Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: About:Blank Hijacker mit Nebenwirkungen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.01.2005, 01:36   #1
WolfonIce
 
About:Blank Hijacker mit Nebenwirkungen - Standard

About:Blank Hijacker mit Nebenwirkungen



Hallo,

zunächst möchte ich dieses Board und die zugehörige Infoseite und alle hier Mitwirkenden ausgesprochen loben und euch allen für dieses Medium danken.

Ich habe gerade über 2 Stunden damit verbracht den Hijacker mit der modifizierten about:blank und den entsprechenden sp.html Einträgen zu entfernen.Es sieht jetzt endlich auch so aus, als ob es funktioniert. Immerhin zeigt mir das aktuelle HiJack This keinen verdächtigen Eintrag mehr. Aber ich habe noch das Problem, dass bei jedem Start der Popupblocker vom Inetexplorer deaktiviert wird. Wenn ich den Blocker aktiviere und dann neu starte ist er wieder ausgeschaltet.Zur Erläuterung muss ich noch Anführen, dass es sich um ein dienstliches Notebook handelt und dort bezüglich der verwendbaren Software starke Restriktionen vorliegen. D.h. keine alternativen Popupblocker oder Alternativbrowser sind zulässig. Wenn dagegen ein Verstoss festgestellt wird (die Prüfung erfolgt beim nächsten connect ins Firmennetz) werden diese Tools alle gelöscht und ein Alternativbrowser wird auch entfernt.
Daher wäre mir am Popupblocker des XPSP2 einiges gelegen.
Wo könnte ein Eintrag stehen der ihn beim start abschaltet ??

Danke für jede Hilfe.

Anbei der gerade gezogene Log von Hijack this, die sicheren Einträge habe wegen der Länge des Themas entfernt:


Logfile of HijackThis v1.99.0
Scan saved at 01:31:18, on 13.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Permeo\Security Driver\nbproxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\isb utility\ISBMgr.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Permeo\Security Driver\EBIcon.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Stefan\Eigene Dateien\Internetdownloads\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://inetprox.inet.cns.fra.dlh.de/proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Permeo Security Driver Startup.lnk = C:\Programme\Permeo\Security Driver\EBIcon.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102612818032
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.adultpark.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A90B7869-C0FC-4725-9DD9-F6FB07B2C282}: NameServer = 57.20.120.33,57.20.120.65,57.20.120.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.dlh.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.dlh.de
O18 - Filter: text/html - {0DA04A8B-5038-4E5B-B8E2-E3C4AFD02404} - C:\WINDOWS\system32\gkho.dll
O18 - Filter: text/plain - {0DA04A8B-5038-4E5B-B8E2-E3C4AFD02404} - C:\WINDOWS\system32\gkho.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Security Driver NetBT Proxy - Permeo Technologies, Inc. - C:\Programme\Permeo\Security Driver\nbproxy.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Danke für jeden Hinweis,
viele Grüße und ein stabiles System

Stefan

Alt 13.01.2005, 01:48   #2
WolfonIce
 
About:Blank Hijacker mit Nebenwirkungen - Standard

Ergänzung About:Blank Hijacker mit Nebenwirkungen



So ich habe noch eine Ergänzung zum vorherigen Beitrag:

Wenn Spybot laufen lasse meldet er mir immer DSO Exploits und Webtrends, Doubleclick und Hitbox. Wenn ich das Fixe. Meldet er es jedoch sofort wieder. Egal ob abgesichert oder nicht immer werden die DSO Exploits gefunden und dann nach einem fix werden sie nicht entfernt.

Könnte mir da jemand einen Tip geben was ich tun kann.

Danke.

Stefan
__________________


Alt 13.01.2005, 02:29   #3
Shadowdance
 
About:Blank Hijacker mit Nebenwirkungen - Standard

About:Blank Hijacker mit Nebenwirkungen



@ WolfonIce

Das DSO-Exploit kannst du ignorieren, es ist ein Bug von Spybot. Poste bitte das nächste HijackThis Logfile in seiner gesamten Länge, verteilt auf 2 aneinanderhängende Beiträge.

