Hallo Jens,

DIE Lösung habe ich leider noch nicht, vor allem keine "Knopfdrucklösung". Aber schau Dir in diesem Thread http://www.trojaner-board.de/forum/u...6;t=005301;p=1 mein Post vom 05. Mai 2004 09:11 und folgende an. Da geht es imho um genau das gleiche Problem.
Wenn Du nicht sicher bist, was Du genau fixen musst, poste bitte noch einmal ein aktuelles Log von HijackThis.

ich lese hier immer den Quatsch, daß man den Browser wechseln sollst.
Damit beseitigst Du das Problem nicht und der Trojaner schlummert immer noch auf Deiner Festplatte. Also was soll das????


Die einfachste Lösung ist, Deine Festplatte zu formatieren und Dein System neu aufzuspielen.
Es nützt nichts, er - der Trojaner/ Schädling - kommt immer wieder.

So hätte ich mir fünf Tage Ärger ersparen können, wenn ich gleich formatiert hätte und sämtliche Vorschläge nützen nichts. Einige helfen zwar auf kurze Dauer, aber er ist wieder da.


Also mach ne Radikalkur und formatiere Deinen Rechner und Du hast Ruhe und mach Dir vorher ein Backup mit Norton Ghost z. B., damit das Aufspielen schneller geht und Du nach ca. einer halben Stunde mit einem sauberen System arbeiten kannst.


Aber verschont uns bitte mit der Aussage, den Browser zu wechseln, damit ist das Problem nicht aus der Welt geschafft!!!

Ich habe bemerkt, daß die Seite harmlos ist, aber das Popup wählt sich ins Internet ein...

Ich bin jetzt zum Glück den Plagegeist los und ehe man sich tagelang ärgert und dies und das versucht, einfach die radikalste Lösung nehmen und sei es, daß man nur ein Backup einspielt....


So, schönen Tag noch und ich hoffe, Euch geholfen zu haben, denn es scheint keine wirksame Methode gegen diesen hartnäckigen Plagegeist zu geben...
Modifiziert wurde er am 2.5.!

</font><blockquote>Zitat:</font><hr />Original erstellt von Dibo:
ich lese hier immer den Quatsch, daß man den Browser wechseln sollst.
Damit beseitigst Du das Problem nicht und der Trojaner schlummert immer noch auf Deiner Festplatte. Also was soll das????</font>[/QUOTE]Deinen Sachverstand hast Du ja schon in Deinem ersten Thread hinreichend unter Beweis gestellt.

Natürlich wird durch einen Browserwechsel der Trojaner nicht beseitigt; das ist aber hoffentlich jedem hier klar.

Aber mit einem frühzeitigen Browserwechsel hätte es das Problem gar nicht gegeben! Das soll das, und so einfach ist das!

Und wenn Du den Browser nicht wechselst und/oder Dein Surfverhalten nicht überdenkst, wirst Du über kurz oder lang wieder Probleme bekommen. Komm dann nur nicht wieder an und frag um Hilfe...

Das war jetzt übrigens das zweite Mal, dass Du hier Stuss absonderst, und das bei 5 Postings insgesamt. Respekt!

Gruß
Yopie

toll gebrüllt Löwe...

weißt du, was du mir mit deinem Posting bescheinigst????

"..Deinen Sachverstand hast Du ja schon in Deinem ersten Thread hinreichend unter Beweis gestellt. .."

Was bist Du denn für ein Dreikäsehoch, der sich diese Frechheiten rausnimmt, die du eben verzappt hast???
Wird wohl in deiner Natur liegen, jeden Neuling hier anzupöpeln und auf deine Hilfe verzichte ich liebend gerne!!!

[ 10. Mai 2004, 01:36: Beitrag editiert von: Dibo ]

</font><blockquote>Zitat:</font><hr />Dido:
ich lese hier immer den Quatsch, daß man den Browser wechseln sollst. </font>[/QUOTE] </font><blockquote>Zitat:</font><hr />Dido:
Was bist Du denn für ein Dreikäsehoch... </font>[/QUOTE]Wie man in den Wald hineinruft, ... &lt;- kennst Du sicherlich.

