Trojaner-Board - Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL) (https://www.trojaner-board.de/13277-neuer-hijacker-about-blank-sp-dll-opnndb-dll.html)

Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)

Hier ein weiteres Logfile (mit Kommentaren) von einem "gehijackten" System, vielleicht kann ja jemand was damit anfangen oder es hilft anderen mit dem gleichen Problem.
(sorry, daß die Erklärungen auf Englisch sind, aber ich dachte erst, ich würde es in einem anderen Forum posten)
-----
Looks like I found a new IE hijacker that is not recognized by CWShredder v2.12, but fixable with HijackThis v1.99.0.
It was on a friend's system still running Win98 on a Pentium II, 64 MB machine labeled as "Pentium III inside" (which is what they paid for, too!).
Symptom was that the start page remained set to about:blank, but displayed a "Search for..." web page from res://c:\windows\TEMP\sp.dll/sp.html with JavaScript context menu blocking and lists of those typical "spam" keywords (mortgage, refinance, penis enlargement etc.). I actually was asked to check the system because they had seen a "your computer is infected" popup while surfing, but I didn't find any signs of an actual infection except IE hijacking. This one may have been running for several weeks already.
I hadn't read of CoolWebSearch and other hijackers before (except on this system, which some time ago had its start page changed to a porn URL), and tried the normal cleaning approach: checking the registry, removing the dubious search bar / search page entries (see listing below) and deleting (or acutally, renaming) the mentioned DLL file. Reopening IE, I found the registry settings had been re-placed and the DLL file was back again. I put a 0kb read-only text file in its place, but the "Search for..." page still kept coming back (even without any DLL).
Equipped with CWShredder and HijackThis I tried again. Surprisingly, CWShredder didn't find anything, but here's what HJT found:

Code:

 

Logfile of HijackThis v1.99.0

Scan saved at 10:16:17, on 04.02.05

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE <-- ZoneAlarm service

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\ATITASK.EXE <-- ATI graphics drivers systray icon, now removed with control panel setting

C:\WINDOWS\SYSTEM\ATICWD32.EXE

C:\WINDOWS\STARTER.EXE <-- runs the mixer/volume utility for the sound card

C:\WINDOWS\SYSTEM\STIMON.EXE <-- still image (scanner) service?

C:\PROGRAMME\SAHBAK\HEBREW EMAIL SUPPORT.EXE <-- places a button in each window title bar that starts up a hebrew email client; this is ok.

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\LOADQM.EXE <-- "Microsoft QMgr", whatever that is...

C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE

C:\OPLIMIT\OCRAWARE.EXE <-- OCR (scanner) driver

C:\PROGRAMME\MSWORKS\KALENDER\WKCALREM.EXE <-- msworks calendar reminder (don't know if they use it at all)

C:\ATI\ATIDESK\ATISCHED.EXE

C:\OPLIMIT\OCRAWR32.EXE <-- dammit, why does scanner software need so many TSR programs??

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\TOBIAS\ANTICRAPWARETOOLS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\sp.dll/sp.html <-- this DLL file kept coming back when I deleted it

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\sp.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer <-- I removed the AOL branding here...

O2 - BHO: (no name) - {997D668C-883F-4ACE-A483-5E8533BE04E8} - C:\WINDOWS\SYSTEM\OPNNDB.DLL <-- this DLL was only a few weeks old and apparently "is" the Hijacker

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE <-- this exefile doesn't even exist... what would it be good for?

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [Atikey] Atitask.exe

O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe <-- printer control program

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud <-- what is this??

O4 - HKLM\..\Run: [Hebrew Service] C:\PROGRAMME\SAHBAK\Hebrew Email Support.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKCU\..\Run: [AIM] C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl <-- not effective because I renamed the AIM95 folder to see if anyone would complain

O4 - HKCU\..\RunServices: [AIM] C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl

O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE

O4 - Startup: Microsoft Works Kalender Erinnerungen.lnk = C:\Programme\MSWorks\Kalender\WKCALREM.EXE

O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe

O4 - Startup: AOL 6.0 Tray Icon.lnk = C:\Programme\AOL 6.0\aoltray.exe <-- removed this one too, they don't use AOL anymore

O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE (file missing)

O9 - Extra button: Sahbak - {0951AED1-3295-4843-BCDD-4D25DFB721BC} - %windir%\sahbak.lnk (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/

O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file://D:\CDVIEWER\CdViewer.cab

O18 - Filter: text/html - {64C7B916-D425-4809-9F44-A023C9114575} - C:\WINDOWS\SYSTEM\OPNNDB.DLL <-- apparently the filters used by the hijacker

O18 - Filter: text/plain - {64C7B916-D425-4809-9F44-A023C9114575} - C:\WINDOWS\SYSTEM\OPNNDB.DLL <-- apparently the filters used by the hijacker

I removed the Search Bar/Search Page/Search Assistant/HomeOldSP entries, the references to OPNNDB.DLL (BHO and filters), and the "Related Links" button (they don't use it anyway); and now the system appears to be clean again.

Das System ist nicht Up to Date,wieso nicht?

Bin der Meinung dass du es neu aufsetzen solltest,vor allem solltest du auf die AOL Software verzichten!

