Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacker: about:blank 227(obfuscated)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.03.2005, 12:06   #1
Theo Retisch
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hallo,

Ich habe mir auf meinem Nootebook (Windows 95) einen Hijacker eingefangen und versucht mit HijackThis zu entfernen. Alle Einträge, bei denen am Ende "227(obfuscated)" steht habe ich gefixt.
Dies bringt keine dauerhafte Lösung. Es sieht zunächst so aus, als wenn das Problem gelöst sei, aber nach dem Neustart ist er wieder da.

Unter http://www.trojaner-info.de/anleitun...out_blank.html wird das Programm "SpHjfix.exe" empfohlen. Die dazu gehörige Beschreibung läßt mich hoffen, aber leider ist der Cleaner nur unter Windows98/2000/XP funktionsfähig.

Wer kann mir helfen, das Problem für Windows 95 zu lösen?

Mit dem besten Dank vorab
Theo

Alt 03.03.2005, 13:20   #2
cacatoa
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hi,
fixen im abgesicherten (VGA) Modus!
cacatoa
__________________

__________________

Alt 03.03.2005, 14:07   #3
Theo Retisch
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hi cacatoa,

vielen Dank für die Antwort. Ich habe Hijack This im abgesichterten Modus laufen lassen. Dummerweise zeigt es dann die Einträge auch nicht, damit ich sie fixen kann.

Nach Kontrolle der Startseite des IE zeigt dieser auch noch die richtige Startseite "about:blank" an. Immer noch im abgesicherten Modus.

Im abgesicherten Modus ist also noch nichts passiert oder mache ich irgend etwas falsch, denn so versiert bin ich nicht?

Nach Neustart im normalen Modus war der Übeltäter wieder da. Vielleicht gibt es irgendwelche Wörter nach der ich in der regestry suchen kann?

Ich brauche nochmal Hilfe, vielen Dank
Theo
__________________

Alt 03.03.2005, 14:39   #4
cacatoa
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Nochmal:
Log erstellen im Normal-Modus. Fixen im abgesicherten Modus.
Du kannst auch mal die Option unter "misc tools" probieren: Delete on reboot, machst alle Häkchen, die zu fixen sind, und neu hochfahren.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 04.03.2005, 09:36   #5
Theo Retisch
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hi cacatoa,

danke nochmal, habe log im Normalmodus erstellt und im abesicherten Modus gefixt. Leider hat es nicht geholfen.

Unter "misc tolls" habe ich die Option "Delete on reboot" nicht, so das ich mir erstmal eine neuere Version laden muß.

Bis dahin,
Theo


Alt 04.03.2005, 14:15   #6
Theo Retisch
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hi cacatoa,

ich habe nun alles mit der neuesten Version von HijackThis durchgeführt und auch auf der Homepage http://www.hijackthis.de/ auswerten lassen.

Alles was empfohlen wurde habe ich gefixed. Unklarheiten gibt es bei folgenden Einträgen:

O4 - HKLM\..\Run: [THBRUTL] THBRUTL.EXE
O4 - HKLM\..\Run: [sys] regedit -s sys.reg

Kannst Du Dir etwas darunter vorstellen? Sind es die Übeltäter?

Übrigens kam ich mit "Delete on reboot" nicht zurecht, da keine Häckchen zu setzen waren, sondern nur eine Datei auszuwählen war. Hat mich verunsichert und habe es unterlassen.

Wenn Du mir nochmal hilfst, besten Dank,
Theo

Alt 04.03.2005, 14:31   #7
Lutz
 

Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hi Theo,

poste doch bitte mal das ganze Log von HijackThis.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 04.03.2005, 14:37   #8
Theo Retisch
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hi Lutz,

gern:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:09, on 04.03.2005
Platform: Windows 95 B (Win9x 4.00.1212)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SPOWER.DRV
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PWRSAVE.EXE
C:\WINDOWS\SYSTEM\PSSOUND.EXE
C:\WINDOWS\SYSTEM\PSMFCARD.EXE
C:\WINDOWS\SYSTEM\THBRUTL.EXE
C:\WINDOWS\SYSTEM\THOTKEY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\VPTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\EIGENE DATEIEN\6.DOWNLOAD\HIGHJACKER\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ieiuws.t.muxa.cc/h.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://ieiuws.t.muxa.cc/h.php?aid=227 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://ieiuws.t.muxa.cc/h.php?aid=227 (obfuscated)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [USBDock] Usbdock.drv
O4 - HKLM\..\Run: [PwrSave] PwrSave.Exe
O4 - HKLM\..\Run: [PsSound] PsSound.Exe
O4 - HKLM\..\Run: [PsMFCard] PsMFCard.Exe
O4 - HKLM\..\Run: [THBRUTL] THBRUTL.EXE
O4 - HKLM\..\Run: [THOTKEY] Thotkey.Exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\vptray.exe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\RunServices: [TSPower] spower.drv
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\defwatch.exe
O4 - Startup: Microsoft Office.lnk = c:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00010407-78E1-11D2-B60F-006097C998E7}\misc.exe

In froher Hoffnung,
Theo

Alt 04.03.2005, 14:49   #9
Lutz
 

Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hallo Theo,

ist dies Log von vor oder nach Deiner Überprüfung bei hijackthis.de und deines 'fixens' gewesen?

