opnoljj.dll

Hallo liebe Leute,

ich glaube, ich habe mir einen ernstzunehmenden Schädling mit dem Herunterladen eines Freeware-Games eingefangen!

opnoljj.dll

Als ich das Spiel herunter geladen und installiert hatte, öffnete sich, soweit ich mich erinnern kann, das CMD-Fenster bei (oder kurz nach) der Installation, und hat irgendwelche Befehle versucht auszuführen – wahrscheinlich einige erfolgreich (?)! Auf jeden Fall ist bei mir sofort Spybot – Search & Destroy „angesprungen“, und hat mich gefragt, ob ich einige Registrierungseinträge erlauben möchte! Zu JEDEM habe ich ABGELEHNT, und etwas mit „opnoljj“ kam immer wieder – immer wieder fragte mich Spybot, ob ich diese erlauben möchte! Dann habe ich den Haken unten rein gemacht „immer ausführen“ in Verbindung mit ABLEHNEN! Rechts am Rand haben sich dann die Info-Fenster von Spybot GESTAPELT – es nahm kein Ende mehr – immer, dass Spybot den erforderten Registrierungseintrag ABGELEHNT hat!

Nach einem Neustart stapelten sich die Spybot-Info-Fenster nicht mehr…

Ich habe dann mit Spybot Search & Destroy einen kompletten Systemscan gemacht:

Spybot hat dann auch ein Trojaner gefunden – irgendwas mit „VirtualAlloc“ (ich meinte auch, dass ich einen Screenshot der Spybot-Results gemacht hatte, finde sie jedoch nicht)! In der Informationsanzeige stand nur, dass dieser beim Systemstart den Dateinamen ändern, und sich einem Verzeichnis zum anderen verschieben kann, und auch schwer zu vernichten wäre – so, wie ich es in Erinnerung habe! Ich konnte diesen mit Spybot „beheben“, jedoch scheint der immer noch da zu sein!

Auch habe ich mit Ad-Aware 2007 (Home) und Windows Defender einen kompletten Systemcheck gemacht – nichts gefunden!

Auch habe ich mein Antivirenprogramm Avast 4.7 durchlaufen lassen (auch im Boot-Time-Mode) – nichts gefunden!

Dann habe ich diesen mit dem „Security Task Manager“ ausfindig machen können:

C:\WINDOWS\system32\opnoljj.dll

Eigenschaften:
- Kann Internet Browser überwachen
- Nicht sichtbares Fenster
- Fehlende Beschreibung des Programms
- Keine ausführliche Beschreibung vorhanden
- Unbekannte Datei im Windows Ordner
- Funktionen: nicht ermittelbar

Enthaltene Texte:

This program cannot be run in DOS mode.
----------------
GtDu
jlsko
VirtualFree
VirtualAlloc
GetProcAddress
LoadLibraryA
kernel32.dll
vate
Logon
Logoff
DllGetClassObject
DllCanUnloadNow
0wt_9urspCFNqn
Auqq
qnoO_9lmjkyOh3i
ERja
povsk51P22X,
GPECompact2
uZRyxf
.reloc
.text
----------------

Zum Vergrößern anklicken....

Gehe ich jetzt im Security Task Manager auf „Entfernen“, um diese (übrigens zwei Einträge in der Taskliste: 1. Typ: Internet; Titel: Browser Erweiterung; 2. TypLL; Titel: Programmüberwachung) in Quarantäne zu verschieben, kommt die Meldung, dass ich dies NUR mit der registrierten Version machen könne… Der ERSTE Eintrag von den beiden kann man beenden, aber nicht verschieben, ist jedoch bei einem Neustart des Programms wieder da!

Auch habe ich versucht, diesen „opnoljj.dll“ mit Hijack This zu killen – geht nur mit abgeschalteter Registry-Überwachung von Spybot, den ich kurz abgeschaltet habe (hoffentlich war das kein Fehler), und dann war der Eintrag in Hijack This weg! Im Security Task Manager taucht der jedoch immer wieder auf!

Ich habe ich im Internet gerade genannte Versuchserklärung (http://forums.techguy.org/malware-removal-hijackthis-logs/586677-help-needed-trojan-removal.html) umzusetzen – übrigens der einzige Suchmaschineneintrag mit „opnoljj.dll“ – klappt aber nicht!

