Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: IE explorere, auto:blank

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.01.2005, 22:04   #1
Makkus
 
IE explorere, auto:blank - Icon31

IE explorere, auto:blank



Hallo an alle!

Ich kämpfe seit ein paar Tagen mit o.g. Problem. Wo auch immer ich mir das eingefangen habe.

Ich habe bereits etliche spyware über meinen Rechner laufen lassen, zuletzt Spyware eliminator, alles ohne Erfolg.

Ich poste einmal mein letztes HijjackThis log file, da ich das Gefühl habe, dass hier die Lösung liegt. Vielleicht kann mir jemand helfen.

Gruß

Logfile of HijackThis v1.99.0
Scan saved at 21:21:53, on 17.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN\MARKUS\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www-proxy.uni-heidelberg.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {252DFDC3-4929-4AB2-BA76-8A4F19B93763} - C:\WINDOWS\SYSTEM\MSWLK.DLL
O2 - BHO: (no name) - {85644A96-36DD-4982-B351-159C8169EF53} - C:\WINDOWS\SYSTEM\MSWLK.DLL
O2 - BHO: (no name) - {1BC4A3A5-1C0E-41EE-9971-26E5DD77EBBB} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAMME\MCAFEE.COM\VSO\MCVSSHL.DLL
O3 - Toolbar: Cooxie - {DC99E960-6594-45e3-9D5D-141D825B8096} - C:\PROGRAMME\COOXIE TOOLBAR\PRVCBAND.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: STARTCS4.EXE
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.178,69.31.80.244
O18 - Filter: text/html - {0B88AA92-D497-443D-9141-7571FE380D9C} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O18 - Filter: text/plain - {0B88AA92-D497-443D-9141-7571FE380D9C} - C:\WINDOWS\SYSTEM\MCICDB.DLL

Alt 18.01.2005, 18:14   #2
chaosman
 
IE explorere, auto:blank - Standard

IE explorere, auto:blank



@Makkus
um den hier
O15 - Trusted Zone: http://*.63.219.181.7
los zu werden, machst du am besten das hier
http://www.trojaner-board.de/showthr...9&page=4&pp=10

lade dir escan download
anleitung hier
mache es genauso wie beschrieben wird.
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert 1 stunde
chaosman
__________________

__________________

Alt 18.01.2005, 22:33   #3
Makkus
 
IE explorere, auto:blank - Icon17

IE explorere, auto:blank



@chaosman

Der scan hat leider etwas länger gedauert:

es folgt der auszug aus dem mwav.log, der als infected angezeigt wurde.
Trotz McAffee und Aluria Spy eliminator scheint noch einiges unterwegs zu sein. Wie werde ich es los ?

21:10:21 2005 => File C:\WINDOWS\SYSTEM\winmsdc.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

21:10:31 2005 => File C:\WINDOWS\SYSTEM\_huytam_java.exe infected by "Trojan-Dropper.Win32.Small.ov" Virus. Action Taken: No Action Taken.

21:10:31 2005 => File C:\WINDOWS\SYSTEM\snnpapi.exe infected by "Trojan-Clicker.Win32.Small.co" Virus. Action Taken: No Action Taken.

21:11:24 2005 => File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\Z5LRJ40A\t-6735[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

21:13:45 2005 => File C:\WINDOWS\SYSTEM\winmsdc.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

21:13:55 2005 => File C:\WINDOWS\SYSTEM\_huytam_java.exe infected by "Trojan-Dropper.Win32.Small.ov" Virus. Action Taken: No Action Taken

21:13:55 2005 => File C:\WINDOWS\SYSTEM\snnpapi.exe infected by "Trojan-Clicker.Win32.Small.co" Virus. Action Taken: No Action Taken.

21:22:55 2005 => File C:\WINDOWS\Temporary Internet Files\Content.IE5\Z5LRJ40A\t-6735[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
__________________

Alt 18.01.2005, 22:48   #4
Makkus
 
IE explorere, auto:blank - Icon17

IE explorere, auto:blank



[QUOTE=chaosman]@Makkus
um den hier
O15 - Trusted Zone: http://*.63.219.181.7
los zu werden, machst du am besten das hier
http://www.trojaner-board.de/showthr...9&page=4&pp=10

@ Chaosman!

Hallo Chaosman!

Noch einmal ein kurzer Nachtrag:

Der oben stehende Link sagt mir nicht viel mehr, als dass ich ein HijackThis log anlegen sollte. Ist bereits geschehen (s. O15 ...). Muss ich hier noch etwas checken oder ergibt sich das aus den Daten des mwav.log.

Gruß

Makkus

Alt 18.01.2005, 22:48   #5
chaosman
 
IE explorere, auto:blank - Standard

IE explorere, auto:blank



@Makkus
lade dir bei www.clearprog.de clearprog
programm starten, alle häkchen bei windows und IE setzen, löschen

wechsle in den abgesicherten modus
http://www.trojaner-board.de/63335-w...s-starten.html
und lösche die dateien manuell.



das erste posting vom Lutz ist der lösung von O15 problem.
wenn du das gemacht hast, ist alles ok
chaosman

__________________
Bonus vir semper tiro

Alt 19.01.2005, 09:07   #6
Makkus
 
IE explorere, auto:blank - Icon17

IE explorere, auto:blank



@Chaosman

Vielen Dank erst einmal.
Ich werde mir gleich clearprog runterladen

In dem Link zu O15 ... finde ich keine richtige Anleitung zu dem Problem.
Kannst Du das noch einmal kurz für mich checken?

