Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Startseite about:blank Search for...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 12.01.2005, 17:16   #1
tomuwb
 
Startseite about:blank Search for... - Standard

Startseite about:blank Search for...



Hallo,

meine Startseite setzt sich immer wieder auf about:blank. Im Explorerfenster wird die Seite mit dem Titel Search for... angezeigt.

Ich habe bereits mit Adaware versucht, den Hijacker zu beseitigen, aber er kommt immer wieder. Virus habe ich keinen drauf, habe mit Sophos schon geschaut.

Hier mein HijackThis Logfile:


Logfile of HijackThis v1.99.0
Scan saved at 17:00:37, on 12.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\Anwendungen\AnitVir 6\AVWUPSRV.EXE
e:\anwendungen\sophos anti virus\Remote Update\cachemgr.exe
E:\Anwendungen\Diskeeper\DKService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
E:\Anwendungen\Sophos Anti Virus\SWNETSUP.EXE
E:\Anwendungen\Sophos Anti Virus\SWEEPSRV.SYS
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Treiber\Maus\SYSTEM\EM_EXEC.EXE
E:\Anwendungen\Omipage\Opware12.exe
E:\Anwendungen\ZoneAlarm\zlclient.exe
E:\Anwendungen\Sophos Anti Virus\ICMON.EXE
E:\Anwendungen\Sophos Anti Virus\Remote Update\imonitor.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Anwendungen\SmartSurfer\SmartSurfer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Anwendungen\Acrobat Reader 6.0\Reader\AcroRd32.exe
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Anwendungen\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Anwendungen\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5BBC8C82-F8FD-4B66-81E3-1D102C1D2D5D} - C:\WINNT\system32\mcah.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\Treiber\Maus\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Opware12] "E:\Anwendungen\Omipage\Opware12.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Anwendungen\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [optimazeIt!] regedit -s C:\WINDOWS\System32\activate.reg
O4 - Startup: Sophos Remote Update.lnk = E:\Anwendungen\Sophos Anti Virus\Remote Update\imonitor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: InterCheck Monitor.LNK = E:\Anwendungen\Sophos Anti Virus\ICMON.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFE9296C-9F4D-4617-B4FF-83DCEF4A7F2F}: NameServer = 195.71.164.115 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{FACE2962-269B-4708-8C64-8B04A818A25D}: NameServer = 192.168.121.252,192.168.121.253
O18 - Filter: text/html - {1EB4A0A6-E941-4090-A03D-29377DEF1C38} - C:\WINNT\system32\mcah.dll
O18 - Filter: text/plain - {1EB4A0A6-E941-4090-A03D-29377DEF1C38} - C:\WINNT\system32\mcah.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Anwendungen\AnitVir 6\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Anwendungen\AnitVir 6\AVWUPSRV.EXE
O23 - Service: Sophos Cache Manager - SOPHOS Plc - e:\anwendungen\sophos anti virus\Remote Update\cachemgr.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - E:\ANWENDUNGEN\TELEDAT\de_serv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Anwendungen\Diskeeper\DKService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Sophos Anti-Virus Network - Sophos Plc - E:\Anwendungen\Sophos Anti Virus\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus - Sophos Plc - E:\Anwendungen\Sophos Anti Virus\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe




Das Ergebnis von Adaware habe ich als txt angehängt, auch wenn ich das alles beseitige, kommts wieder.



Ich hoffe, ihr könnt mir helfen.

Mit freundlichen Grüßen

Thomas

Alt 12.01.2005, 17:54   #2
Chris14
 

Startseite about:blank Search for... - Standard

Startseite about:blank Search for...



Ok. ich denke das lässt sich beheben.

also...

1.escan
lade dir escan runter und gehe genau nach dieser Anleitung vor.

2.einträge fixen
fixe diese einträge mit HijackThis weiterhin im abgesicherten modus:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {5BBC8C82-F8FD-4B66-81E3-1D102C1D2D5D} - C:\WINNT\system32\mcah.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKCU\..\Run: [optimazeIt!] regedit -s C:\WINDOWS\System32\activate.reg
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-17.cab

3.ergebnisse
-neustart in den normalen modus
-poste das ergebnis escan so:
--öffne mwav.log
--klicke auf bearbeiten, dann auf suchen
--gebe infected ein
--klicke auf weitersuchen,markiere die treffer und kopiere sie ins forum
-poste ein neues hijack this log.
__________________


Alt 13.01.2005, 17:36   #3
tomuwb
 
Startseite about:blank Search for... - Standard

Startseite about:blank Search for...