Seit dem ich diesen Schädling „drauf“ habe, kommen mir die Verhaltensweisen der Firewalls irgendwie komisch vor! Programmzugriffsrechte sind irgendwie „gelöscht“ (?), denn die fragt bei Programmen um die Zugriffsermächtigung fürs Internet, obwohl diese nicht aktualisiert wurden, und schon „immer“ drauf wahren!


Jetzt natürlich die Frage an euch: Wie bekomme ich das „Ding“ restlos raus???

Ich bitte sehr um Antwort, da ich sonst nicht weiß, was ich machen soll – ich möchte es wirklich vermeiden, mein System (WindowsXP) neu aufsetzen zu müssen! Außerdem weiß ich dann nicht, was mit meinen Verschlüsselten Laufwerken ist, denn diese kann ich (glaube ich) NUR mit WindowsXP backupen! (?)



Auf eine Antwort würde ich mich sehr freuen!


Viele Grüße,

Akyra.

Hallo.

Ich hab mit dem DIng zwar selber keine Erfahrungen, aber aus Recherchen im Netz sollten dir der VundoFIX http://virus-protect.org/artikel/tools/vundofixx.html oder der ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 helfen das ding loszuwerden.

Wenn du eins der Programme benutzt solltest du alle anderen Programme die mit der Internetkommunikation zu tun haben beenden. Browser, Messenger, etc.

Quellen:
http://www.nucia.nl/forum/showthread.php?t=28931
http://forums.techguy.org/malware-removal-hijackthis-logs/586677-help-needed-trojan-removal.html

Halli Hallo sebhoff,

ich danke Dir für Deine Hilfe - wirklich!

Es geschehen immer mehr merkwürdige Dinge! Schon vor dem Einloggen in WindowsXP, gibt Avast! Antivirus 4.7 Warnmeldungen aus, dass >eigene< EXE-Dateien dem Avast-System unautorisiert und "gefährlich" wären, diese auszuführen - und die Frage: Trotzdem ausführen - Ja - Nein!

Ich werde natürlich die beiden Tools, die Du mir angeboten hast, herunter laden, und es damit auf meinen Computer ausprobieren!

Obwohl (außer Spybot und Security Task Manager) kein anderes Security-Programm von mir, diesen "opnoljj.dll" hat ausfindig machen können, haben mir einige Online-Virus-Checks, z.B. Panda oder Kaspersky diesen als Trojaner kenntlich gemacht (ich habe alle genaueren Informationen jetzt hier nicht parat - diese sind auf meinem PC abgespeichert)!

Es gibt noch Kaspersky Anti-Virus S.O.S, welches extra dafür gemacht wurde, simultan (als einzigstes <nach eigenen Angaben> Programm) mit einem bereits installierten und aktiven Virus-Scanner (wie bei mir Avast! 4.7) zusammen arbeitet / ergänzt / und diesen sogar überwacht! Ich habe dies jedoch nicht als Free-Version finden können...

Ich schaue mal weiter - und versuche es zuerst mit Deinen Tools!!

VIELEN DANK!!! DEINE HILFE BEDEUTET MIR SEHR VIEL!!!


Viele Grüße,

Akyra.

Hallo sebhoff, hallo liebe Leute,

Ich habe es mit folgenden Tools ausprobiert! VundoFix hat diesen „opnoljj.dll“ gefunden, und wollte ihn darüber entfernen. Dann wollte VundoFix einen Neustart, und dass ich dann erneut danach suchen lassen sollte (ähnliches Prinzip wie bei Spybot)! Er hat wieder diesen „opnoljj.dll“ gefunden, habe ich wieder entfernt, und VF wollte wieder Neustart, et Cetera.

Im Security Task Manager ist, nach der „Entfernung“ über VF, immer noch ein unsichtbarer Task von „opnoljj.dll“ (2x) aufgelistet, und Avast! 4.7 fängt völlig an zu spinnen!

