Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 04.02.2005, 14:10   #1
dawidi
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Beitrag

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



Hier ein weiteres Logfile (mit Kommentaren) von einem "gehijackten" System, vielleicht kann ja jemand was damit anfangen oder es hilft anderen mit dem gleichen Problem.
(sorry, daß die Erklärungen auf Englisch sind, aber ich dachte erst, ich würde es in einem anderen Forum posten)
-----
Looks like I found a new IE hijacker that is not recognized by CWShredder v2.12, but fixable with HijackThis v1.99.0.
It was on a friend's system still running Win98 on a Pentium II, 64 MB machine labeled as "Pentium III inside" (which is what they paid for, too!).
Symptom was that the start page remained set to about:blank, but displayed a "Search for..." web page from res://c:\windows\TEMP\sp.dll/sp.html with JavaScript context menu blocking and lists of those typical "spam" keywords (mortgage, refinance, penis enlargement etc.). I actually was asked to check the system because they had seen a "your computer is infected" popup while surfing, but I didn't find any signs of an actual infection except IE hijacking. This one may have been running for several weeks already.
I hadn't read of CoolWebSearch and other hijackers before (except on this system, which some time ago had its start page changed to a porn URL), and tried the normal cleaning approach: checking the registry, removing the dubious search bar / search page entries (see listing below) and deleting (or acutally, renaming) the mentioned DLL file. Reopening IE, I found the registry settings had been re-placed and the DLL file was back again. I put a 0kb read-only text file in its place, but the "Search for..." page still kept coming back (even without any DLL).
Equipped with CWShredder and HijackThis I tried again. Surprisingly, CWShredder didn't find anything, but here's what HJT found:
Code:
ATTFilter
 
Logfile of HijackThis v1.99.0
Scan saved at 10:16:17, on 04.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE <-- ZoneAlarm service
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE <-- ATI graphics drivers systray icon, now removed with control panel setting
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\STARTER.EXE <-- runs the mixer/volume utility for the sound card
C:\WINDOWS\SYSTEM\STIMON.EXE <-- still image (scanner) service?
C:\PROGRAMME\SAHBAK\HEBREW EMAIL SUPPORT.EXE <-- places a button in each window title bar that starts up a hebrew email client; this is ok.
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\LOADQM.EXE <-- "Microsoft QMgr", whatever that is...
C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE
C:\OPLIMIT\OCRAWARE.EXE <-- OCR (scanner) driver
C:\PROGRAMME\MSWORKS\KALENDER\WKCALREM.EXE <-- msworks calendar reminder (don't know if they use it at all)
C:\ATI\ATIDESK\ATISCHED.EXE
C:\OPLIMIT\OCRAWR32.EXE <-- dammit, why does scanner software need so many TSR programs??
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\TOBIAS\ANTICRAPWARETOOLS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\sp.dll/sp.html <-- this DLL file kept coming back when I deleted it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer <-- I removed the AOL branding here...
O2 - BHO: (no name) - {997D668C-883F-4ACE-A483-5E8533BE04E8} - C:\WINDOWS\SYSTEM\OPNNDB.DLL <-- this DLL was only a few weeks old and apparently "is" the Hijacker
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE <-- this exefile doesn't even exist... what would it be good for?
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe <-- printer control program
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud <-- what is this??
O4 - HKLM\..\Run: [Hebrew Service] C:\PROGRAMME\SAHBAK\Hebrew Email Support.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [AIM] C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl <-- not effective because I renamed the AIM95 folder to see if anyone would complain
O4 - HKCU\..\RunServices: [AIM] C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl
O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE
O4 - Startup: Microsoft Works Kalender Erinnerungen.lnk = C:\Programme\MSWorks\Kalender\WKCALREM.EXE
O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe
O4 - Startup: AOL 6.0 Tray Icon.lnk = C:\Programme\AOL 6.0\aoltray.exe <-- removed this one too, they don't use AOL anymore
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)
O9 - Extra button: Sahbak - {0951AED1-3295-4843-BCDD-4D25DFB721BC} - %windir%\sahbak.lnk (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file://D:\CDVIEWER\CdViewer.cab
O18 - Filter: text/html - {64C7B916-D425-4809-9F44-A023C9114575} - C:\WINDOWS\SYSTEM\OPNNDB.DLL <-- apparently the filters used by the hijacker
O18 - Filter: text/plain - {64C7B916-D425-4809-9F44-A023C9114575} - C:\WINDOWS\SYSTEM\OPNNDB.DLL <-- apparently the filters used by the hijacker
         
I removed the Search Bar/Search Page/Search Assistant/HomeOldSP entries, the references to OPNNDB.DLL (BHO and filters), and the "Related Links" button (they don't use it anyway); and now the system appears to be clean again.
__________________
Das Ganze ist unwahrscheinlicher als die Summe seiner Teile.

