Ich habe mir einen Trojaner (HOMEOLDSP) eingefangen, der die Suchseite umbiegt. Nach diversen Säuberungen hatte ich angenommen, auch den letzten Rest beseitigt zu haben, liege aber falsch.

Nach meiner Erkenntnis sind definitiv alle verdächtigen Einträge aus der Registry raus. NAV 2004, Spybot und HiJack finden m.E. auch nichts mehr. Alle Caches sind mehrfach geleert. Die DLL im System32 kenne ich schon auswendig.

... und trotzdem, mit schöner Regelmäßigkeit versucht das Teil sich wieder einzunisten. Ich habe zur Sicherheit den TeaTimer von Spybot laufen und blocke damit den Versuch diese Registryeinträge zu ändern ab. Heute hatte ich wieder einen neuen Versuch mir eine neue Suchseite unterzuschieben.

Da ich KEN! benutze kann ich relativ genau sehen, was Vebindungsmäßig abläuft. Manchmal wird eine Datei m.bin gezogen, die dann als DLL mit zufälligen Name in SYSTEM32 auftaucht. Über diese DLL wird Suchseite generiert. Beim letzten Angriff wurde aber keine m.bin gezogen. Woher kommt die DLL?

Wer beteiligt sich an der Suche????

Michael

Hallo,
the hunt is on!

Geh' erst mal zu:

www.dirks-computerecke.de/downloads.htm Rubrik "Spyware ade"

und lade dir Ad-Aware und CWShredder herunter. Beides durchlaufen lassen. Dann HiJackThis Logfile posten.

Bis auf den CWShredder hatte ich alles schon mal gemacht.
Ich habe jetzt noch die Java VM runtergenommen.
Mal schauen, ob sich wieder etwas meldet.

Einen interessanten Effekt habe ich noch, den ich nicht einschätzen kann. Ich wollte mit die deutsche Hilfe zu Spybot ziehen.

Nach meinem Log kommt beim Aufruf von
http://www.safer-networking.org/updates ... eutsch.zip
eine 404-Seite mit 2118 Byte, die aber nicht angezeigt wird.

Danach wird der folgende Abrufe ausgeführt:
http://auto.muxa.cc/404/?u=http://spybo ... eutsch.zip

Da ich auto.muxa.cc gesperrt habe, wird der Aufruf vom KEN! geblockt. Aber woher kommt MUXA?

Mike

Hallo Milenke,

hatte heute eben das selbe Problem mit dem HOMEOLDSP. Ich habe mir das Programm "Security Task Manager" runtergeladen. Wenn du dieses installiert hast, clicke ganz links oben auf den Button "System Prozesse" und sortiere nach Bewertung, um die schlechtesten zuoberst anzuzeigen.
Da solltest du die DLL abnjak.dll finden. Wenn du diese in Quarantäne stellst, und anschliessend den Eintrag in der Registry nochmals löschst, hat sich dein Problem gelöst. Hoffe dies funktioniert bei dir auch!

nat1981

Habe ich alles mehrfach schon durch. Die Datei hat verschiedene zufällige Namen. An allen möglichen Stellen in der Registry, die wo Search Page gesetzt wird, wird der Pfad auf die Datei als res://.... eingetragen. Die Datei erzeugt dann beim Aufruf on-the-fly die Suchseite. (die Datei mal mit einem Resourceneditor aufmachen).

Hatte gestern total saubergemacht. Spybot, CWShredder, Java VM, runter, Registry manuell gecheckt, alles sauber.

14:55 KEN! gestartet, Post abgeholt
14:58 Spybot Teatimer meldet Versuch HOMEOLDSP in Registry einzutragen, eine deof.dll ist schon in System32 angelegt.
Ich blocke alle Einträge ab. Trotzdem sind unter HK_USERS/.DEFAULT die die bekannten Search Page Einträge erfolgt. Welches Tel schreibt die DLL und startet diese dann, um die Einträge zu machen. Interessanterweise kann ich die DLL nur löschen wenn IE und Outlook zu sind, Obwohl ich noch keinen Eintrag mit Verweis auf diese DLL in der Registry unter dem IE habe.

http://board.protecus.de/showtopic.php?threadid=9391
Lade mal den HijackThis , scanne, save und kopiere das Log hier ins Forum.
Vielleicht finden wir was.
MfG
Nikita

Das Log nach dem vorletzten Saubermachen. Danch kam das Teil wie gesagt trotzdem wieder. Mich würde der Weg interessieren, wie das Ding auf meinen Rechner kommt. Keiner sagt das was genaues...