Zum Beispiel die Warnmeldung von Avast! 4.7 nach dem Starten des PC´s, bevor ich mich noch mit dem Windows-Passwort einlogge:

Avast! Warning:
Avast! Detected unauthorized modification of this Programmfile:
C:/Programme/Alwil Software/Avast4/ash***.exe
Continuing can be dangerous. Run the Programm anyway? – Ja – Nein.

Zum Vergrößern anklicken....

*** habe ich oben eingefügt, weil es drei Programmteile von Avast! 4.7 sind, die mit ash... anfangen.

Gehe ich auf NEIN, dann startet Avast! erst gar nicht auf – denn das komische ist ja, dass Avast! sich offensichtlich „SELBST“ deaktiviert...

Gehe ich auf JA, dann läuft Avast, und es kommt noch eine Warnmeldung:

Avast! 4.7 Warnung:

Avast! 4.7 hat einen Virus in der Datei C:/Programme/JAP/jap.exe gefunden...

Zum Vergrößern anklicken....

- Entweder der Trojaner befällt immer weiter noch weitere Dateien und Programme, was ziemlich offensichtlich ist (siehe JAP, welches einwandfrei war), da auch immer wieder nach einem Neustart des PC´s alle Firewall-Einstellungen, z.B. die Zugriffsrechte von Programmen, die aufs Internet zugreifen wollen, oder Avast! wurde selbst von dem Trojaner manipuliert, dass Fehldiagnosen von Dateien und Programmen stattfinden!?

Ich denke, dass opnoljj sehr hartnäckig und intelligent ist, seinen Datei- und Systemnamen/ ID, vielleicht Größe der Datei und Signaturen ändert, sich von Systemordner zu Systemordner verschiebt, und Dinge an der Registry manipuliert – Rootkit like?!

Ich habe ja schon einiges unterbunden, sprich immunisiert via XP-Antispy und Spybot, vor allem mit der Registry-Überwachung! Also gehe ich leicht davon aus, dass dieser Trojaner (wie viele andere auch) mehrere Möglichkeiten in Betracht ziehen, ihr Ziel auf einem System zu erreichen. Zwar ist dieser Schädling erkannt worden (oder zumindest Teile davon), und auch Elemente zu Aktionen unterbunden wurden... sich jedoch NICHT entfernen lässt – egal wie und mit was! Wer weiß noch, was für unsichtbare Aktionen dieser noch veranstaltet??

Komischerweise, wenn ich nicht online bin, meldet sich ein kleines Fenster, dass die Internetverbindung nicht aktiviert sei, oder ich „verbinden“ oder „offline arbeiten“ möchte – schon alleine so was sagt mir viel!

Es war auch eigene Dummheit – ich hätte viel vorsichtiger sein müssen, was das Installieren von EXE-Dateien aus dem Internet angeht! Aber wie kann ich unterscheiden, ob sich ein Schädling darin versteckt oder nicht??

Was habt ihr denn so an Security-Programmen zu bieten??? Welche könnt ihr mir empfehlen, oder abempfehlen??


Es wäre wirklich sehr schön, wenn ihr mir noch mal antworten würdet!

Vielen Dank für das Lesen meines Beitrages, und für euer aufrichtiges Interesse!


Viele Grüße,

Akyra.

Ich glaube eher, der Virus reprodiziert sich aus einem anderen Task, der im Autostart mitgestartet wird.

Machst du diese ganzen Aktionen eigentlich auch im Abgesicherten Modus oder läßt du etwa den Computer komplett hochfahren mit allen Autostarts?

Weiterhin solltest du hier vielleicht mal ein Hijackthis-Log im abgesicherten Modus posten, um zu schauen, was verdächtig erscheint in den gestarteten Prozessen.

Meines Erachtens liegt da der Haase im Pfeffer. Wenn du lediglich den einen Task killst, er aber beim Neustart aus einem anderen reprodiziert wird, wäre das Verhalten bei dir kein Wunder.

Ich mache auch gerade einen Virenscann (mit BitDefender Antivirus 10)
Ich würde dir auch empfehlen das ganze im abgesichtertem modus zu machen.
In der MSConfig ist (wie BioaSharky schon sagte) auch nachzugucken. Vielleicht wäre es ncoh nützlich deine TCP und UDP Ports zu scannen.
Ich weiss nicht, ob das hilft. Wäre nur sonen vorschlag. sollten unnötige ports offen sein, dann würde ich mcih mal im I-net mal über sie informieren.

