Hallo zusammen!

Ich komme leider absolut nicht mehr weiter und hoffe, daß mir jemand helfen kann.

Folgendes Problem: Beim Öffenen des IE (Betriebssystem XP) wird die about:blank-Seite aufgerufen, diese ist jedoch mit einer Suchmaschine versehen (von den nervigen Pop-Ups und Porno-Favoriten ganz zu schweigen).

Ich habe also Norton Antivirus, Ad-Aware, Spy-Bot Seek & Destroy und den CW-Shredder aktualisiert und laufen lassen. Es wurden (bis auf Antivirus) auch infizierte Dateien gefunden und behoben.

Beim nächsten Öffnen des IE war Problem wieder da. Habe dann die "Säuberung" nochmals im abgesicherten Modus mit deaktivierter Systemwiederherstellung durchgeführt - wieder nur kurzfristiger Erfolg.

Beim Suchen im Web bin ich dann auf Seiten gestoßen (auch diese hier), die sich mit dieser hartnäckigen Variante beschäftigen. Habe dann auch ein Tool zur Beseitigung des Hijackers runtergeladen:
http://www.trojaner-info.de/anleitun...out_blank.html

Das Tool lief auch ganz normal an und "desinfizierte" angeblich meinen Rechner. Danach war jedoch beim nächsten Hochfahren das Problem wieder da. Erneutes Starten das Tools bringt mir die Meldung, daß mein System nicht infiziert ist...

Ein Unterschied zu den bereits geposteten about:blank Problemen ist die Tatsache, daß die schadhafte Datei anscheinend im Temp - Verzeichnis aufgeführt ist und keine "normale" .dll-Datei (wie ansonsten immer beschrieben).

Bitte nicht böse sein wenn das vollkommen unerheblich ist - ich bin bei sowas DAU...

Ich habe ausserdem gelesen, daß der Hijacker über eine versteckte .dll-Datei ausgelöst wird. Ich weiß jedoch nicht, wie ich ich diese Datei finden (und vernichten) kann.

Bin für Hilfe wirklich dankbar!!!

ich hab mich mit dem about blank aber nicht so auseinandergesetzt sollte aber hier im forum oft genug vertreten sein


</font><blockquote>Zitat:</font><hr /> Ein Unterschied zu den bereits geposteten about:blank Problemen ist die Tatsache, daß die schadhafte Datei anscheinend im Temp - Verzeichnis aufgeführt ist und keine "normale" .dll-Datei </font>[/QUOTE]dann leer doch den temp ordner einfach mal [img]smile.gif[/img]

Ich hab den Inhalt des Temp-Ordners teilweise geleert - wußte aber leider nicht, was ich löschen darf und was drinbleiben muß.

Aber auch nach dem ich die verdächtige Datei gelöscht hatte, war sie beim nächsten Start wieder generiert.

Trotzdem danke.

poste doch einfach mal dein HijackThis log..

Sorry, daß es ein bischen gedauert hat, aber war noch auf Arbeit...

Hier also der HijackThis-Log:

Logfile of HijackThis v1.97.7
Scan saved at 15:21:50, on 16.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\soundman.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
E:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
E:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\System32\svchost.exe
D:\shredder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - f:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {93BC0998-C491-4D8D-9619-7F7667106823} - C:\WINDOWS\m.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Microsoft Helper Service] C:\WINDOWS\System32\mstaskm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - https://banking.sparkasse-erlangen.d...ageinstV13.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -

Danke fürs checken!!!

ja.. alle r1 und r0 einträge mit HijackThis fixen ohne den von google.de.. und ich weiss nicht ob diese folgenden einträge böse sind oder nicht, auf jeden fall sind die nicht üblich:
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\scagent.exe

Hallo! Erst mal danke fürs checken, habe Deinen Rat befolgt und die Einträge gefixt.

Habe ausserdem die beiden seltsamen .exes im abgesicherten Modus gelöscht.

Nach dem Hochfahren: Leider wieder wie vorher...

Auch die Savedump.exe ist wieder da (und will sich im normalen Modus nicht löschen lassen), allerdings ist sie in den Eigenschaften auf Deutsch beschrieben als "Programm zur Sicherung eines Abbilds" und der Hersteller ist angeblich Microsoft.

Insgesamt bin ich also leider so weit wie zuvor...

Irgendwelche andere Tipps vielleicht???

kannst auch mal hier im forum nach sp.html suchen davon gabs imho genug threads [img]smile.gif[/img]

Habe gerade mal die Einträge durchgelesen. Die dort vorhandenen Tipps hab ich schon durchprobiert:

Alle Scanner im abgesicherten Modus OHNE Systemwiederherstellung laufen lassen.

Das Tool zum Entfernen runtergeladen und laufen lassen - das macht mir ja aber Probleme. Beim ersten Mal hat es angeblich "desinfiziert", nun sagt es hartnäckig - ich bin nicht mehr infiziert...

Kann es evtl. etwas damit zu tun haben, daß die Endung bei mir nach sp.html nicht "(obfuscated)"kommt? Also vielleicht eine andere Variante darstellt? Oder hat das garnix damit zu tun?

Bitte helfen!

wenn der prozess C:\WINDOWS\system32\scagent.exe von microsoft ist, dann ist er trotzdem überflüssig