</font><blockquote>Zitat:</font><hr /> Die einfachste Lösung ist, Deine Festplatte zu formatieren und Dein System neu aufzuspielen.
Es nützt nichts, er - der Trojaner/ Schädling - kommt immer wieder. </font>[/QUOTE]Ich denke, Yopie meinte u.a. dies mit 'Sachverstand'. Diese Aussage ist insich unschlüssig.
Natürlich ist es meistens die einfachste Lösung, das System platt zu machen und neu zu installieren. Aber, wenn man sich 'nur' einen BrowserHijacker eingefangen hat, ist dass wie 'mit Kanonen auf Spatzen zu schießen'.
Nur, was nützt die Neuinstallation eines Systems, wenn man dann nachher weiterhin dem Unsicherheitsfaktor Internet-Explorer vertraut?
Ja, genau:
</font><blockquote>Zitat:</font><hr />Es nützt nichts, er - der Trojaner/ Schädling - kommt immer wieder. </font>[/QUOTE]Es hat hier imho niemand geraten, 'nur' den Browser zu wechseln und das 'ge-hijackte' System so zu belassen wie es ist. Es handelt sich immer um Empfehlungen für die Zukunft, um eben nicht wieder so schnell Opfer eines Hijackers zu werden. Und hinter dieser Meinung steht nicht nur der 'Dreikäsehoch' Yopie. Aber natürlich hindert Dich hier niemand daran, Deinen IE weiter zu benutzen.

</font><blockquote>Zitat:</font><hr /> Also mach ne Radikalkur und formatiere Deinen Rechner und Du hast Ruhe und mach Dir vorher ein Backup mit Norton Ghost z. B., damit das Aufspielen schneller geht und Du nach ca. einer halben Stunde mit einem sauberen System arbeiten kannst.</font>[/QUOTE]Wie jetzt?? Ein Image ziehen, den Rechner platt machen und dann anschließend das infizierte System zurückspielen. Das kannst Du unmöglich so gemeint haben...

</font><blockquote>Zitat:</font><hr />Aber verschont uns bitte mit der Aussage, den Browser zu wechseln, damit ist das Problem nicht aus der Welt geschafft!!!</font>[/QUOTE]Mit der von Dir vorgeschlagenen Vorgehensweise auch nicht. Zumindest nicht dauerhaft.

Hallo Lutz,

erstmals Danke, daß Ihr ein Board ins Leben gerufen habt, wo man Hilfe erfahren kann sowie praktische Tipps erhält.

Erstmals vorweg, ich habe Beiträge von Dir lesen können und Du bist nicht ausfallend geworden, wie dieser nette Mensch, der mir Unkenntnisse vorwirft, obwohl ich erst seit kurzem hier registriert bin.

Ich habe in diesem Thread hier noch keine einzige Zeile von ihm lesen können und seine abfällige Bemerkung mir gegenüber soll er mal beweisen und mit Fakten kommen.

Fakt ist, daß alle Lösungsversuche hier fehlgeschlagen sind und es sich um einen hartnäckigen Burschen handelt. Bis keine anständige Lösung getroffen ist, ist doch das Naheliegenste, sein System zu plätten und wieder neu aufzuspielen.

Er disqualifiziert sich selbst mit seiner Aussage, daß ich angeblich keinen Sachverstand besitzen solle. Jeder Privatanweder eines PCs muß in seinem Leben mehrmals seinen Rechner formatieren und das Positive dran ist, daß man sämtlichen Ballast von seiner Platte löscht, auch die sogenannten Dateileichen, die man im Laufe der Zeit einfängt.

Und wenn einfach gesagt wird, daß man den Browser wechseln sollte, so ist das totalst unlogisch! Wenn man gesagt hätte, daß man nach dem Neuaufspielen den Browser wechseln sollte, hätte ich nichts gesagt, aber doch nicht im laufenden Betrieb!!!! Damit umgeht man nur das Problem und wenn das von Unsachkenntnissen zeugt, dann PrositNeujahr!!!

Ich habe bisher noch nichts gefunden, was das Problem der about:blank-Geschichte auf Dauerhaft löst und ehe man sich seine HD weiter zumüllt mit diversen Helferchen, die nicht das tun, was sie eigentlich sollten, mach ich halt kurzen Prozess und habe wenigstens meine Ruhe und muß mir nicht weiterhin den Kopf zermartern, weil die scheiß Search for-Seite mit diesem Popup kommt.

Und außerdem zeugt das auch nur von Unkenntnis, wenn ich gesagt habe, daß die Seite wahrscheinlich harmlos ist, aber daß das anschließende Popupfenster ins Internet will...

Und zu jedem sag ich, der mir angeblich Unwissenheit bescheinigt, daß er als Löwe gut gebrüllt habe. So was habe ich nicht nötig, nur weil ein Fatzke mein, besser Bescheid wissen zu wollen...

Komischerweise, mein System ist jetzt clean und war bis zum 2.5. ebenfalls "clean" und ich wähle nicht den billigsten Weg, einfach den Browser bei noch laufenden! Betrieb zu wechseln, damit ich diese lästige Startseite mit dem noch lästigeren PopUp habe.

