Besonders hartnäckiger about:blank
 

Hallo, vielleicht kann mir jemand helfen. Ich bin mit meinem Latein ziemlich am Ende.
Es geht um den üblichen "about:blank"-Trojaner in Win98 (kaspersky nennt ihn Trojan.Win32.StartPage.is, AntiVir nennt ihn TR/Dldr.Startpage). Ihn zu identifizieren und zu löschen ist überhaupt kein Problem. Das übliche: Eintrag der sp.html, eine neue dll mit zufälligem Namen in C:\Windows\System, das BHO, die Textfilter etc.
Er lässt sich leicht beseitigen mit oder ohne HijackThis.

Nur: er kommt immer wieder. Ich möchte ihn gern dauerhaft beseitigen. Das empfohlene Tool SpHjfix.exe nützt leider nichts, es endet mit einem Laufzeitfehler 52 "Dateiname oder -nummer falsch". Leider sagt er nicht, welcher Dateiname falsch ist.

Im Netz habe ich gelesen, dass die Reinfizierung durch eine versteckte DLL im Systemverzeichnis mit ebenfalls zufälligem Namen verursacht werden soll, die in der Registry als ApplInitDLL eingetragen wird. Das ist bei mir nicht der Fall, ich habe die Registry rauf und runter durchsucht und nutze außerdem HijackThis in Version 1.98.2, der mir solche Einträge als O19 anzeigen müsste.
Die HiJackThis-Anzeige ist sauber, sie enthält nur seit langem bestehende O4-Einträge. Außerdem habe ich nur unverdächtige versteckte Systemdateien.

Also: wie erfolgt die Neuinfizierung ? Ich kann sie fast beliebig erzeugen, ich ändere die Systemuhr auf einen neuen Tag und einen "abendlichen" Zeitpunkt, melde ich mich im Internet ab und wieder an und schon ist das Ding wieder da. Der IE braucht gar nicht gestartet sein. Es scheint mein AOL-Client 8.0 zu sein, der die Datei runterlädt, auf der Firewall gibt es ausser NETBIOS und TAPISERV nur WAOL.EXE.

Die einzige Erklärung, die ich habe ist, dass eine DLL gegen eine infizierte ausgetauscht wurde. Allerdings wird nichts angezeigt von AntiVir.

Kann mir jemand sagen, wo man sinnvoller ansetzen sollte, ohne dass man Win 98 neu installiert ?

http://www.trojaner-board.de/42731-escan-anleitung.html

mal durchlaufen lassen und poste dann trotzdem mal ein HJT-File

Hallo,
poste doch mal ein Log-File, ich würde mir es gerne ansehen. ;)

OK, los gehts, ich beginne mit HiJackThis. So sieht es nach Starten des Systems aus:

Logfile of HijackThis v1.98.2
Scan saved at 21:28:35, on 30.08.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\APPS\OUTPOST\OUTPOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
D:\APPS\HIJACKTHIS198\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Outpost Firewall] D:\APPS\OUTPOST\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Outpost Firewall] D:\APPS\OUTPOST\outpost.exe /service


Also völlig normal. Dann: Anmeldung im Internet, Uhrzeit auf nach 23.00 Uhr gestellt (da "gedeiht" die Re-Infinzierung offenbar am besten) und schwupps ist der Freund wieder da:


Logfile of HijackThis v1.98.2
Scan saved at 23:36:19, on 30.08.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\APPS\OUTPOST\OUTPOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\AOL80\WAOL.EXE
D:\AOL80\SHELLMON.EXE
D:\APPS\HIJACKTHIS198\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {12488C7D-08E7-495A-B66E-296C51F057E6} - C:\WINDOWS\SYSTEM\HOBMLB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Outpost Firewall] D:\APPS\OUTPOST\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Outpost Firewall] D:\APPS\OUTPOST\outpost.exe /service
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O18 - Filter: text/html - {BE403219-7A90-417B-878A-6790723CD6CC} - C:\WINDOWS\SYSTEM\HOBMLB.DLL
O18 - Filter: text/plain - {BE403219-7A90-417B-878A-6790723CD6CC} - C:\WINDOWS\SYSTEM\HOBMLB.DLL


Wer kann helfen ? Wohlgemerkt, ich weiß wie man ihn wieder loswird, die Frage ist nur: Wer hat ihn gestartet ?
Übrigens muss ich meine Annahme, dass der IE mit der Re-Infizierung nicht zu tun hat, revidieren. Der AOL-Client arbeitet, glaube ich, auch mit IE.

Die Beseitigung weisst du ja:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {12488C7D-08E7-495A-B66E-296C51F057E6} - C:\WINDOWS\SYSTEM\HOBMLB.DLL
O18 - Filter: text/html - {BE403219-7A90-417B-878A-6790723CD6CC} - C:\WINDOWS\SYSTEM\HOBMLB.DLL
O18 - Filter: text/plain - {BE403219-7A90-417B-878A-6790723CD6CC} - C:\WINDOWS\SYSTEM\HOBMLB.DLL

Anschließend die Datei C:\WINDOWS\SYSTEM\HOBMLB.DLL löschen!

Verwende einen anderen Browser: www.firefox-browser.de ist schnell, sicher und kostenlos. Somit wirst du dann auch diesen Hijacker nicht mehr wiedersehen.
Oder: Deaktiviere dein Active-X im Browser.
Solche Hijacker kommen durch Lücken deines IE auf dein System.

So, jetzt habe ich auch escan laufen lassen..
Nix außer
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
was immer das bedeutet.



Ja

Bei AOL ist der IE leider unvermeidbar.

So jetzt hat SpHjfix.exe doch funktioniert.

Das Programm läuft, wenn ich es direkt aus dem Netz starte, aber nicht, wenn ich es runterlade und dann starte ?!

Wie auch immer, der Hijacker ist weg !