Alt 04.02.2005, 14:15   #2
HerrKautz
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Standard

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



Das System ist nicht Up to Date,wieso nicht?

Bin der Meinung dass du es neu aufsetzen solltest,vor allem solltest du auf die AOL Software verzichten!
__________________


Alt 04.02.2005, 14:31   #3
dawidi
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Standard

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



Das System gehört, wie gesagt, nicht mir, sondern steht bei einer befreundeten Familie im Zimmer der jüngeren Tochter, gehört aber der älteren (und die ist wegen Auslandsstudium nicht gut erreichbar). Bei vielen Programmen, z.B. eben AOL, wissen sie selber nicht, ob sie es brauchen. Einen Umstieg von Outlook Express auf Eudora konnte ich ihnen (auch nach einem Wurmbefall) nur unter großen Schwierigkeiten abringen; auch noch den IE durch Firefox zu ersetzen kommt für sie nicht in Frage. Soweit möglich, hab ich schon Lücken geschlossen, ZoneAlarm draufgeklatscht, die Einstellungen im IE verschärft, heute auch noch die IE-SpyAd-Liste eingespielt. Viel mehr ist leider nicht drin.

Meine eigenen Systeme sehen natürlich anders aus
__________________
__________________

Alt 04.02.2005, 14:44   #4
HerrKautz
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Standard

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



Zone Alarm macht das System nicht sicherer,eher der Gegenteil ist der Fall!

Die Aol Software benötigt man nicht,man kann problemlos eine DFÜ verbindung erstellen dazu gibts super Anleitungen im Netz die auch gehn!

Als Mail Client würde ich Thunderbird verwenden!

Trotzdem ist das System nicht auf dem neusten Stand und wie gesagt bin ich der Meinung,dass du denen das mal neu aufsetzen solltest

Besser isses

Alt 04.02.2005, 15:25   #5
dawidi
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Unglücklich

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



ZoneAlarm soll hier hauptsächlich davor schützen, daß Programme (Würmer u.ä.) unaufgefordert Verbindungen nach draußen aufbauen bzw. welche reinlassen, und dazu taugt's doch, oder ned?

Bei AOL geht's auch nur um den AOL Messenger, weiß nicht ob da noch "wichtige" Kontakte drinstehen oder so, und es geht mich auch nix an. Die Internetverbindung stellen sie längst über DFÜ und einen Freenet-Zugang her, ist zwar auch ned so toll, aber ich lasse es dabei.

Thunderbird kenne ich nicht, aber es müßte eine deutsche GUI haben, damit sie's verwenden. Für mich selbst ist Eudora bislang optimal (vor allem, weil die Mails als Klartext und die Attachments als einzelne Dateien gespeichert werden). Einziges Problem bei der genannten Familie (wie auch für meine Mutter auf ihrem Laptop) bei Eudora ist der riesige Werbebanner (auf 640x480 Monitoren jedenfalls ) und daß es immer wieder Meldungen bringt, die für "Ich will doch nur eine Mail schicken"-Benutzer unverständlich sind (Registrierungsaufforderung, Update-Hinweise usw).

"Neu aufsetzen" ist leicht gesagt, aber wenn die Leute selber nicht wissen, was von dem Zeug auf ihrem System sie (nach einer Neuinstallation) noch brauchen - uralte DOS-Englischlernprogramme, diverse hebräische Textverarbeitungen, eine Tomb-Raider-Demo, 3 verschiedene Instant Messenger und so weiter - dann will ich da lieber nicht dran rumspielen.
Die Fett-Staub-Ablagerungen aus der Maus rauszupopeln, die Pufferung und DMA für die Festplatte zu aktivieren, und den Papierkorb zu leeren sind da unproblematischere Optimierungen...

__________________
Das Ganze ist unwahrscheinlicher als die Summe seiner Teile.

Alt 04.02.2005, 22:04   #6
chaosman
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Standard

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



@dawidi
lade dir escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
poste bitte das nächste logfile per copy and paste.

chaosman
__________________
--> Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)

Alt 04.02.2005, 23:43   #7
dawidi
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Cool

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



** DAS BETREFFENDE SYSTEM IST NICHT "MEIN RECHNER" **

Danke, aber eScan kenne ich! Hat auf meinen zwei völlig ungepatchten, ein Jahr alten XP+SP1-Installation keinen einzigen Bösewicht gefunden, von inaktiven Mailwürmern und Falschmeldungen mal abgesehen
Auf dem System, von dem das obige Logfile stammt, hab ich eScan allerdings nicht verwendet. Wäre vielleicht auch mal dran, ja, aber ist aus meiner Sicht nicht so dringend. Die typischen Adware-liefernden Programme sind auf diesem Rechner sowieso nicht vorhanden.