Danke

Makkus

Alt 19.01.2005, 21:16   #7
Makkus
 
IE explorere, auto:blank - Icon17

IE explorere, auto:blank



@Chaosman!

Ich habe die Anleitung von Lutz gefunden und habe 015 ... eliminiert. Leider erscheint die besagte Seite direkt nach dem Neustart vom IE weider. Es öffnen sich automatisch weitere Seiten...
Ich poste noch einmal meinen escan mit allen Dateien (nicht nur infected) und einen aktuelles HijackThis log.

Vielleicht fällt Dir noch etwas gutes ein.
Gruß Makkus

File C:\WINDOWS\csback.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\SYSTEM\winmsdc.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\_huytam_java.exe infected by "Trojan-Dropper.Win32.Small.ov" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\snnpapi.exe infected by "Trojan-Clicker.Win32.Small.co" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\Z5LRJ40A\t-6735[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\winmsdc.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\_huytam_java.exe infected by "Trojan-Dropper.Win32.Small.ov" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\snnpapi.exe infected by "Trojan-Clicker.Win32.Small.co" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\Temporary Internet Files\Content.IE5\Z5LRJ40A\t-6735[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\csback.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Win98se\win98\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Win98se\win98\ols\aol\aol40de.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Alt 19.01.2005, 21:18   #8
Makkus
 
IE explorere, auto:blank - Icon17

HijackThis Teil 1



Logfile of HijackThis v1.99.0
Scan saved at 21:06:34, on 19.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVAE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ROXIO\WINONCD 5 PE\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\DIT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\DITEXP.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSESCN.EXE
C:\PROGRAMME\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAMME\ALURIA SOFTWARE\ASE\ASE SCHEDULER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSRTE.EXE
C:\EIGENE DATEIEN\MARKUS\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG

Alt 19.01.2005, 21:19   #9
Makkus
 
IE explorere, auto:blank - Icon17

HijackThis Teil 2



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {252DFDC3-4929-4AB2-BA76-8A4F19B93763} - C:\WINDOWS\SYSTEM\MSWLK.DLL
O2 - BHO: (no name) - {85644A96-36DD-4982-B351-159C8169EF53} - C:\WINDOWS\SYSTEM\MSWLK.DLL
O2 - BHO: (no name) - {1BC4A3A5-1C0E-41EE-9971-26E5DD77EBBB} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAMME\MCAFEE.COM\VSO\MCVSSHL.DLL
O3 - Toolbar: Cooxie - {DC99E960-6594-45e3-9D5D-141D825B8096} - C:\PROGRAMME\COOXIE TOOLBAR\PRVCBAND.DLL
O3 - Toolbar: (no name) - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\MCAFEE.COM\SHARED\MCAPPINS.EXE /v=3 /cleanup
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: STARTCS4.EXE
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.178,69.31.80.244
O18 - Filter: text/html - {0B88AA92-D497-443D-9141-7571FE380D9C} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O18 - Filter: text/plain - {0B88AA92-D497-443D-9141-7571FE380D9C} - C:\WINDOWS\SYSTEM\MCICDB.DLL

Alt 19.01.2005, 22:48   #10
Cidre
Administrator, a.D.
 
IE explorere, auto:blank - Standard

IE explorere, auto:blank



Lösche die von eScan beanstandeten Dateien im abgesicherten Modus und ebenso diese:

C:\WINDOWS\SYSTEM\MSWLK.DLL
C:\WINDOWS\SYSTEM\MSWLK.DLL
C:\WINDOWS\SYSTEM\MCICDB.DLL

Fixe diese Einträge:

Alle R0 und R1
O2 - BHO: (no name) - {252DFDC3-4929-4AB2-BA76-8A4F19B93763} - C:\WINDOWS\SYSTEM\MSWLK.DLL
O2 - BHO: (no name) - {85644A96-36DD-4982-B351-159C8169EF53} - C:\WINDOWS\SYSTEM\MSWLK.DLL
O2 - BHO: (no name) - {1BC4A3A5-1C0E-41EE-9971-26E5DD77EBBB} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O3 - Toolbar: (no name) - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O4 - Startup: STARTCS4.EXE Was ist das?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O18 - Filter: text/html - {0B88AA92-D497-443D-9141-7571FE380D9C} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O18 - Filter: text/plain - {0B88AA92-D497-443D-9141-7571FE380D9C} - C:\WINDOWS\SYSTEM\MCICDB.DLL

- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis posten
__________________
Gruß, Cidre


Alt 19.01.2005, 23:04   #11
Makkus
 
IE explorere, auto:blank - Standard

IE explorere, auto:blank



Vielen Dank erst einmal.
Ich werde mein Glück morgen versuchen und ein neues log posten.