Downloade zunächst LSP-Fix. Wenn Du Probleme bekommst, ins Netz zu kommen: die Internetverbindung trennen und LSP-Fix ausführen. Den Rechner neu booten.

------------------

Scanne bitte mit dem online-scan von : Kaspersky

C:\WINDOWS\system32\bmwebcfg.exe

teile uns das Ergebnis der Überprüfung mit.

------------------

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, wenn unerwünscht/unbekannt, bitte fixen (Häk'chen setzen und auf Fix Checked klicken):

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=h**p://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**p://www.adultpark.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.d lh.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.d lh.de
O18 - Filter: text/html - {0DA04A8B-5038-4E5B-B8E2-E3C4AFD02404} - C:\WINDOWS\system32\gkho.dll
O18 - Filter: text/plain - {0DA04A8B-5038-4E5B-B8E2-E3C4AFD02404} - C:\WINDOWS\system32\gkho.dll

boote in den normalen Modus.

Entferne mit LSP-Fix (Dateien ins Programm einlesen und von links nach rechts ziehen):

O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing

Aktiviere die Systemwiederherstellung und boote neu.

------------------

Erstelle ein neues Hijack This Logfile und poste es.
__________________

Alt 13.01.2005, 02:57   #4
WolfonIce
 
About:Blank Hijacker mit Nebenwirkungen - Standard

About:Blank Hijacker mit Nebenwirkungen



So anbei die ersten Ergebnisse:

bmwebcfg.exe ist das Bytemobile Webconfiguration Tool meiner Centrino WLAN Karte, und virenfrei

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.d lh.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.d lh.de

sind die Standard DNS Einträge für die LAN Verbindung ins Firmennetz. da wir mit statischen IP's arbeiten sind auch unsere DNS aus Firmengründen fix



O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll

Das sind die Standardeinträge für unser Firmentool zur Socksnutzung z.B. FTP etc. Dazu nutzen wir ein Tool von Permeo, der über einen Socksproxy definierte Applikationen auf bestimmte Protokolle und Ports zugreifen lässt.

Diese Einträge kann ich daher nicht entfernen.

Ansonsten läuft noch alles wie gehabt. Der Hijack fehlt, meine Startseite bleibt wie gewünscht etc. aber noch immer wird bei jedem Start der PopUpBlocker deaktiviert.

Die neue HiJack Log folgt im nächsten Beitraf.

Aber Danke auch schon für die bisherige Hilfe.

Grüße

Stefan

Alt 13.01.2005, 02:59   #5
WolfonIce
 
About:Blank Hijacker mit Nebenwirkungen - Standard

About:Blank Hijacker mit Nebenwirkungen



Und hier jetzt die logfile:
Logfile of HijackThis v1.99.0
Scan saved at 02:56:13, on 13.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Permeo\Security Driver\nbproxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\isb utility\ISBMgr.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Permeo\Security Driver\EBIcon.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Stefan\Eigene Dateien\Internetdownloads\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lww.dlh.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://inetprox.inet.cns.fra.dlh.de/proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Permeo Security Driver Startup.lnk = C:\Programme\Permeo\Security Driver\EBIcon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\permeo\security driver\s5spi.dll
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102612818032
O17 - HKLM\System\CCS\Services\Tcpip\..\{A90B7869-C0FC-4725-9DD9-F6FB07B2C282}: NameServer = 57.20.120.33,57.20.120.65,57.20.120.97
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.dlh.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,nds.fra.dlh.de,cns.fra.dlh.de,sap.fra.dlh.de
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Security Driver NetBT Proxy - Permeo Technologies, Inc. - C:\Programme\Permeo\Security Driver\nbproxy.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Alt 13.01.2005, 03:26   #6
Shadowdance
 
About:Blank Hijacker mit Nebenwirkungen - Standard

About:Blank Hijacker mit Nebenwirkungen



@ WolfonIce

versuch's mal damit: DelDomains.inf .

SD

Alt 13.01.2005, 23:02   #7
WolfonIce
 
About:Blank Hijacker mit Nebenwirkungen - Standard

About:Blank Hijacker mit Nebenwirkungen



Hallo.

