"about:blank"

Shadowdance · 14.01.2005, 03:26

@ heri

versuche es zunächst hiermit: DelDomains.inf

erstelle dann ein neues Hijack this Logfile und poste es.

heri · 14.01.2005, 13:08

@ shadowdance,

danke für deine Mühe mir zu helfen...

hier mein neues logfile...

Logfile of HijackThis v1.99.0
Scan saved at 13:03:38, on 14.01.05
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\EIGENE PROGRAMME\KILL WINDOW 2.0\KILL WINDOW 2.0.EXE
C:\PROGRAMME\EIGENE PROGRAMME\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\EIGENE PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\EIGENE PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\EIGENE PROGRAMME\ADOBE ACROBAT\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0C8EF27B-DEAD-46F3-B0EC-3BB2DEEBD5A6} - C:\WINDOWS\SYSTEM\DBBH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Kill Window] "C:\PROGRAMME\EIGENE PROGRAMME\KILL WINDOW 2.0\KILL WINDOW 2.0.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Eigene Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\EIGENE PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O18 - Filter: text/plain - {90713381-D113-4AFC-8C88-D45E18F64521} - C:\WINDOWS\SYSTEM\DBBH.DLL
O18 - Filter: text/html - {90713381-D113-4AFC-8C88-D45E18F64521} - C:\WINDOWS\SYSTEM\DBBH.DLL

gruß Herbert

heri · 15.01.2005, 12:04

schönen Samstag,
könnte mir jemand einen Tip geben,
was ich bei meinem Logfile fixen soll...
Danke
gruß Herbert

Chris14 · 15.01.2005, 12:17

so. jetzt haben wir das schonmal. die trusted zones sind weg.
jetzt führe das aus:

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
O2 - BHO: (no name) - {0C8EF27B-DEAD-46F3-B0EC-3BB2DEEBD5A6} - C:\WINDOWS\SYSTEM\DBBH.DLL
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O18 - Filter: text/plain - {90713381-D113-4AFC-8C88-D45E18F64521} - C:\WINDOWS\SYSTEM\DBBH.DLL
O18 - Filter: text/html - {90713381-D113-4AFC-8C88-D45E18F64521} - C:\WINDOWS\SYSTEM\DBBH.DLL

3.dateien löschen
-leere den Papierkorb
-lösche die datei x.cab im ordner c:\
-lösche die datei DBBH.DLL im ordner c:\windows\system
-falls die dateien nicht angezeigt werden:
-klicke auf ansicht, dann auf ordneroptionen
-klicke auf ansicht
-selektiere alle dateien und ordner anzeigen

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

heri · 15.01.2005, 15:12

hallo Chris,
weil du schreibst, "gehe wieder in den normalen modus..
hätte ich eScan im abgesicherten Modus machen sollen ?
habe ich jetzt nicht gemacht...

eScan hat diese drei infizierten Dateien gefunden...

c:\Windows\Sxstem\DBBH.dll 'konnte ich vorerst nicht löschen
c:\Windows\Sxstem\kkpg.dll 'konnte ich löschen
c:\_Restore\Temp\A0106688.CPY 'konnte ich löschen

dann ist mir alles abgestürzt...
mußte mit "Reset" den PC wieder starten...
habe dann die REg-Einträge gefixt...
x.CAB gelöscht, Papierkorb gelöscht...
IExplorer geöffnet, about:blank war nicht mehr vorhanden
neue Startseite festgelegt, Windows neu gestartet,
IExplorer gestartet, festgelegte Startseite war wieder vorhanden...

die DBBH.dll konnte ich jetzt auch löschen...
ich werde eScan zur Sicherheit nochmals drüberlaufen lassen...

momentan sieht's so als, als wäre das Problem gelöst..

Herzlichen Dank für deine Hilfe
Gruß Herbert

hier mein aktuelles Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 15:03:25, on 15.01.05
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\EIGENE PROGRAMME\KILL WINDOW 2.0\KILL WINDOW 2.0.EXE
C:\PROGRAMME\EIGENE PROGRAMME\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\EIGENE PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\EIGENE PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.herber.de/forum
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\EIGENE PROGRAMME\ADOBE ACROBAT\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Kill Window] "C:\PROGRAMME\EIGENE PROGRAMME\KILL WINDOW 2.0\KILL WINDOW 2.0.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Eigene Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\EIGENE PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

Chris14 · 15.01.2005, 15:16

jep hättest du. und das steht auch in der anleitung.

heri · 15.01.2005, 17:30

ich hatte eScan in den letzten Tagen schon mal im abgesicherten
Modus probiert...ich konnte allerdings ohne Maus das Kontrollkästchen
"Drive" nicht aktivieren...
mit der Tastatur habe ich keine Möglichkeit gefunden,
das ist das Problem...
gruß Herbert

"about:blank"

Log-Analyse und Auswertung: "about:blank"

"about:blank"

mein neues logfile

"about:blank"

"about:blank"

"about:blank" ist weg...

"about:blank"

"about:blank"

Ähnliche Themen: "about:blank"

14.01.2005, 03:26	#1
Shadowdance	"about:blank" @ heri versuche es zunächst hiermit: DelDomains.inf erstelle dann ein neues Hijack this Logfile und poste es.

15.01.2005, 12:04	#3
heri	"about:blank" schönen Samstag, könnte mir jemand einen Tip geben, was ich bei meinem Logfile fixen soll... Danke gruß Herbert __________________

15.01.2005, 15:16	#6
Chris14	"about:blank" jep hättest du. und das steht auch in der anleitung.

15.01.2005, 17:30	#7
heri	"about:blank" ich hatte eScan in den letzten Tagen schon mal im abgesicherten Modus probiert...ich konnte allerdings ohne Maus das Kontrollkästchen "Drive" nicht aktivieren... mit der Tastatur habe ich keine Möglichkeit gefunden, das ist das Problem... gruß Herbert