Trojaner-Board - IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!? (https://www.trojaner-board.de/7678-ie-infiziert-home-search-pop-ups-namens-only-the-best-hilfe.html)

IE infiziert mit "Home Search" und Pop-Ups namens "Only the best"! Hilfe!?

Hallo,
jedesmal wenn ich den Internet-Explorer öffne verschwindet die leere Startseite und es öffnet sich eine Seite namens "Home Search" eine Art Suchmaschine. Ausserdem öffnen sich alle paar Minuten lässtige Pop-Ups, die den Namen "Only the Best" tragen mit unterschiedlichen Werbungen.
Aber jetzt ist der Gipfel erreicht denn heute war zum ersten mal eine Werbung mit pornografischem Inhalt bei den Pop-Ups dabei und da auch Kinder meinen PC benutzen muss dieses Programm endlich runter.
Ich hatte schon mal hier einen Thread gepostet, aber ich konnte diesen Nervtöter damals nicht loswerden und ich hoffe ich habe diesmal mehr Glück und ich wäre sehr dankbar wenn ihr helft?

Ich weiss mein Internet-Explorer ist veraltet, aber sobald das Ding ausgemerzt ist, lade ich den neuen runter, denn momentan bin ich nie länger wie 10 min im Internet.

Hier mein HiJackThis-Log:

Logfile of HijackThis v1.98.2
Scan saved at 17:24:25, on 19.09.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\crcf.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\Explorer.exe
E:\WINNT\loadqm.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\WINNT\system32\apijs32.exe
E:\Programme\ELSAlan\LANmonitor\lanmon.exe
E:\WINNT\System32\drwtsn32.exe
E:\Dokumente und Einstellungen\Armin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9A8D4D68-0153-AAF1-ACFC-C5FC66D84B5B} - E:\WINNT\system32\javalr32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ntqj32.exe] E:\WINNT\system32\ntqj32.exe
O4 - HKLM\..\Run: [apijs32.exe] E:\WINNT\system32\apijs32.exe
O4 - Global Startup: lanmon.lnk = E:\Programme\ELSAlan\LANmonitor\lanmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O12 - Plugin for .mid: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254

Nicht nur dein IE ist veraltet - sondern auch dein System.
Bitte drigend www.windowsupdate.com besuchen und alle Patches und Updates installieren.

Das blöde an deiner Geschichte:
Du hast wahrscheinlich unbekannte Malware auf deinem System:

E:\WINNT\crcf.exe
E:\WINNT\system32\apijs32.exe
E:\WINNT\system32\javalr32.dll

Würdest du diese Dateien finden, dann würde diese Malware zukünftig erkannt werden.
Schau mal nochmal unter den Ordneroptionen, ob "Alle Dateien anzeigen" und "Geschütze Systemdateien anzeigen" aktiviert sind.
So oder so ähnlich sollte dies heissen.
Findest du die Dateien, dann sende sie an partytime-germany.ice@web.de

Vielleicht kann ja jemand anderes noch etwas dazu sagen.

Mit HijackThis fixe jedenfall mal dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9A8D4D68-0153-AAF1-ACFC-C5FC66D84B5B} - E:\WINNT\system32\javalr32.dll

Das fixen wird aber wahrscheinlich nicht viel nützen, da ja die Dateien die für dies verantwortlich sind, noch auf dem System sind.

Ich habe dir die Dateien zugeschickt.
Sie sind in einer Zip-Datei verpackt und heissen Dateinen.zip (0.12 MB).
Das Fixen mit HiJackThis hilft nix, weil sichs ja gleich wieder installiert, aber ich hab ja jetzt endlich die Auslöserdateien gefunden!
:huepp:

Warum hast du jetzt die Dateien gefunden und vorher nicht?
Was sind die "Auslöser-Dateien"?

PS: ClamAV (Virenscanner von web.de) hat das ganze Archiv wegen der bekannten dll-Datei gelöscht. Bitte schick mir die Dateien nochmal und vergebe diesmal ein Passwort für das zipfile.

Weil ich diesmal auch "Geschütze Systemdateien anzeigen" aktiviert hab!
Keine Ahnung was die Auslöserdateien sind?
Ich hab dir nur die Dateien geschickt:
E:\WINNT\crcf.exe
E:\WINNT\system32\apijs32.exe
E:\WINNT\system32\javalr32.dll

Zweite Mail wurde abgeschickt.

Poste nun mal ein neues HijackThis-Log.

Muss ich vorher die Dateien löschen?

(Ich weiß ich stell mich dumm an, aber ich hab sonst nicht viel mit meinem PC zu tun ausser ins Internet hin und wieder zu gehen... :headbang: )

Versuche es bitte nochmal.
Du hast kein Passwort vergeben.
Warte mit den löschen, bis ich die Dateien habe.
Ich sag dir dann, wie es weitergeht ... :blabla:

Lösche diese Dateien im abgesicherten Modus:

E:\WINNT\crcf.exe
E:\WINNT\system32\apijs32.exe
E:\WINNT\system32\javalr32.dll
E:\WINNT\system32\ntqj32.exe (wenn vorhanden)

In den abg. Modus gelangst du, wenn du beim Booten/Starten des PC's die F8-Taste drückst. Wähle nun den abg. Modus aus.

Anschließend fixe dies mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\gldko.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\gldko.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9A8D4D68-0153-AAF1-ACFC-C5FC66D84B5B} - E:\WINNT\system32\javalr32.dll
O4 - HKLM\..\Run: [ntqj32.exe] E:\WINNT\system32\ntqj32.exe
O4 - HKLM\..\Run: [apijs32.exe] E:\WINNT\system32\apijs32.exe

Poste nun ein neues HijackThis-Log.

Wichtig: Bitte besuche umgehend www.windowsupdate.com , sonst hast du das Problem bald wieder.

Logfile of HijackThis v1.98.2
Scan saved at 19:21:23, on 19.09.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\Explorer.exe
E:\WINNT\loadqm.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\ELSAlan\LANmonitor\lanmon.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\MSN Messenger\msnmsgr.exe
E:\Dokumente und Einstellungen\Armin\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: lanmon.lnk = E:\Programme\ELSAlan\LANmonitor\lanmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINNT\System32\msjava.dll
O12 - Plugin for .mid: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: E:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{25E16C8D-D355-43A9-8F26-46B613690422}: NameServer = 192.168.0.254

Ich hoffe es hält... :dummguck:

System updaten: www.windowsupdate.com