Logfile of HijackThis v1.97.7
Scan saved at 16:28:37, on 08.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\mgabg.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\programme\typograf\ttfman.exe
C:\Programme\KEN!\kentbsrv.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Programme\Dictionary4Free\FreeDict.exe
C:\Programme\Sprint & FineReader\Sprint\CAgent.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\Programme\KEN!\KENWATCH.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Symantec\Norton Commander\NC.EXE
D:\Eigene Dateien\10it_Work\_ML-Tools\ML_Registry\regml.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
E:\install\antivirus\hijack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dannenberg.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dannenberg.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.238.238:3128/ken2000.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.1.10:3128;http=192.168.1.10:3128;https=192.168.1.10:3128;socks=192.168.1.10:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TTFMan] c:\programme\typograf\ttfman.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Dictionary4Free] C:\Programme\Dictionary4Free\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\Sprint & FineReader\Sprint\CAgent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Microsoft Office Outlook 2003.lnk = ?
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: TeaTimer.lnk = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: winstart.bat.lnk = C:\UTI\BAT\winstart.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O9 - Extra button: Preispiraten 2.01b (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\Content\include\XPPatchInstaller.CAB
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) -
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8338CF0F-E028-4BA8-92AF-6A3583C90DEE}: NameServer = 192.168.114.254

Lade hier den AdAware. free, und alles andere, was du noch nicht hst.
http://www.trojaner-info.de/anleitungen ... blank.html

........................................................................................................
scanne mit dem HijackThis, dann hake an, was ich poste und dann \fix\


ueberpruefe bitte diese zwei Eintraege und die Proxyeinstellung, falls es nicht die korrekte ist, fixe sie und stelle sie nach dem Neustarten neu ein.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.238.238:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.1.10:3128;http=192.168.1.10:3128;https=192.168.1.10:3128;socks=192.168.1.10:1080

fixe auch >
O4 - Global Startup: winstart.bat.lnk = C:\UTI\BAT\winstart.bat

neustarten

gehe in den abgesicherten Modus ...F8 beim Hochfahren druecken
und scanne dort ohne Internetverbindung mit
/AdAware
/Spybot
/CWHRedder
/Sphjfix.exe

neustarten

1.Mache einen Onlinescann mit PestPatrol
http://www.pestscan.com/ScanOrTrial.asp

2.Lade ClearProg und loesche die TemporaryInternetFiles und Cookies
http://www.clearprog.de/

3. Lade den Antivirus free, falls du noch keinen Virenscanner hast.
http://www.free-av.de/

4.Lade die mwav.exe und scanne den Comp.
http://www.mwti.net/antivirus/free_utilities.asp
Dann kopiere das Endlog und poste es.


Ich habe selten so einen vollgemuellten Comp. gesehen und es ist sehr schwer, herauszufinden, was nun hier \gut\ und \bad\ ist.
Mit dem Log vom Antiviren/Tool mwav.exe koennen wir dann weitersehen

MfG
Nikita





http://www.microsoft.com/sql/techinfo/a ... server.asp
WinStart.bat
NB: Because WinStart.bat allows code to be executed, it is a risk point for malware.

Arbeitsmaschinen brauchen eben manchmal etwas mehr Software.
Die ganzen Scans etc. habe ich schon mehrfach durchgezogen. Nach diesen Programmen war der Rechner clean.

Die angemerkten R1 Einträge sind Einträge von KEN! der als Proxy arbeitet. Der O4 Eintrag ist von mir selbst, da ich durch einige Laufwerkmappings eine andere Netzumgebung simulieren muß.
Wenn man Laufwerke als Netzlaufwerk mappt , dann lösen z.B. Visual Studio den Pfad trotzdem auf, kann man nur durch das alte MAP verhindern. Mir würden sonst laufend die Projekte verbogen.

Wie ich den Rechner saubermache und woran ich sehe, ob er clean ist, dürfte mir weitestgehend klar sein. Mich interessiert der Weg, auf dem die Spyware überhaupt ins System kommt, wenn er lt. diversen Logs angeblich sauber war.

Mike

Das Problem ist meist die Javaeinstellung vom IE .
Wenn du hijackerfrei surfen moechtest, dann lade oder JavaSun fuer den IE , oder surfe mit dem Firefox als Zweitbrowser.
http://www.firebird-browser.de/

Mit dem PropzessExplorer hast du besseren Einblick in dein System.
http://www.sysinternals.com/ntw2k/freew ... cexp.shtml

Das HijackThis zeigt nicht alles an.
Es gibt zwischenzeitlich schon praeparierte Sites, die bei Anklicken Trojaner oder dlls laden, die dann aber nicht sichtbar sind.
Deshalb sollte man wirklich nur in Notfaellen mit dem IE surfen und beim Firefox bleiben.


Dann solltest du mal eine Reinigung der 04/Eintraege vornehmen.
Dort sollten nur das Modem, der Firewall und Antivirus eingetragen sein.
Alles andere spioniert nur unnoetig ins Net.

Mit dem RegCleaner kannst du das unter \Autostart\ gut kontrollieren, da sich die Programme bei Gebrauch wieder im Autostart eintragen.
http://www.comzu-heide.de/Downloadberei ... tility.htm

das wuerde ich rausnehmen.....

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EX
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: winstart.bat.lnk = C:\UTI\BAT\winstart.bat
...........................................................................................................

http://www.diamondcs.com.au/index.php?page=asviewer
mit diesem Tool kannst du auch gut die Autostarteintraege ueberpruefen.

MfG
Nikita