Das System gehört, wie gesagt, nicht mir, sondern steht bei einer befreundeten Familie im Zimmer der jüngeren Tochter, gehört aber der älteren (und die ist wegen Auslandsstudium nicht gut erreichbar). Bei vielen Programmen, z.B. eben AOL, wissen sie selber nicht, ob sie es brauchen. Einen Umstieg von Outlook Express auf Eudora konnte ich ihnen (auch nach einem Wurmbefall) nur unter großen Schwierigkeiten abringen; auch noch den IE durch Firefox zu ersetzen kommt für sie nicht in Frage. Soweit möglich, hab ich schon Lücken geschlossen, ZoneAlarm draufgeklatscht, die Einstellungen im IE verschärft, heute auch noch die IE-SpyAd-Liste eingespielt. Viel mehr ist leider nicht drin.

Meine eigenen Systeme sehen natürlich anders aus :D

Zone Alarm macht das System nicht sicherer,eher der Gegenteil ist der Fall!

Die Aol Software benötigt man nicht,man kann problemlos eine DFÜ verbindung erstellen dazu gibts super Anleitungen im Netz die auch gehn!

Als Mail Client würde ich Thunderbird verwenden!

Trotzdem ist das System nicht auf dem neusten Stand und wie gesagt bin ich der Meinung,dass du denen das mal neu aufsetzen solltest ;)

Besser isses :)

ZoneAlarm soll hier hauptsächlich davor schützen, daß Programme (Würmer u.ä.) unaufgefordert Verbindungen nach draußen aufbauen bzw. welche reinlassen, und dazu taugt's doch, oder ned?

Bei AOL geht's auch nur um den AOL Messenger, weiß nicht ob da noch "wichtige" Kontakte drinstehen oder so, und es geht mich auch nix an. Die Internetverbindung stellen sie längst über DFÜ und einen Freenet-Zugang her, ist zwar auch ned so toll, aber ich lasse es dabei.

Thunderbird kenne ich nicht, aber es müßte eine deutsche GUI haben, damit sie's verwenden. Für mich selbst ist Eudora bislang optimal (vor allem, weil die Mails als Klartext und die Attachments als einzelne Dateien gespeichert werden). Einziges Problem bei der genannten Familie (wie auch für meine Mutter auf ihrem Laptop) bei Eudora ist der riesige Werbebanner (auf 640x480 Monitoren jedenfalls :lach: ) und daß es immer wieder Meldungen bringt, die für "Ich will doch nur eine Mail schicken"-Benutzer unverständlich sind (Registrierungsaufforderung, Update-Hinweise usw).

"Neu aufsetzen" ist leicht gesagt, aber wenn die Leute selber nicht wissen, was von dem Zeug auf ihrem System sie (nach einer Neuinstallation) noch brauchen - uralte DOS-Englischlernprogramme, diverse hebräische Textverarbeitungen, eine Tomb-Raider-Demo, 3 verschiedene Instant Messenger und so weiter - dann will ich da lieber nicht dran rumspielen.
Die Fett-Staub-Ablagerungen aus der Maus rauszupopeln, die Pufferung und DMA für die Festplatte zu aktivieren, und den Papierkorb zu leeren sind da unproblematischere Optimierungen...

@dawidi
lade dir escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
poste bitte das nächste logfile per copy and paste.

chaosman

** DAS BETREFFENDE SYSTEM IST NICHT "MEIN RECHNER" ** :schrei:

Danke, aber eScan kenne ich! Hat auf meinen zwei völlig ungepatchten, ein Jahr alten XP+SP1-Installation keinen einzigen Bösewicht gefunden, von inaktiven Mailwürmern und Falschmeldungen mal abgesehen :daumenhoc
Auf dem System, von dem das obige Logfile stammt, hab ich eScan allerdings nicht verwendet. Wäre vielleicht auch mal dran, ja, aber ist aus meiner Sicht nicht so dringend. Die typischen Adware-liefernden Programme sind auf diesem Rechner sowieso nicht vorhanden.

Auch wenn man's meiner Beiträge-Zahl nicht ansieht... ich bin Informatikstudent im 5. Semester und versteh schon was davon, was ich mache :D
Ich wollte auch eigentlich keine Hilfe zu meinem Problem, sondern hab das Logfile nur der Information halber gepostet, weil es vielleicht eine neue Hijacker-Variante sein könnte, die die "Redaktionen" von entsprechenden Abwehrtools interessieren dürfte.

(Mich würde übrigens wirklich interessieren, warum ZoneAlarm gefährlich sein soll. :confused: )

Zitat:

Zitat von dawidi

(Mich würde übrigens wirklich interessieren, warum ZoneAlarm gefährlich sein soll. :confused: )

Weil Zone alaram Manchen Trojaner Durchlässt ich würde empfehlen :

Sygate Personal Firewall.

Da Kommt Absolout nichts Durch.

Mit Freundlichen Grüßen ,

Darc

:D

Zweiter Witz des Jahres.

Aber am besten gefällt mir noch dieser:

"Nimm A². Der Scanner erkennt echt alles."

Zitat:

Zitat von *Christian*

:D

Zweiter Witz des Jahres.

Aber am besten gefällt mir noch dieser:

"Nimm A². Der Scanner erkennt echt alles."

hihihihi, der is guuuuuut.....hab gerade gestern das aboslute gegenteil gehabt.....a2, antivir haben nix erkannt, escan schon.... :teufel1: