Trojaner-Board - IE startet mit Suchseite

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - IE startet mit Suchseite (https://www.trojaner-board.de/12963-ie-startet-suchseite.html)

IE startet mit Suchseite

Hi,

wer kann mir helfen meinen IE zu bändigen?

In der Adresszeile steht about:blank aber selbst offline startet eine "Search for..." Seite. Online kommen dann noch unzählige Pop Ups dazu, und hin und wieder kickt`s mich dann zur Suchseite zurück.

Ich hab mit dem Bit Difender einen Trojaner gefunden (sp.dll), der lässt sich nicht entfernen, und wenn man ihn verschiebt, is er nach einem Neustart wieder da.

HILFE!!!

Danke im Vorraus

Crystalship

erstelle ein hijackthis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste es.

Hi Cris14,

So schauts aus:

Logfile of HijackThis v1.99.0
Scan saved at 17:10:03, on 29.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
E:\Winamp\winampa.exe
E:\CyberlinkPowerDVD\PDVDServ.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
E:\Opera7\Opera.exe
E:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULFTRA~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULFTRA~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F0F908B-BD26-47E5-907D-250202007847} - C:\WINDOWS\System32\lbaieb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] E:\CyberlinkPowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BPP Disk Control Panel] E:\Global Safe Disk\disk_enc.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Adobe\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{94455D55-19FE-438C-B614-2AC66D23A0A0}: NameServer = 62.104.191.241 62.104.196.134
O18 - Filter: text/html - {B0BBE7DC-A6E4-48B5-B973-E6FE01B24F1A} - C:\WINDOWS\System32\lbaieb.dll
O18 - Filter: text/plain - {B0BBE7DC-A6E4-48B5-B973-E6FE01B24F1A} - C:\WINDOWS\System32\lbaieb.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield - Unknown - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

ahja vermutlich startpage trojaner..
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULFTRA~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULFTRA~1\LOKALE~1\Temp\sp.dll/sp.html
O2 - BHO: (no name) - {2F0F908B-BD26-47E5-907D-250202007847} - C:\WINDOWS\System32\lbaieb.dll
O18 - Filter: text/html - {B0BBE7DC-A6E4-48B5-B973-E6FE01B24F1A} - C:\WINDOWS\System32\lbaieb.dll
O18 - Filter: text/plain - {B0BBE7DC-A6E4-48B5-B973-E6FE01B24F1A} - C:\WINDOWS\System32\lbaieb.dll

3.dateien löschen
-lösche die datei lbaieb.dll im ordner C:\WINDOWS\System32\
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

Ok,

dann werde ich mich mal ans werk machen.

Download läuft.

Ich melde mich nach 18h (MEZ+1 ???) wieder.

Bis dahin

Crystalship

Hi Cris 14,

ich hab e scan ausgeführt, der findet nur die Verseuchte Datei lbaieb.dll.

Im Abgesicherten Modus habe ich also die von dir empfohlenen Dateien gefixt.

Nur ich finde "C:\WINDOWS\System32\lbaieb.dll" nicht! :mad:

Ich habe die Ordner Ansichten umgestellt, aber die betrpoffene Datei is nicht aufzufinden. Nach ia.......dll kommt ic........dll !!! Aber keine lbaieb.dll.

Hab ich was vergessen???

Gruß crystalship

Hast du bei "geschützte Systemdateien ausblenden (empfohlen)" auch den Haken entfernt?

Hi Rich20,

jep, das habe ich.

@Crystalship
Alle dateien anzeigen
Entweder -> Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Oder -> Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum besagten Ordner oder Datei und lösche diese (markieren -> F8 -> JA).
ZitatCidre

chaosman

Hi Chaosman,

Wo finde ich den Total Comander??? Und: Bringt der mehr?

@Crystalship
google doch mal
http://www.ghisler.com/
chaosman

@ chaosmann,

;) mir fallen schon die einfachsten Sachen nicht mehr ein...

---> und damit finde ich files, die ich im Explorer nicht sehe???

download läuft...

was mache ich mit den gefixten files??? Ich arbeite ja jetzt wieder im normalen Modus???

crystalship

Hallo alle zusammen,

ich finde ich finde die verXXX Datei c:\windows\system32\ibaieb.dll
nicht, aber laut log muss die doch da sein. Ich zweifel langsam an mir selber!

Ausserdem sind die Eingangs beschriebebnen Symptome weg, aber Bit Defender findet immer noch den gleichen Trojaner!

Danke an alle die bis jetzt geholfen haben, aber was mache ich nun?

crystalship

@ Crystalship

Öffne den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum besagten Ordner oder zur Datei und lösche (markieren -> F8 -> JA) diese.