Trojaner-Board - Hartnäckiges "Search the Web"

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hartnäckiges "Search the Web" (https://www.trojaner-board.de/10622-hartnaeckiges-search-the-web.html)

Hartnäckiges "Search the Web"

Ich habe nunmehr seit 3 Tagen hartnäckig eine ungewollte Startseite (Search the Web ??) und krieg sie einfach nicht raus. Ist so ähnlich wie CoolwebSearch, nur dass der CWShredder hier nix nützt. Angefangen hat alles mit einer Meldung, dass mein AntiVirGuard zerstört wurde, oder so ähnlich. Daraufhin konnte ich nix mehr runterladen, da nach kurzer Zeit die Internetverbindung gekappt wurde, weiters konnte ich gewisse URLs nicht mehr besuchen (Windows inkl. Hotmail, Chip,...), da automatisch "SearchtheWeb" angezeigt wurde. Musste Antivir und andere Software zu Beginn von einem anderen Compi runterladen (hab gottseidank 2). Mittlerweile funktioniert wieder alles halbwegs, nur die Startseite krieg ich nicht weg.

Was habe ich bisher gemacht:

- unter Hijackthis.de die automatische Logfileauswertung und einige böse bzw. nutzlose Sachen rausgelöscht. Mein aktuelles folgt weiter unten.
- Spyboot Search and Destroy hat ein paar Dinge angefunden und gelöscht.
- AdAware hat ebenfalls ganz schön viel angefunden und gelöscht (knapp 100 meldungen)
- ich habe Clear Programm drübergelassen
- AntiVir und Firewall (Zonelabs) sind am neuesten Stand

Trotz allem: die Startseite lässt sich nicht einrichten, ich weiss nicht was
ich tun soll. Wär schön wenn mir wer weiterhelfen könnte, danke. :heulen:

-------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 11:44:57, on 10.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Gunzilla\Desktop\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-at\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

Überprüfe C:\Windows\RUNXMLPL.ex hier: http://virusscan.jotti.org/de

Dürfte ein Schädling sein, daher deaktiviere die Systemwiederherstellung,boote in den abgesicherten Modus:

http://www.systemwiederherstellung-d...indows-xp.html

Fixe den Eintrag und lösche die Datei. Dasselbe gilt für:

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Ach ja nochwas,

Search&Destroy löscht zwar immer "DSO Exploit", beim nächsten
Suchlauf ist es dann jedoch wieder drin.

Das kannst du ignorieren, ist ein Bug bei Spybot.

Danke MountainKing. Habe die Datei auf http://virusscan.jotti.org/de
upgeloaded, das Ergebnis:

0% 100%

File: RUNXMLPL.EXE
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.33 seconds taken)
Dr.Web No viruses found (0.51 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.60 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.44 seconds taken)

Soll ich die Datei trotzdem löschen?

Hm, also das wundert mich dann schon.
Schick sie mal bitte gezipped an und mit einem Link zu diesem Thread an virus@av.klaffke.info

Eventuell handelt es sich um noch nicht erkannte Malware. Ich würde es zumindest erstmal mit HJT fixen, damit es nicht geladen wird, im Zweifelsfall kannst du das ja wieder rückgängig machen. Ich habe bisher noch keine weiteren Infos darüber gefunden. wozu diese Datei gehören sollte. Gibt ein Rechtsklick evtl. Informationen dazu aus?

Ich habe die Datei gemailt.

Infos zu RUNunXMLPL.exe:
nur dass sie 40KB groß ist und Copyright 2004 hat

Datei wurde im abgesicherten Modus fixiert, das Problem ist aber nach wie vor vorhanden... :balla:

http://www.trojaner-board.de/42731-escan-anleitung.html

Wie beschrieben updaten und scannen lassen. Was wird gefunden?

Gefunden wurden vier Viren:

File C:\WINDOWS\system32\vbsys2.dll_old infected by "TrojanClicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\Gunzilla\LOKALE~1\Temp\~9.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

File C:\DOKUME~1\Gunzilla\LOKALE~1\Temp\~8.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

File C:\DOKUME~1\Gunzilla\LOKALE~1\Temp\912 KB.exe infected by "not-a-virus:AdWare.Connector" Virus. Action Taken: No Action Taken.

Lösche dies im abg. Modus: C:\WINDOWS\system32\vbsys2.dll_old

Leere außerdem deinen Temp-Ordner.

So, hab nun die Datei im abgesicherten Modus gelöscht. Weiters habe ich den Temp Ordner gelöscht, allerdings die Temporären Files, Cookies, etc die unter C:/Windows/Temp gespeichert waren. Nach neuerlichem eScan war zwar die Datei weg, folgende drei Einträge waren jedoch nach wie vor vorhanden:

File C:\DOKUME~1\Gunzilla\LOKALE~1\Temp\~9.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

File C:\DOKUME~1\Gunzilla\LOKALE~1\Temp\~8.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

File C:\DOKUME~1\Gunzilla\LOKALE~1\Temp\912 KB.exe infected by "not-a-virus:AdWare.Connector" Virus. Action Taken: No Action Taken.

Das Problem dabei: Ich finde das Unterverzeichnis nicht an. Es geht nur bis C:\Dokumente und Einstellungen\Gunzilla. Ein weiteres Unterverzeichnis das mit "Lokale" anfängt existiert nicht. :(

Nach wie vor wird google als Startseite rausgehaut und stattdessen habe ich about:blank drinnen.

Lade dir bitte clearprog 1.4.1 final runter und mache alle Häkchen bei IE und Windows. Drücke dann auf löschen, wenn fertig auf beenden.
Dann sind die drei auch weg. ;)

Hatte clearprog 1.4.1 eigentlich eh schon mehrmals angewendet gestern. Bin die 3 Einträge damit trotzdem los geworden, danke.
Mein Problem bleibt jedoch auch ohne diese Einträge bestehen, "Search the Web" bzw. "about:blank" werd ich nicht los :headbang:

Also, mich persönlich würde jetzt mal ein neues HJTLogfile interessieren (ohne Christian und MK zu nahe treten zu wollen) ;)