Die listen, die ich bis jetzt gefunden habe:

http://www.multi-online.com/netzwerk/portliste.php

http://www.emsisoft.de/de/kb/portlist/

http://www.winhelpline.info/forum/artikel-berichte-reviews/106347-die-ultimative-portliste.html (eine unübersichtlichere liste)

http://www.katel.de/ports.htm

da müssten eigentlich FAST (10.000-30.000 von 60.000) alle ports aufgelistet sein.

Avast verfügt offensichtlich über keinen für die Situation ausreichenden Selbstschutz für den Schädling. Im normalen Modus (den du ja anscheinend nutzt wenn Avast sich startet) einen Schädling zu entfernen ist darüber hinaus mehr als unklug. Ich meine mich übrigens zu erinnern, dir dass schonmal gesagt zu haben
Ein guter Scanner mit Selbstschutz ist wie immer Kaspersky. HijackthisLog ist aber wie gesagt der wichtigste Schritt.
@nikeee: So eine Portlist ist überhaupt nicht hilfreich.

haxor schrieb:

Avast verfügt offensichtlich über keinen für die Situation ausreichenden Selbstschutz für den Schädling. Im normalen Modus (den du ja anscheinend nutzt wenn Avast sich startet) einen Schädling zu entfernen ist darüber hinaus mehr als unklug. Ich meine mich übrigens zu erinnern, dir dass schonmal gesagt zu haben
Ein guter Scanner mit Selbstschutz ist wie immer Kaspersky. HijackthisLog ist aber wie gesagt der wichtigste Schritt.
@nikeee: So eine Portlist ist überhaupt nicht hilfreich.

Zum Vergrößern anklicken....

wenn z.B. bei s*b7 der standart s*b7 Port offen ist?
man es rauskreigt, dass der port offen ist, und nicht weiß, wofür der ist?
Ich finde es ist doch sehr nützlich

Sub7 ist unglaublich alt. Sub7 kommt nicht durch Router.
Neuere Programme sind da variabler mit ihren Ports (da der Server die Verbindung aufbaut und nicht wie früher auf einem Port lauscht, das macht jetzt der Client). Von daher sind diese Listen nicht sehr hilfreich.

Hallo BioaSharky, nikeee13 und haxor!

Erst einmal ein großes Dankeschön an euch, für euer aufrichtiges Interesse, und für eure Bemühungen!

@ BioaSharky:

Ich glaube eher, der Virus reprodiziert sich aus einem anderen Task, der im Autostart mitgestartet wird.

Zum Vergrößern anklicken....

So wird es wohl sein... eigentlich meine ich das so im entfernteren Sinne...

Machst du diese ganzen Aktionen eigentlich auch im Abgesicherten Modus oder läßt du etwa den Computer komplett hochfahren mit allen Autostarts?

Zum Vergrößern anklicken....

Ich habe letztendlich beides ausprobiert! Zuletzt habe ich wieder im Abgesicherten Modus gestartet, und habe via Security Task Manager alle Tasks anzeigen lassen = opnoljj.dll ist immer noch aktiv, dann die Quelldatei jedoch nicht ausfindig machen (Pfad)!

Wenn ich Avast! starte, dann sagt dieser wie gewohnt, dass er selbst eine Gefahr dastellt, mit der Frage, ob ich trotzdem ausführen möchte oder nicht...

Weiterhin solltest du hier vielleicht mal ein Hijackthis-Log im abgesicherten Modus posten, um zu schauen, was verdächtig erscheint in den gestarteten Prozessen.

Zum Vergrößern anklicken....

Das habe ich gerade gemacht – Hijack This – Logdatei (aus dem Abgesicherten Modus):

Logfile of HijackThis v1.99.1
Scan saved at 18:00:11, on 12.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {4AA49418-D47E-47EB-AAD9-3FA5155F3025} - C:\WINDOWS\system32\opnoljj.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\WINDOWS\VistaMizer\styler\TB\StylerTB.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - Winlogon Notify: opnoljj - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zum Vergrößern anklicken....

Wie man ja unschwer erkennen kann, sitzt “opnoljj” in C:/Windows/ (C:/Windows/System32/).


