[Trojan] Startpage-DU.dll *

Er zit een Trojan in mijn pc. De startpagina wordt steeds veranderd in een about blank. Wanneer ik Internet Explorer dus opstart komt er een Search For...-pagina in beeld. Per toeval kwam ik op Tweakers.net en vond bruikbare info. Eerst heb ik de Spybot S&D gedownload. Het ging uitstekend, tot het moment dat hij alle Spyware had gevonden. Ik klikte op Repareer Probleem en toen liep 'ie vast. Een paar keer vaker geprobeerd, ik stopte de scan nadat 'ie 1 Spyware had gevonden en klikte toen op Repareer Probleem en liep 'ie weer vast.

Ten einde raad heb ik HiJackThis gedownload. Om dit te installeren had je dus Winzip nodig (hetgeen ik niet op m'n pc had). Dus via Downloads.com Winzip gedownload, om HiJackThis te kunnen installeren. Echter, nadat ik Winzip en HiJackThis had gedownload, en ik dubbelklikte op het HiJackThis logo, kwam er in beeld dat het niet kon worden geopend, omdat de pc een DDL-bestand niet kon vinden.

Welnu, ik heb een virusscanner van McAfee, en steeds wanneer ik IE opstart, geeft 'ie een melding dat McAfee een Trojan heeft gevonden en heeft opgeschoond. Er staat dan: "Het bestand C:\WINDOWS\TEMP\SP.DLL is geïnfecteerd met het Trojaanse Paard StartPage-DU.dll en is verwijderd om het opschonen te voltooien."

Ik ben ten einde raad en ben bijna in de fase beland waarin ik m'n pc vervloek tot een stuk schroot (hetgeen deze uit 1998 stammende pc eigenlijk ook is). Ik heb geen idee wat ik nu moet en hoop dat jullie advies kunnen geven.

Oei, ik wist niet dat het van belang was om te vermelden welke Windows ik gebruik. Ik heb dus gewoon de antieke Windows 98 nog op deze pc.

Hoe bereik ik die veilige modus dan? En loopt Spybot S&D dan niet vast zoals in mijn beginverhaal stond?

Okay mensen, hartstikke bedankt voor de tips en info. Ik ga hard bezig nu om die vervloekte-Spyware uit m'n pc te krijgen, en zodra ik problemen heb zal ik ze melden. Wanneer er positief resultaat te bespeuren valt overigens ook

Ik heb alle opties geprobeerd. Spysweeper, CW Shredder en Spybot hadden geen succes. Toen HijackThis geprobeerd. Hieronder staat de logfile. Mijn vraag aan jullie is: moet ik fixen waar about:blank in staat? Alles met een * dus?

* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
* R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
* R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
* R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {221EE921-720E-11D9-B76F-000EE52ADA7E} - C:\WINDOWS\SYSTEM\LOOC.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [THGuard] "C:\PROGRAM FILES\TROJANHUNTER 4.1\THGUARD.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding
O4 - HKCU\..\Run: [ares] "C:\PROGRAM FILES\ARES\ARES.EXE" -h
O4 - Startup: InControl Desktop Manager.lnk = C:\Program Files\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\600CU\WATCH.exe
O4 - Startup: reminder-ScanSoft Product Registration.lnk = C:\Program Files\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn...aireShowdown.cab30149.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab31267.cab
O18 - Filter: text/html - {221EE920-720E-11D9-B76F-000E8A667FE5} - C:\WINDOWS\SYSTEM\LOOC.DLL
O18 - Filter: text/plain - {221EE920-720E-11D9-B76F-000E8A667FE5} - C:\WINDOWS\SYSTEM\LOOC.DLL

EricJH schreef op vrijdag 04 februari 2005 @ 00:13:
Doorzoek het registe adhv van de te wissen bestandsnamen. Wellicht kom je dan een andere file op het spoor die eraan gekoppeld is.Als dat zo is dan is dat de beschermer die hem terugzet. Probeer die eens te wissen.

Lukt dit niet? Wis beide bestanden dan in safe mode of vanuit het herstelconsole. Als dat lukt dan hoef je nog enkel de overgebleven registersleutels te wissen.

Om eerlijk te zijn vat ik dit niet echt. Als dit een goeie optie is, zou iemand dit dan wat simpeler uit kunnen leggen?

Wat Alex zei heb ik precies gedaan. Echter, na in de Safe Mode alles verwijderd te hebben was het probleem nog steeds niet opgelost nadat ik de pc opnieuw had opgestart.

Ik heb de HJT Logfile door HJT.de laten analiseren. Alleen, ik krijg niet het gevoel dat ik daar wat aan heb. Wat ik trouwens dan in beeld krijg lijkt me onmogelijk om hier te posten.