SO nach längerer Suche habe ich doch noch den Fehler wegen des XP Popupblockers finden können. Ich habe dazu mal einen Filemon und einen Realtime File und Systemanalyzer laufen lassen und festgestellt das die Beendigung über einen eingetragenen Dienst erfolgte der beim Sytemstart aktiv wurde aber nach einmaligem Ausführen beendet wurde. Dieser Dienst hat den Popupblock deaktiviert über einen entsprechenden Registryaufruf den er eingetragen hat.

Ich werde eine detailiertere Auswertung noch hinterherschicken.

Ansonsten nochmals Danke für die Tipps die ich hier finden konnte. Und jetzt ist es mir ein persönliches Anliegen in Zukunft auch anderen Usern hier helfen zu können. Dazu suche ich wenn möglich, da ich nicht immer online sein kann (Reise viel mit dem Flugzeug) eine Möglichkeit Seiten mit bestimmten unbekannten oder noch nicht behebaren HiJacker zugeschickt zu bekommen oder die Logs direkt zu bekommen.

Also wenn ihr Logs habt bei denen noch nicht alles geklärt wurde könnt ihr sie mir gerne schicken an: HiJackLog@lh-medicalservice.com

THX und Safe Surf

Stefan

Antwort

Themen zu About:Blank Hijacker mit Nebenwirkungen
.inf, adobe, antivirus, bho, danke, dll, drivers, einstellungen, excel, explorer, handel, hijack this, hijackthis, internet, internet explorer, internet security, log, neu, notebook, pdf, problem, programme, rundll, security, security center, settings manager, software, sun java, symantec, system, tcpip, träge, unknown file in winsock lsp, windows, windows messenger, windows xp



Ähnliche Themen: About:Blank Hijacker mit Nebenwirkungen


  1. Trojaner mit vielen Nebenwirkungen
    Plagegeister aller Art und deren Bekämpfung - 22.10.2008 (0)
  2. Hilfe! Nebenwirkungen von TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 01.08.2008 (1)
  3. Werde about:blank hijacker nicht los: könnt Ihr bitte mal mein HJT Log checken?
    Log-Analyse und Auswertung - 24.12.2005 (2)
  4. Hijacker "about blank" !!
    Log-Analyse und Auswertung - 24.07.2005 (21)
  5. Brauche Hilfe about: blank Hijacker
    Log-Analyse und Auswertung - 06.05.2005 (5)
  6. Another about:blank Hijacker
    Log-Analyse und Auswertung - 13.03.2005 (20)
  7. Helft mir bitte wg. Hijacker: about:blank / Search the Web
    Log-Analyse und Auswertung - 12.03.2005 (5)
  8. Hijacker: about:blank 227(obfuscated)
    Log-Analyse und Auswertung - 07.03.2005 (11)
  9. Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)
    Log-Analyse und Auswertung - 05.02.2005 (9)
  10. Hijacker about:blank
    Log-Analyse und Auswertung - 10.11.2004 (5)
  11. Hijacker 'sp.html/about:blank/search for' gelöscht
    Plagegeister aller Art und deren Bekämpfung - 05.09.2004 (3)
  12. Hijacker about:blank - ...\sp.html
    Log-Analyse und Auswertung - 15.08.2004 (7)
  13. Hijacker -> about: blank
    Log-Analyse und Auswertung - 29.06.2004 (10)
  14. Probleme mit Hijacker Startseite: about:blank - ...\sp.html (obfuscated)
    Log-Analyse und Auswertung - 23.06.2004 (1)
  15. Hijacker about:blank - ...\sp.html für Betriebssystem NT
    Plagegeister aller Art und deren Bekämpfung - 03.06.2004 (7)
  16. "about:blank" ein Hijacker?!
    Plagegeister aller Art und deren Bekämpfung - 06.05.2004 (4)

Zum Thema About:Blank Hijacker mit Nebenwirkungen - Hallo, zunächst möchte ich dieses Board und die zugehörige Infoseite und alle hier Mitwirkenden ausgesprochen loben und euch allen für dieses Medium danken. Ich habe gerade über 2 Stunden damit - About:Blank Hijacker mit Nebenwirkungen...
Archiv
Du betrachtest: About:Blank Hijacker mit Nebenwirkungen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.