Makkus

P.s. Da ich aus Vorsuicht derzeit den T-online Browser benutze, soll ich trotdem eine neue Startseite im IE vergeben (Extras/Internetoptionen)? Sobald ich den öffne, meldet mir mein McAffe Scan verschiedene Trojaner Attacken ...

Alt 19.01.2005, 23:17   #12
Cidre
Administrator, a.D.
 
IE explorere, auto:blank - Standard

IE explorere, auto:blank



JA, solltest du.
__________________
Gruß, Cidre


Alt 20.01.2005, 10:30   #13
Makkus
 
IE explorere, auto:blank - Icon17

IE explorere, auto:blank



@cidre

Hallo, bis jetz macht alles einen ganz guten Eindruck.
Es folgt mein log file.

Makkus

Logfile of HijackThis v1.99.0
Scan saved at 10:28:56, on 20.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVAE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSRTE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ROXIO\WINONCD 5 PE\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\DIT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\WINDOWS\DITEXP.EXE
C:\PROGRAMME\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAMME\MCAFEE.COM\VSO\MCVSESCN.EXE
C:\PROGRAMME\ALURIA SOFTWARE\ASE\ASE SCHEDULER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\EIGENE DATEIEN\MARKUS\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www-proxy.uni-heidelberg.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAMME\MCAFEE.COM\VSO\MCVSSHL.DLL
O3 - Toolbar: Cooxie - {DC99E960-6594-45e3-9D5D-141D825B8096} - C:\PROGRAMME\COOXIE TOOLBAR\PRVCBAND.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.180,195.225.176.31

Alt 20.01.2005, 20:43   #14
Cidre
Administrator, a.D.
 
IE explorere, auto:blank - Standard

IE explorere, auto:blank



Dein Log-File sieht sauber, damit dies aber so bleibt solltest du auch diese Tipps noch beherzigen -> http://www.mathematik.uni-marburg.de...ompromise.html
__________________
Gruß, Cidre


Alt 20.01.2005, 21:01   #15
Makkus
 
IE explorere, auto:blank - Icon17

IE explorere, auto:blank



@ cidre

nochmals vielen dank für deine tips
gibt es für 0-8-15 user wie mich eine brauchbare firewall die verlässlich arbeit
(am besten kostelos zum runterladen)
derzeit benutze ich McAffee virusscan im hintergrund

gruß

makkus

Antwort

Themen zu IE explorere, auto:blank
adobe, bho, boot, dateien, explorer, explorere, file, ftp, hijack, hijackthis, hijjack, internet, internet explorer, log, log file, microsoft, obfuscated, programme, registry, rundll, rundll32.exe, software, spyware, symantec, system, system32, t-online, windows



Ähnliche Themen: IE explorere, auto:blank


  1. Windows Explorere funktioniert nicht mehr - Aufgabenplanung
    Alles rund um Windows - 29.11.2014 (1)
  2. Win 8 Auto. Reparatur Teufelskreis !
    Alles rund um Windows - 23.06.2014 (4)
  3. Das ferngesteuerte Auto
    Nachrichten - 01.08.2013 (0)
  4. nach auto inf. notebookfesplatte in RAW
    Plagegeister aller Art und deren Bekämpfung - 11.08.2011 (4)
  5. Windows-Explorere stürzt dauerd ab
    Log-Analyse und Auswertung - 17.11.2010 (6)
  6. Kaspersky sagt windows explorere versucht ständig eine Datei runterzuladen
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (1)
  7. Auto Protect Scan
    Mülltonne - 06.07.2008 (0)
  8. Internet Explorere öffnet sich automatisch und zeigt Werbungen
    Log-Analyse und Auswertung - 25.06.2008 (5)
  9. Hdd Auto Detection?
    Alles rund um Windows - 20.08.2007 (2)
  10. Auto Protect (mal wieder)
    Log-Analyse und Auswertung - 31.07.2007 (9)
  11. Auto Navigationsgerät
    Netzwerk und Hardware - 05.02.2007 (12)
  12. Explorere verursacht Fehler
    Plagegeister aller Art und deren Bekämpfung - 06.05.2005 (1)
  13. HILFE "Auto:Blank" und "Best of" machen mich fertig, hier mein Escan!!
    Log-Analyse und Auswertung - 09.04.2005 (5)
  14. auto:blank cool web search...
    Log-Analyse und Auswertung - 04.04.2005 (6)
  15. Auto Protect bei NAV 04 ist deaktiviert
    Log-Analyse und Auswertung - 03.01.2005 (1)
  16. auto:blank IE Startseite
    Plagegeister aller Art und deren Bekämpfung - 11.06.2004 (3)
  17. Auto Spion?
    Überwachung, Datenschutz und Spam - 17.09.2003 (4)

Zum Thema IE explorere, auto:blank - Hallo an alle! Ich kämpfe seit ein paar Tagen mit o.g. Problem. Wo auch immer ich mir das eingefangen habe. Ich habe bereits etliche spyware über meinen Rechner laufen lassen, - IE explorere, auto:blank...
Archiv
Du betrachtest: IE explorere, auto:blank auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.