieh immer wieder infiziert. CWS, HiJackThis, Spybot, AdAware, etc. nix hat geholfen. Ich wäre echt dankbar, wenn mir da jemand mal ne 100%prozentige Lösung zeigen könnte. Und by the way: Kriegt man irgendwie den IE komplett von seinem WindowsXP-System runter oder geht das gar net? Bin zwar mittlerweile auf Firefox umgestiegen, aber die typischen Spyware-Popups kommen z.B. beim Yahoo Messi wieder, wenn ich ein neues Chatfenster öffne. Vielleicht ist sogar der Messi das Loch, dass es zu stopfen gilt?! Und wenn wir schon dabei sind. Wo gibts denn den Crack für das Windows Service Pack 2, um es auf nichtregistrierten Windows XP- Versionen zu installieren? Ein Kumpel bräuchte das nämlich, jaja so ist das *grins* Viele Grüßles LeBensch |
...was ich noch vergessen hatte zu erwähnen: Wenn der Trojaner nach einer Weile wieder auftaucht, nachdem du die DLL gelöscht hast, dann reicht es nicht mehr nach der gleichen DLL zu suchen, weil dieser listige Hund die DLL umbenennt. Viele Grüßles LeBensch |
Ja, du hast völlig recht. Diese Datei gehört auch noch raus: O2 - BHO: (no name) - {987EE000-D391-11D8-97C5-0000293AEBC5} - C:\WINDOWS\SYSTEM\GKGJPKA.DLL Ich fasse mal zusammen: Diese Dateien bitte im abgesicherten Modus fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {987EE000-D391-11D8-97C5-0000293AEBC5} - C:\WINDOWS\SYSTEM\GKGJPKA.DLL O4 - HKCU\..\Run: [Disk Master] C:\windows\diskserv.exe diskserv.exe löschen! Danach www.windowsupdate.com besuchen und alle verfügbaren Sicherheitsupdates einspielen. Außerdem rate ich dir einen anderen Browser zu verwenden, z. B. www.firebird-browser.de |
ich glaube man bekommt den müll( internet explorer) ;) unter systemsteureung software weg indem man ihm deinstalliert. kann aber auch sein das ich mich irre. |
*g* Danke, aber so schlau war ich auch schon...hab ich schon gemacht und trotzdem isser noch da...wird wohl ziemlich tief in Windows verankert sein...hmm..... |
Ich hatte den selben Müll drauf. ich dachte erstmal es wäre nur Adware und son müll. dabei habi ch gemerkt das die scheisse Search For..... site so hartnäckig war das sie net weg ging. Folgendes hab i ch gemacht: Das ist die Adresse wo ich die anweisung bekommen habe "http://securityresponse.symantec.com/avcenter/venc/data/w32.tibick.html" 1. sollte man von Symantec die anweisung haben wie man ihn löscht. das wäre erstmal die Systemwiederherstellung ausschalten. dann ist in der registry (in die kommt man wenn man "ausführen" macht und dort "regedit" eingibt, Bitte vorsichtig sein was ihr hier macht) 2. dort bei HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run reinschauen dort liegt eine datei mit dem namen "svcnet.exe" diesen eintrag löschen nun stellt sich der wurm erstmal wieder nicht her dann sollte man im Windows Verzeichnis, dort im System32 verzeichnis , das verzeichnis "msview" löschen. Wenn ihr nun angst habt ihr zerstört was. das tut ihr nicht. weil das verzeichnis niemals zum windows gehört. dort sind nur dateinamen drin die dann über Programme wie z.b. Emule weitergeschickt werden. wenn ihr z.b. auf den Razorback 2 server geht dann meldet der sever aber auch gleich das ihr nen wurm drauf habt. so nun hatte ich noch das ganze zeug mit dem internet explorer drauf das sich dort immer gestartet hat ich hab das immer mit Spyware adware gelöscht nun das wichtige: startet euren PC im Abgesicherten Modus (vor dem windows start F8 drücken) nun solltet ihr vorher nach dem programm spyware adware geschaut haben. und das im abgesichteren modus installieren. das programm suchen lassen und die registrierungseinträge löschen lassen die fangen meistens mit sp.html irgendwo an bzw. steht am ende dran. vielleicht hilft euch auch das programm "Search & Destroy" ist auch son Adware progi Das eigentliche Problem bei mir war immer wenn der internet explorer geöffnet wurde kam das doofe search vor und jetzt ist es auf einmal weg nachdem ihr den PC neu gestartet habt. ich hoffe ich konnte helfen. Abgesehn davon glaub ich irgendwie das der Virus nicht von irgend jemand ist. sondern von ner firma die nicht will das programme gecrackt werden gerade weil die Dateien mit cracks usw. im emule weiter verbreitet werden sollten. sieht mir nur so aus. ich behaupte garnichts. aber ich find sowas ne saurrei also dann :sword2: mal schön :) |
ich hab auch das mit dem nicht öffnenden arbeitspaltz und dem only the best müll aber ich hab in der reg in besagtem ornder nur einen verdächtigen und der heißt netwa.exe ind C:\windows |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board