Hallo Chris,

es hat geklappt. Anbei das Hijack.Log
Hier die Viren, die eScan gefunden hat:

Wed Jan 12 20:06:51 2005 => File C:\WINNT\wsb.dll infected by "not-a-virus:AdWare.ToolBar.WSB.a" Virus. Action Taken: No Action Taken.

Wed Jan 12 20:06:32 2005 => File C:\WINNT\system32\mcah.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Wed Jan 12 19:50:16 2005 => File C:\Recycled\Q330995.exe infected by "Trojan-Downloader.Win32.Agent.ew" Virus. Action Taken: No Action Taken.

Wed Jan 12 19:48:17 2005 => File C:\WINNT\activate.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.


Ich hab die Dateien wsb.dll, mcah.dll und activate.reg mal umbenannt in *.000
Kann das sein, daß die wsb.dll gar kein Virus ist?


Gruß Thomas
__________________

Alt 13.01.2005, 18:21   #4
Chris14
 

Startseite about:blank Search for... - Standard

Startseite about:blank Search for...



jep wsb.dll ist adware (werbungsanzeiger) trotzdem alle die dateien die du gerade gepostet hast im abgesicherten modus löschen.
du musst nochmal diese einträge (ebenfalls im abgesicherten modus) mit HijackThis fixen:
O18 - Filter: text/html - {1EB4A0A6-E941-4090-A03D-29377DEF1C38} - C:\WINNT\system32\mcah.dll
O18 - Filter: text/plain - {1EB4A0A6-E941-4090-A03D-29377DEF1C38} - C:\WINNT\system32\mcah.dll
ansonsten ist das log endlich sauber.
achja verwende dann noch einen anderen browser wie firefox oder opera und lade dir (auch für windows me) die patches von http://windowsupdates.microsoft.com runter (den IE nurnoch für die updates/patches benutzen)

Antwort

Themen zu Startseite about:blank Search for...
adobe, antivir, antivir update, anwendungen, bho, dateien, drivers, google, hijackthis, hijackthis logfile, immer wieder, internet, internet explorer, logfile, maus, microsoft, outlook express, programme, regedit, seite, software, sophos, system, system32, tcpip, temp, treiber, update, virus, windows



Ähnliche Themen: Startseite about:blank Search for...


  1. babylon search und delta search als startseite im browser
    Plagegeister aller Art und deren Bekämpfung - 06.06.2014 (9)
  2. about:blank als Startseite, Auswertung des Hijackthis.log's
    Log-Analyse und Auswertung - 30.07.2010 (18)
  3. Nur noch about:blank statt eingegebener Startseite
    Log-Analyse und Auswertung - 20.03.2008 (6)
  4. Startseite about:blank
    Plagegeister aller Art und deren Bekämpfung - 11.02.2005 (1)
  5. Trojaner/Startseite about blank
    Log-Analyse und Auswertung - 29.01.2005 (4)
  6. about.blank-startseite
    Plagegeister aller Art und deren Bekämpfung - 20.01.2005 (40)
  7. about:blank startseite
    Plagegeister aller Art und deren Bekämpfung - 10.01.2005 (1)
  8. Unerwünschte Startseite / about blank
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (2)
  9. about:blank Startseite (findtop.net)
    Log-Analyse und Auswertung - 22.12.2004 (6)
  10. about blank als Startseite !!! Trojaner ??
    Plagegeister aller Art und deren Bekämpfung - 10.11.2004 (5)
  11. IE-Startseite about:blank als hijack-versuch?
    Alles rund um Windows - 28.10.2004 (2)
  12. about:blank als Startseite??
    Log-Analyse und Auswertung - 18.10.2004 (6)
  13. about:blank als startseite :/
    Log-Analyse und Auswertung - 23.09.2004 (4)
  14. about blank: Startseite IE?!
    Log-Analyse und Auswertung - 16.08.2004 (1)
  15. startseite about:blank
    Plagegeister aller Art und deren Bekämpfung - 12.08.2004 (13)
  16. Startseite---about blank
    Plagegeister aller Art und deren Bekämpfung - 07.08.2004 (5)
  17. auto:blank IE Startseite
    Plagegeister aller Art und deren Bekämpfung - 11.06.2004 (3)

Zum Thema Startseite about:blank Search for... - Hallo, meine Startseite setzt sich immer wieder auf about :blank. Im Explorerfenster wird die Seite mit dem Titel Search for... angezeigt. Ich habe bereits mit Adaware versucht, den Hijacker zu - Startseite about:blank Search for......
Archiv
Du betrachtest: Startseite about:blank Search for... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.