rundll32.exe Infected: Trojan.Win32.StartPage.aq

#1 IE entwickelt seltsame aktivität im hintergrund.
plötzliche aktivität der netzwerkverbindung hatte mich ein wenig misstraurisch gemacht und ich öffnete den taskmanager.
im taskmanager sieht man, völlig unregelmässig und scheinbar ohne jeden zusammenhang mehrere IE-fenster aufgehen. der wechsel zum aktuellen task ist nicht möglich, d.h. die aktivität ist nur im taskmanager sichtbar, somit unsichtbar.
aufgerufen werden die bereits bekannten seiten (itas, teens, etc.).
nach einigen minuten, manchmal nur sekunden schliessen sich wieder die tasks. nach einiger zeit beginnst wieder von vorne.

weiters ist beim IE die startseite verschwunden, sowie das logo des IE in den favoriten schwarz (statt blau) dargestellt wird.

auf der suche nach dateien neueren datums in C:\WINNT fand ich die run32dll.exe mit 40 kb mit datum 14/12/03.
scan bei http://www.kaspersky.com/remoteviruschk.html hat ergeben:

Zitat

Current object: rundll32.exe

rundll32.exe Packed: PE_Patch
rundll32.exe Packed: TeLock
rundll32.exe Infected: Trojan.Win32.StartPage.aq

Spybot, NAV4 oder Lavasoft haben nichts angezeigt.

hier ist das hijackfile:

##################################################
Logfile of HijackThis v1.97.7
Scan saved at 14:34:49, on 17.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\WFXSVC.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\WINNT\system32\wfxsnt40.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\winnt\rundll32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Symantec\WinFax\wfxctl32.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
F:\Downloads\Systemtools\HiJackThis\HijackThis.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe Ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [rundll32] c:\winnt\rundll32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office Startup.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O15 - Trusted Zone: http://www.XXX.at
O15 - Trusted Zone: http://www.XXX.info
O15 - Trusted Zone: http://www.XXX.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{52813AD0-F53D-4682-B930-B327B517A129}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{52813AD0-F53D-4682-B930-B327B517A129}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{52813AD0-F53D-4682-B930-B327B517A129}: NameServer = 195.58.160.2,195.58.161.3
####################################################
Anm: Trusted Zone wurde ausgeblendet
ansonsten ist das logfile komplett.

hat jemand eine idee?

#2 Mein Vorschlag: Den kompletten PC einem Scan, z.b mit antivir unterziehen.

Der Eintrag O4 - HKCU\..\Run: [rundll32] c:\winnt\rundll32.exe und die zugehörige Datei (nicht die im .../system32-Ordner !) können auch manuell entfernt werden. Da ich über die Schadensroutine keine Infos habe, siehe erster Vorschlag
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3

Zitat

Spybot, NAV4 oder Lavasoft haben nichts angezeigt.

wie ich schon sagte, kein erfolg (NAV4+datfiles v. 16/12/03)

was verstehst du unter schadensroutine? aufgetretene schäden?
habe noch keine festgestellt, allerdings habe ich beim herunterfahren 3 offene outlook mail fenster gesehen (lediglich mit e-mail adresse und signatur). hattte es zu schnell zugemacht, ohne mir die adresse aufzuschreiben, werde es morgen aber nachholen.
allerdings irritieren mich die hintergrundvorgänge. diese unregelmässigen aufrufe mehrerer seiten, cache ist sofort voll sowie die im anschluss offenen outlook mailfenster.

habe einen link mit ähnlicher/gleicher problematik gefunden http://www.hardwareanalysis.com/content/topic/15758/
werde morgen die rundll32 löschen.

würde mich trotzdem freuen, wenn jemand von euch dazu etwas brauchbares hat.

dem typen, der den code fabriziert hat sollte man die eier abschneiden!

gruss & thx.

#4 Sieht nach CoolWebSearch aus, habs dank raman los, hier kannst du den Shredder uploaden, der sollte dir weiterhelfen!
http://www.spywareinfo.com/~merijn/files/cwshredder.zip

Außerdem könntest du HijackThis einige Dinge fixen lassen, aber da will ich mich nicht zu weit aus dem Fenster lehnen ( ich denke:
O15 - Trusted Zone: http://www.XXX.at
O15 - Trusted Zone: http://www.XXX.info
O15 - Trusted Zone: http://www.XXX.com
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office Startup.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
und die 02er)
Aber lass dir das erst noch von jemand anderem (raman) bestätigen!!!

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#5 @arynsun

schredder habe ich vergessen zu erwänhnen, gab aber nichts zu schreddern.

es kann sein, dass die symptome etwas verzerrt sind, da alle active-x off sind und zonelarm allfällige verbindungen blockt.

trotzdem, ich kann es euch gar nicht sagen, wie mich das ärgert.
letztes monat habe ich das system neu aufgesetzt, weil ich so einen sch***s schon mal drauf hatte.
bin über NAV ein wenig enntäuscht.

#6 Man muss halt immer daran denken, sein System, incl. den IE auf den neustan Stand zu halten, was bei deinem IE nicht der Fall ist.

BTW: diese "StartPage"-Malware aendert wohl hauptsaechlich deine Startseite. Ein paar infos kannst du dir hier zusammenlesen:
http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=Trojan.Win32.StartPage&product=4
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo,
habe folgendes Problem:

C:\Restore\Archive\FS42.CAB\A0517767.CPYInfektion:Trojan.Win32.StartPage.ee

wie kann diese Problem lösen. Danke schon mal im vorraus.

Eddy[/b]

#8 Systemwiederherstellung abschalten, neu starten und wieder aktivieren, Windows updaten via www.windowsupdate.com, und einen anderen Browser nehmen.
http://www.bsi.bund.de/av/texte/wiederher.htm
__________
MfG Ralf
SEO-Spam Hunter

#9 Hallo,

Heute als ich den Pc gestartet habe, in's Inet gegangen bin und schon Spysweeper aktiviert hatte, meldete er das 'wextract_cleanup0' beim starten ausgeführt werden soll, zudem stand dabei auch noch was mit 'rundll32' Also löschte ich es, weil ich nicht wusste was es ist..

Dannach habe ich nochmal mit Spysweeper einen vollscann gemacht und er hat nur ein Cookie gefunden, AtwolaCookie - ICQ.

Danach habe ich mal nach 'rundll32.exe' gesucht, und fand einige Datein in Ordner Prefetch.

Ich würde nun gerne wissen ob diese schlimm sind oder ob ich sie dort lassen kann..

MfG NoPeil