Trojan.StartPage

BademeisterPaul · 20.02.2006, 18:39

Hallo!

Ich habe mir eben den o.g. Trojaner eingefangen. Habe schon probiert, die "bösen" HJT Objekte zu löschen, aber die Dinger kommen immer wieder.

Der Trojaner hat meine startseite verändert (Search for). Außerdem kommt bei jedem Starten vom Internepexplorer die Meldung:

"C:\Dokume~1\***\LOKALE~1\Temp\se.dll

Das angegebene Modul wurde nicht gefunden"

Ich habe bereits nach der Datei gesucht, sie ist ncht vorhanden, auch nicht versteckt.

Mein HJT Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:36:59, on 20.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\symsvcsa.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\***\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\***\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {29D7E3F8-4DF2-4C3F-9226-B31B22117CE7} - C:\WINDOWS\System32\blcf.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &911Tabs ToolBar - {63359BB7-7154-4D07-84CD-7267F64F7993} - C:\PROGRA~1\911TAB~1.COM\noobar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SiSSoundMan] C:\WINDOWS\System32\SoundMan.exe
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symsvcsa.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13d171d6ebbdf41da019/netzip/RdxIE601.cab
O18 - Filter: text/html - {EA48A8A1-102D-467E-A04E-DD2AF3C2E0A7} - C:\WINDOWS\System32\blcf.dll
O18 - Filter: text/plain - {EA48A8A1-102D-467E-A04E-DD2AF3C2E0A7} - C:\WINDOWS\System32\blcf.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Ich hoffe, ihr könnt mir helfen!

vielen Dank schon einmal im Vorraus.

Grüße, Paul

BademeisterPaul · 20.02.2006, 19:03

Huhu, ich bins nochmal.

http://www.trojaner-board.de/showthread.php?t=22159

Dank diesem Thread habe ich diesen Trojaner wohl getillt bekommen. Nun hoffe ich, dass ein weiterer Komplett Systemscan die restlichen Nervereien auch noch beseitigt.

Im HJT Log ist jedenfalls kein einziger böser EIntrag mehr

Ich hoffe dass ich die Sache somit erledigt bekommen habe!

MfG, Paul

cacatoa · 20.02.2006, 19:52

Hi,
schön, daß die Boardhilfe erfolgreich war, und Du dazu auch eine Rückmeldung gegeben hast. :aplaus:
Allerdings ist Dein System nicht uptodate:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
SP2 gehört dringend drauf!
Warum?
Weil noch einiges im Argen liegt!
Bitte folgende Dateien mal bei Jotti online scannen lassen und das Ergebnis posten:
C:\WINDOWS\System32\symsvcsa.exe
C:\WINDOWS\System32\blcf.dll
C:\WINDOWS\System32\sysmon.exe (sicher böse)
C:\WINDOWS\System32\dcom_14.dll
cacatoa

BademeisterPaul · 21.02.2006, 17:05

Hi!!

Schönen Dank für deine Hilfe.
Die Datei "blcf.dll" hab ich nicht in meinem System32 Ordner, dafür aber eine zusätzliche "dcom_13.dll". Habe diese auch direkt mal mit der Seite überprüfen Lassen. Alle Dateien waren leider infiziert.

Kann ich diese nun löschen oder irgendwei anders beseitigen?

Hier sind die Ergebnisse!

MfG,paul

P.s: werde mir sobald als möglich Updates besorgen

Datei: symsvcsa.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Dldr.Lager.AA.2 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Generic.PZH gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Alanchum gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Orse.Q!tr gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.ak gefunden
NOD32 Win32/TrojanProxy.Lager.F gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Proxy.Win32.Lager.ak gefunden

Datei: symsvcsa.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Trojan/Dldr.Lager.AA.2 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Generic.PZH gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Alanchum gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Orse.Q!tr gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.ak gefunden
NOD32 Win32/TrojanProxy.Lager.F gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Proxy.Win32.Lager.ak gefunden
____________________________________________________

Datei: sysmon.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Vixup-B gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Dropped:Generic.Malware.Sdld.C6183866 gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.6909 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/TrojanDownloader.Small.AWA gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 MalwareScope.Downloader.Small.1 gefunden
___________________________________________________

Datei: dcom_14.dll
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus BackDoor.Agent.AOE gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Spambot gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Agent.UU-bdr gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden
___________________________________________________
Datei: dcom_13.dll
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir Trojan/Agent.NL.2 gefunden
ArcaVir Trojan.Agent.Nl gefunden
Avast Keine Viren gefunden
AVG Antivirus Generic.PHV gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Spambot gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Agent.NL!tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.nl gefunden
NOD32 a variant of Win32/Agent.NL gefunden
Norman Virus Control Keine Viren gefunden
UNA Trojan.Win32.Agent gefunden
VBA32 Trojan.Win32.Agent.nl gefunden
____________________________________________

cacatoa · 21.02.2006, 18:42

Hi, BademeisterPaul!
Wenn ich meiner Linie treu bleibe, so muß ich Dir empfehlen, Dein System neu aufzusetzen.
Und zwar wegen BackDoor.Agent.AOE.
Es gibt nur sehr spärliche Infos drüber, allerdings sind die Angaben über die "Hintertür" so gut wie nicht vorhanden, da der Troj kaum verbreitet ist.
Sei mal so gut und scanne Dein System mit Ewido im abgesicherten Modus und berichte, was es gefunden hat.
cacatoa

BademeisterPaul · 21.02.2006, 20:46

Hi Cacatoa!

Nochmals danke für Deine Hilfe.
Wollte das besagte Programm im abgesicherten Modus starten, allerdings kam immer ein Debugfehler beim Starten sodass ich keine Chance hatte irgendwas zu machen.

Habe mich also treu an deine Linie gehalten, kurzen Prozess gemacht, und mein System neu aufgesetzt.

Bin mir sicher dass ich den drecks-Trojaner nun los bin

Danke nochmals!

MfG, Paul

cacatoa · 22.02.2006, 09:10

Moin, BademeisterPaul!
War ne gute Entscheidung!

cacatoa

Trojan.StartPage

Plagegeister aller Art und deren Bekämpfung: Trojan.StartPage