Ich bin nun in Win95 nicht mehr wirklich sattelfest, aber die ganzen R-Einträge, gehören auf jeden Fall gefixt.

Lt. Google gehört die Datei THBRUTL.EXE zu Win95. Frag mich aber bitte nicht, wofür die gut ist.

Zu O4 - HKLM\..\Run: [sys] regedit -s sys.reg gibt es hier eine recht deutliche Aussage -> http://www.sysinfo.org/startuplist.php?filter=sys.reg

Bevor Du diesen Eintrag fixt, lade Dir zunächst noch das Tool CWShredder herunter -> http://www.intermute.com/spysubtract..._download.html

Der sollte das eigentlich finden und ggf. killen.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 04.03.2005, 15:19   #10
Theo Retisch
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hi Lutz,

danke erstmal für Deinen Rat. Der Log war nach der Überprüfung und vor dem fixen. Am Wochenende werde ich mir CWShredder und Escan aufspielen und hoffe das er sys.reg findet und schreddert ansonsten muß ich ihn manuell fixen.

Der Vollständigkeit halber. Ich habe zu "THBRUTL.EXE" gegoogelt. Die Datei scheint außer mit Win95 auch mit toshiba in Verbindung gebracht zu werden. Klingt zumindest plausibel, da es sich um ein Nootebook dieser Firma handelt. Am Wochenende/-anfang dann mehr.

Schönes Wochenende,
Theo

Alt 04.03.2005, 16:08   #11
Theo Retisch
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hallo Lutz,

es hat mir nun doch keine Ruhe mehr gelassen und ich habe

O4 - HKLM\..\Run: [sys] regedit -s sys.reg

manuell gefixt und es hat geklappt.

Danke nochmal für den Tip!


Theo

Alt 07.03.2005, 10:27   #12
Theo Retisch
 
Hijacker: about:blank 227(obfuscated) - Standard

Hijacker: about:blank 227(obfuscated)



Hallo Lutz,

vielen Dank nochmal für den Tip. Ich habe mir auch den CWShredder heruntergeladen, aber bekomme nach dem Start der exe-Datei die Meldung, dass die OLEACC.DLL fehlt. Hast Du eine Idee, wo ich die bekomme?

Ich habe noch ein anderes Problem. Ich habe mir ClearProg heruntergelden und nach dem Start kommt nicht das Startfenster, aber es läuft im Hintergrund und hört nicht wieder auf. Hats Du dafür auch eine Idee. Auf http://www.clearprog.de/faq.php?prog=ClearProg finde ich keine Antwort.

Danke vorab,
Theo

Antwort

Themen zu Hijacker: about:blank 227(obfuscated)
about, about:blank, beschreibung, beste, besten, bla, blank, cleaner, eingefangen, einträge, entferne, gefangen, gelöst, gen, hijacker, hijackthis, hoffe, lösen, neustart, obfuscated, problem, problem gelöst, programm, träge, versuch, versucht, windows, zunächst



Ähnliche Themen: Hijacker: about:blank 227(obfuscated)


  1. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  2. Werde about:blank hijacker nicht los: könnt Ihr bitte mal mein HJT Log checken?
    Log-Analyse und Auswertung - 24.12.2005 (2)
  3. Hijacker "about blank" !!
    Log-Analyse und Auswertung - 24.07.2005 (21)
  4. Brauche Hilfe about: blank Hijacker
    Log-Analyse und Auswertung - 06.05.2005 (5)
  5. Another about:blank Hijacker
    Log-Analyse und Auswertung - 13.03.2005 (20)
  6. Helft mir bitte wg. Hijacker: about:blank / Search the Web
    Log-Analyse und Auswertung - 12.03.2005 (5)
  7. Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)
    Log-Analyse und Auswertung - 05.02.2005 (9)
  8. About:Blank Hijacker mit Nebenwirkungen
    Log-Analyse und Auswertung - 13.01.2005 (6)
  9. about blank obfuscated
    Plagegeister aller Art und deren Bekämpfung - 18.11.2004 (4)
  10. Hijacker about:blank
    Log-Analyse und Auswertung - 10.11.2004 (5)
  11. Hijacker 'sp.html/about:blank/search for' gelöscht
    Plagegeister aller Art und deren Bekämpfung - 05.09.2004 (3)
  12. Hijacker about:blank - ...\sp.html
    Log-Analyse und Auswertung - 15.08.2004 (7)
  13. Hijacker -> about: blank
    Log-Analyse und Auswertung - 29.06.2004 (10)
  14. Probleme mit Hijacker Startseite: about:blank - ...\sp.html (obfuscated)
    Log-Analyse und Auswertung - 23.06.2004 (1)
  15. Hijacker about:blank - ...\sp.html für Betriebssystem NT
    Plagegeister aller Art und deren Bekämpfung - 03.06.2004 (7)
  16. "about:blank" ein Hijacker?!
    Plagegeister aller Art und deren Bekämpfung - 06.05.2004 (4)

Zum Thema Hijacker: about:blank 227(obfuscated) - Hallo, Ich habe mir auf meinem Nootebook (Windows 95) einen Hijacker eingefangen und versucht mit HijackThis zu entfernen. Alle Einträge, bei denen am Ende "227(obfuscated)" steht habe ich gefixt. Dies - Hijacker: about:blank 227(obfuscated)...
Archiv
Du betrachtest: Hijacker: about:blank 227(obfuscated) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.