@ nikeee13:

Ich mache auch gerade einen Virenscann (mit BitDefender Antivirus 10)
Ich würde dir auch empfehlen das ganze im abgesichtertem modus zu machen.
In der MSConfig ist (wie BioaSharky schon sagte) auch nachzugucken.

Zum Vergrößern anklicken....

BitDefender ist Pay-Ware???

Abgesicherter Modus habe ich gemacht...

In der MSConfig weiß ich nur, wie ich Startprozesse ändere oder zurücksetze, z.B. den Abgesicherten Modus, oder eingeschränkte Systemstarts...


@ haxor:

Avast verfügt offensichtlich über keinen für die Situation ausreichenden Selbstschutz für den Schädling. Im normalen Modus (den du ja anscheinend nutzt wenn Avast sich startet) einen Schädling zu entfernen ist darüber hinaus mehr als unklug. Ich meine mich übrigens zu erinnern, dir dass schonmal gesagt zu haben
Ein guter Scanner mit Selbstschutz ist wie immer Kaspersky. HijackthisLog ist aber wie gesagt der wichtigste Schritt.

Zum Vergrößern anklicken....

... sieht wohl so aus! Entweder wurde Avast! selbst manipuliert, oder infiziert?! Infiziert würde ich vielleicht ehr annehmen, da die Firewalleinstellungen (Programmzugriffsrechte) auch zurückgesetzt sind...

Ja – Abgesicherter Modus! In meiner „Verzweifelung“ habe ich alles mögliche ausprobiert, auch mit kompletten Systemstart (vollständiger Modus / Regulär).

Mit Avast habe ich versucht, auf drei verschiedene Weisen den Virus / Trojaner ausfindig zu machen: 1. Abgesicherter WindowsXP Modus; 2. Time-Boot-Prüfung (WindowsXP wird nicht hochgestartet); 3. im Normalem WindowsXP Modus – NICHTS hat er gefunden! Das aller erste Mal ist Avast! angesprungen – eine Virus-Warnung, irgendetwas mit Win32-Trojaner... Habe ich in Quarantäne (empfohlene Vorgehensweise) gejagt – danach kam nichts mehr!

NUR Spybot hat den einmal gefunden (nach dem „Löschen“ nie wieder), beschrieb jedoch die Hartnäckigkeit dieses Schädlings, dass dieser sich reproduziert, unter anderer ID, Signatur und simple Dateinamen... Darüber hinaus war nur noch der Security Task Manager, der diesen (oder Fragmente) aufgespürt hat! Des weiteren auch Online-Virus-Checks von Panda und Kaspersky – beide haben diesen gefunden!

Der Witz ist, haxor, auch wenn Du schon des öfteren „empfohlen“ hast, dass man NIE ein Antivirenprogramm auf ein bereits infiziertes System installieren sollte, was ja auch sehr plausibel klingt, aber der Witz ist, dass Kaspersky auf deren Website in einer Schritt-für-Schritt-Anleitung anweist, was man machen muss, wenn ein System infiziert ist: darunter wird auch erklärt, dass man Kaspersky Antivirus auf ein bereits infiziertes System installieren soll (ich meine auch nicht die S.O.S.-Version, die simultan zu bereits funktionierenden Antivirenprogrammen läuft)... Aber ich weiß, dass ich mich auf Dein Know-How verlassen kann... schließlich hast Du mich bis her immer aus einem Problem heraus geholfen! DANKE übrigens dafür noch einmal...
---

Mal sehen, was hier noch herum kommt.... ich habe mich schon innerlich auf ein Neuaufsetzen meines Systems eingestellt, da, auch wenn opnoljj vernichtet wird, bereits zuviel Schaden angestellt worden ist! Neben Avast! ist auch JAP, WinAce und andere Programme „befallen“, oder werden zumindest als befallen identifiziert!


Ich bedanke mich auf jeden Fall für eure lieben Bemühungen und für euer Fachwissen! (!)

Auch freue ich mich sehr auf weitere Beiträge... ich werde dann aber bescheid geben, wenn ich mein System formatieren werde...


Viele Grüße, :hal:

Akyra.

Ich formatiere jetzt...