Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: suche hilfe gegen "about blank" "only the best"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.02.2005, 08:53   #1
gid
 
suche hilfe gegen "about blank" "only the best" - Standard

suche hilfe gegen "about blank" "only the best"



hi,

computer-allergiker braucht dringend hilfe. habe ein nerviges "only the best"-popup und eine internet explorer einstiegsseite "about blank", die ich nicht korrigieren kann.

habe versucht anhand der angaben zu ähnlichen problemfällen im forum mit escan und HijackThis das problem zu entfernen. bisher erfolglos.

hier der aktuelle log:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\cdplayer.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe
C:\Programme\Dell AIO Printer A920\dlbkbmon.exe
C:\WINNT\system32\cryf.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINNT\ntel.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\tvfuj.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\tvfuj.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\tvfuj.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\tvfuj.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\tvfuj.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\tvfuj.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\tvfuj.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {38FA6509-BE21-7848-BD9F-8CA22B4CB538} - C:\WINNT\iedc32.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [cryf.exe] C:\WINNT\system32\cryf.exe
O4 - HKLM\..\RunOnce: [ntel.exe] C:\WINNT\ntel.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8E74C34-E5C3-4776-B06A-DA30D96EE8B2}: NameServer = 160.45.10.12,160.45.8.8,130.133.1.157
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = zedat.fu-berlin.de,fu-berlin.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = zedat.fu-berlin.de,fu-berlin.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = zedat.fu-berlin.de,fu-berlin.de
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

für jede hilfe dankbar, gid

Alt 23.02.2005, 09:01   #2
Lutz
 

suche hilfe gegen "about blank" "only the best" - Standard

suche hilfe gegen "about blank" "only the best"



Moin,

da sind mindestens 2 Verdächtige Prozesse:
Zitat:
C:\WINNT\system32\cryf.exe
C:\WINNT\ntel.exe
Überprüfe die mal hier -> http://virusscan.jotti.org/ oder noch besser:
Mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________

__________________

Alt 23.02.2005, 15:39   #3
gid
 
suche hilfe gegen "about blank" "only the best" - Standard

suche hilfe gegen "about blank" "only the best"



Zitat:
Zitat von Lutz
Moin,

da sind mindestens 2 Verdächtige Prozesse:


Überprüfe die mal hier -> http://virusscan.jotti.org/ oder noch besser:
Mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

erstmal vielen dank für die schnelle antwort, auch wenn ich erst jetzt zur bearbeitung komme.

cryf.exe hatte ich gestern auch in verdacht, wird auch von mcafee virusscan angezeigt. von escan allerdings weder gestern noch heute als infiziert gekennzeichnet.
der restliche escan-log folgt hier:
File C:\WINNT\iedc32.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
File C:\WINNT\ntel.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\apprf32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\tvfuj.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SetupEstimateS700Win.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\ZippedSetupEstimates700Win\SetupEstimateS700Win.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\ZippedSetupEstimates700Win\ZippedSetupEstimates700Win.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SetupEstimateS700Win.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\ntel.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\apprf32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\tvfuj.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.

Estimates700 ist ein programm was ich schon seit einiger zeit ohne probleme nutze und nur ungern löschen würde. aber den rest einfach löschen?

gruß, gid
__________________

Alt 23.02.2005, 15:50   #4
Lutz
 

suche hilfe gegen "about blank" "only the best" - Standard

suche hilfe gegen "about blank" "only the best"



Ich habe es befürchtet...

Zitat:
Zitat von gid
File C:\WINNT\system32\apprf32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Bei einem derartigen Trojaner wird Dir hier Format C: empfohlen, um wieder ein vertrauenswürdiges System herzustellen. Sorry, aber einen anderen Rat kann ich Dir nicht geben.

Halte Dich am Besten an diese Anweisung:

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

Estimates700 ist imho unbedenklich, kannst Du nach dem Formatieren wieder installieren. Es wurde nur die Reboot-Funktion der Datei SetupEstimateS700Win.exe durch eScan bemängelt. Dies ist nicht kritisch.

Da eScan die Datei cryf.exe nicht als kritisch einschätzt, sende diese doch bitte per mail an Kaspersky. Adresse = newvirus@kaspersky.com Dort wird die Datei überprüft und ggf. in die künftigen Signaturen übernommen. eScan nutzt die gleichen Definitionen wie Kaspersky.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Geändert von Lutz (23.02.2005 um 15:58 Uhr) Grund: nicht funktionierende Links aktualisiert...

Alt 23.02.2005, 15:57   #5
gid
 
suche hilfe gegen "about blank" "only the best" - Standard

suche hilfe gegen "about blank" "only the best"



Zitat:
Zitat von Lutz
Ich habe es befürchtet...



Bei einem derartigen Trojaner wird Dir hier Format C: empfohlen, um wieder ein vertrauenswürdiges System herzustellen. Sorry, aber einen anderen Rat kann ich Dir nicht geben.
trotzdem danke (aus fehlern lernt man - hoffentlich), gruß, gid


Antwort

Themen zu suche hilfe gegen "about blank" "only the best"
about blank, adobe, bho, dateien, dringend, escan, excel, explorer, hijack, hijackthis, internet, internet explorer, log, microsoft, nvcpl.dll, nvidia, pdf, programme, rundll, rundll32.exe, software, suche, suche hilfe, system, system32, temp, urlsearchhook



Ähnliche Themen: suche hilfe gegen "about blank" "only the best"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  4. Windows 8 / IE 10.0.9 : alte "dieStartseite" ist gegen "sm.de" - die Suchmaschine getauscht-Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2013 (1)
  5. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  6. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  7. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  8. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  9. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  10. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  11. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  12. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  13. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  14. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  15. "about:blank" sowie "Security Alert"
    Log-Analyse und Auswertung - 12.06.2006 (1)
  16. HILFE "Auto:Blank" und "Best of" machen mich fertig, hier mein Escan!!
    Log-Analyse und Auswertung - 09.04.2005 (5)
  17. Hilfe bei "Cydoor" - ändert Startseite in "blank" ab. Bitte um Hilfe
    Log-Analyse und Auswertung - 04.02.2005 (6)

Zum Thema suche hilfe gegen "about blank" "only the best" - hi, computer-allergiker braucht dringend hilfe. habe ein nerviges "only the best"-popup und eine internet explorer einstiegsseite "about blank", die ich nicht korrigieren kann. habe versucht anhand der angaben zu ähnlichen - suche hilfe gegen "about blank" "only the best"...
Archiv
Du betrachtest: suche hilfe gegen "about blank" "only the best" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.