Auch wenn man's meiner Beiträge-Zahl nicht ansieht... ich bin Informatikstudent im 5. Semester und versteh schon was davon, was ich mache
Ich wollte auch eigentlich keine Hilfe zu meinem Problem, sondern hab das Logfile nur der Information halber gepostet, weil es vielleicht eine neue Hijacker-Variante sein könnte, die die "Redaktionen" von entsprechenden Abwehrtools interessieren dürfte.

(Mich würde übrigens wirklich interessieren, warum ZoneAlarm gefährlich sein soll. )
__________________
Das Ganze ist unwahrscheinlicher als die Summe seiner Teile.

Alt 05.02.2005, 00:16   #8
Darcson
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Standard

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



Zitat:
Zitat von dawidi
(Mich würde übrigens wirklich interessieren, warum ZoneAlarm gefährlich sein soll. )

Weil Zone alaram Manchen Trojaner Durchlässt ich würde empfehlen :

Sygate Personal Firewall.

Da Kommt Absolout nichts Durch.

Mit Freundlichen Grüßen ,

Darc

Alt 05.02.2005, 09:49   #9
*Christian*
Gast
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Standard

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)





Zweiter Witz des Jahres.

Aber am besten gefällt mir noch dieser:

"Nimm A². Der Scanner erkennt echt alles."

Alt 05.02.2005, 11:26   #10
Dagna
 
Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Standard

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)



Zitat:
Zitat von *Christian*


Zweiter Witz des Jahres.

Aber am besten gefällt mir noch dieser:

"Nimm A². Der Scanner erkennt echt alles."

hihihihi, der is guuuuuut.....hab gerade gestern das aboslute gegenteil gehabt.....a2, antivir haben nix erkannt, escan schon....

Antwort

Themen zu Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)
.inf, bho, branding, cleaning, computer, drivers, email, explorer, file missing, forum, hijackthis, icon, infected, internet, internet explorer, logfile, microsoft, penis, popup, programme, registry, rundll, rundll32.exe, software, sound, spam, system, temp, windows, windows\temp, your computer is infected




Ähnliche Themen: Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)


  1. Neuer Hijacker? Hilfe!!
    Log-Analyse und Auswertung - 11.01.2006 (5)
  2. Werde about:blank hijacker nicht los: könnt Ihr bitte mal mein HJT Log checken?
    Log-Analyse und Auswertung - 24.12.2005 (2)
  3. Hilfe! clicksearchclick.com - Neuer Hijacker?
    Log-Analyse und Auswertung - 31.05.2005 (8)
  4. Neuer Hijacker... cmvrc.dll/sp.html#55135
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (2)
  5. Brauche Hilfe about: blank Hijacker
    Log-Analyse und Auswertung - 06.05.2005 (5)
  6. Another about:blank Hijacker
    Log-Analyse und Auswertung - 13.03.2005 (20)
  7. Helft mir bitte wg. Hijacker: about:blank / Search the Web
    Log-Analyse und Auswertung - 12.03.2005 (5)
  8. Hijacker: about:blank 227(obfuscated)
    Log-Analyse und Auswertung - 07.03.2005 (11)
  9. About:Blank Hijacker mit Nebenwirkungen
    Log-Analyse und Auswertung - 13.01.2005 (6)
  10. Hijacker about:blank
    Log-Analyse und Auswertung - 10.11.2004 (5)
  11. Hijacker 'sp.html/about:blank/search for' gelöscht
    Plagegeister aller Art und deren Bekämpfung - 05.09.2004 (3)
  12. Hijacker about:blank - ...\sp.html
    Log-Analyse und Auswertung - 15.08.2004 (7)
  13. Neuer Hijacker -:-> http://bestsearch.cc/3100/ <-:- Bitte um Hilfe !
    Log-Analyse und Auswertung - 11.08.2004 (1)
  14. Hijacker -> about: blank
    Log-Analyse und Auswertung - 29.06.2004 (10)
  15. Probleme mit Hijacker Startseite: about:blank - ...\sp.html (obfuscated)
    Log-Analyse und Auswertung - 23.06.2004 (1)
  16. Hijacker about:blank - ...\sp.html für Betriebssystem NT
    Plagegeister aller Art und deren Bekämpfung - 03.06.2004 (7)

Zum Thema Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) - Hier ein weiteres Logfile (mit Kommentaren) von einem "gehijackten" System, vielleicht kann ja jemand was damit anfangen oder es hilft anderen mit dem gleichen Problem. (sorry, daß die Erklärungen auf - Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)...
Archiv
Du betrachtest: Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.