Maar het probleem is meer, als ik wat verwijder komt het gewoon weer terug als ik opnieuw scan. Dus wat nu verder te doen?

Ik ben die spyware nu trouwens zo zat, dat als iemand hier een advies geeft die met van die Trojan afhelpt, ik eeuwig dankbaar ben

Mijn HJT log staat in een paar posts hier boven

hessel schreef op vrijdag 04 februari 2005 @ 22:13:
daar missen enkel regels .....
Graag log op slaan.
En dat bestand nemen .

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {221EE921-720E-11D9-B76F-000EE52ADA7E} - C:\WINDOWS\SYSTEM\LOOC.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [navapp] C:\Program Files\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [THGuard] "C:\PROGRAM FILES\TROJANHUNTER 4.1\THGUARD.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding
O4 - HKCU\..\Run: [ares] "C:\PROGRAM FILES\ARES\ARES.EXE" -h
O4 - Startup: InControl Desktop Manager.lnk = C:\Program Files\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\600CU\WATCH.exe
O4 - Startup: reminder-ScanSoft Product Registration.lnk = C:\Program Files\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn...aireShowdown.cab30149.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab31267.cab
O18 - Filter: text/html - {221EE920-720E-11D9-B76F-000E8A667FE5} - C:\WINDOWS\SYSTEM\LOOC.DLL
O18 - Filter: text/plain - {221EE920-720E-11D9-B76F-000E8A667FE5} - C:\WINDOWS\SYSTEM\LOOC.DLL

Hier is de HJT logfile dan zoals 'ie opgeslagen is.

EricJH, dit is bijna helemaal duidelijk voor me. Hartstikke bedankt voor je nadere uitleg. Ik zal direct even bezig. Is het register trouwens gewoon Start=>Zoeken=>Bestanden of mappen?

Okay, bedankt voor je welwillendheid. Ik heb inmiddels even rondgeneusd in het Register en als ik bijvoorbeeld dit intik:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html

Krijg ik na een tijdje de melding dat 'ie klaar is met zoeken, maar dan staat dit bestand niet in beeld. Is dit erg?

Wanneer ik "Looc.dll" intik krijg ik het volgende te zien:

Naam...................Gegevens
(Standaard)..........."C:\\WINDOWS\SYSTEM\LOOC.DLL"
ThreadingModel....."Apartment"

Is het dus volgens jullie de bedoelingen dat ik die beide verwijder?

[ Voor 10% gewijzigd door Verwijderd op 05-02-2005 14:28 ]

Dus volgens jou moet ik dat Hitman gaan proberen?
Of die sleutels uit het register knikkeren?

[ Voor 32% gewijzigd door Verwijderd op 05-02-2005 15:53 ]

Dat schiet inderdaad niet op. Op deze middeleeuwse pc heb ik inderdaad nog Windows98. Met ingang van volgend schooljaar heb ik voor m'n studie een laptop nodig, dus dan heb ik niets meer met deze pc te maken. Echter, om van nu tot eind augustus met deze ellende te zitten is ook geen optie.

Bijna alle Spyware programma's heb ik al gedraaid. Natuurlijk altijd in de Safe Mode. Maar is het zoals ik in een post hierboven zei, veilig en zinvol om de twee aangegeven bestanden te verwijderen die ik vind als ik "Looc.dll" intik bij het register?

Verwijderd schreef op zaterdag 05 februari 2005 @ 19:20:
Ik mis de running processes in je HT log?

code:

1	regsvr32 /u /s C:\\WINDOWS\SYSTEM\LOOC.DLL

Dit zou de truc moeten doen.

Zou je de betreffende file eens hier willen scannen?

Ik heb die log gescand op die site. Volgens Kaspersky.com was 'ie echter clean

Ik was inderdaad vergeten de Running Processes te posten. Ik dacht dat ze niet belangrijk waren. Excuses hiervoor. Hier zijn ze alsnog:

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSRTE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\NAVEXCEL\NAVHELPER\V2.0.4D\NAVAPP.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAM FILES\TROJANHUNTER 4.1\THGUARD.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE
C:\PROGRAM FILES\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\TEXTBRIDGE CLASSIC 2.0\EREG\REMIND32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

En wat star-saber zegt, kan ik die file gewoon verwijderen? En wanneer ik "looc.dll" intik krijg ik deze twee te zien:

Naam...................Gegevens
(Standaard)..........."C:\\WINDOWS\SYSTEM\LOOC.DLL"
ThreadingModel....."Apartment"

Ook nuttig en veilig om die te verwijderen?