[ 10. Mai 2004, 10:23: Beitrag editiert von: Dibo ]

</font><blockquote>Zitat:</font><hr />...aber die bisherigen Lösungen haben doch nichts gefruchtet und das "about:blank-Problem" kam doch immer wieder...</font>[/QUOTE]Ich will Dir 'Deinen' IE gar nicht ausreden. Und ich glaube, dass wollte auch Yopie nicht.
Das Problem ist, dass -nach allem, was ich bisher rund um den Globus dazu gelesen habe- die dafür verantwortliche Lücke immer noch nicht geschlossen ist.

Daher unsere 'Empfehlung',nach dem Bereinigen des Systems (egal, ob nun durch Neuinstallation, oder den Versuch, der schädlichen dll 'habhaft' zu werden und sie zu löschen), auf einen anderen Browser umzusteigen, um eben nicht innerhalb kürzester Zeit das neue System wieder mit diesem Hijacker zu infizieren. Ein Besuch mit dem IE einer entsprechend präparierten Seite im Web reicht dazu nämlich aus.
Da sind Browser wie Mozilla, Firefox, Opera, ... zum Glück bei weitem noch nicht so anfällig.

Ich glaube auch nicht, dass hier jemand 100%ige Sicherheit suggerieren will. Dass man diese niemals erreicht, ist eigentlich jedem klar.

</font><blockquote>Zitat:</font><hr />Original erstellt von Dibo:
"..Deinen Sachverstand hast Du ja schon in Deinem ersten Thread hinreichend unter Beweis gestellt. .."

Was bist Du denn für ein Dreikäsehoch, der sich diese Frechheiten rausnimmt, die du eben verzappt hast???
Wird wohl in deiner Natur liegen, jeden Neuling hier anzupöpeln und auf deine Hilfe verzichte ich liebend gerne!!! </font>[/QUOTE]Was bist Du nur für ein Dreikäsehoch, der sich die Frechheit herausnimmt, gleich im im fünften Beitrag die Ratschläge von im Board geschätzten Usern als 'Quatsch' abzutun.

Und wenn Du mal ein bißchen im Forum stöberst wirst Du feststellen, dass ich in der Regel sehr gerne gerade bei neuen Usern helfe. Warum das bei Dir nicht so ist, liegt nicht an mir. Kannst ja mal in einer stillen Minute drüber nachdenken.

Zu Deiner PM: Trink demnächst lieber erst einen Beruhigungstee, bevor Du so ein Geschreibsel loslässt!

Zu Deinem Sachverstand hat sich ja auch Lutz schon geäußert.

Gruß
Yopie

Was willst du Pimpf eigentlich von mir, hä???

Es wäre besser gewesen, wenn du dich für deine Frechheiten mir gegenüber entschuldigt hättest.

So, das wars, was ich zu sagen hatte und da Lutz mehr Anstand hat als du, verlasse ich dieses Board wieder und wenns geht, lösche ich meinen Account wieder, denn mit solchen eingebildetet Leuten wie dich möchte ich mich nicht einlassen...

Tschüss!

Hi Leute,

auch ich schlage mich schon seit einiger Zeit mit dem "about:blank-Problem" herum - erfolglos. Ich kann leider auf den IE beruflich nicht verzichten und Kiste neu aufsetzen ist zeitlich auch nicht drin. Also werde ich jetzt mal versuchen, den Trojaner (isses einer?) still zu legen [img]graemlins/kloppen.gif[/img] : Er schreibt ja seine Settings nur in HKCU\Software\Microsoft\Internet Explorer\Main und Search. Auffällig ist, dass a) die DLL immer eine andere ist und b) diese nicht existiert. Damit ist jeder Ansatzpunkt erst einmal flöten... Entferne ich die Einstellungen in der Registry mit HijackThis, wird alles wieder brav zurückgesetzt - für den Moment... Jetzt kommt's: Mit regedt32 nehme ich die Sicherheitsberechtigungen für Search ganz raus - der Key ist leer, also nehme ich jede Berechtigung weg. Für Main setze ich die Berechtigungen auf Lesen für alle Benutzer. Ich kann zwar jetzt spontan keine Änderungen z.B. der Startseite mehr vornehmen, aber der Trojaner auch nicht - es sei denn, er ist so schlau und verschafft sich wieder die entsprechenden Rechte. Schaumermal...

[ 13. Mai 2004, 14:47: Beitrag editiert von: Mäc ]

Hallo Mäc und Willkommen an Board,

Deiner Beschreibung entnehme ich, dass Du nicht 'ganz unbedarft' bist, was beispielsweise die Registry angeht... [img]smile.gif[/img]

Schau Dir doch mal bitte diesen Thread im Rokob-Board an: http://www.rokop-security.de/board/i...ndpost&p=33741
Wir 'basteln' da gerade an einer manuellen Lösung. Vielleicht findest Du das eine oder andere bei Dir wieder?!?

Kleiner Nachtrag: Der Trojaner (ich nenn' ihn jetzt einfach mal so) hat sich nun in HKLM\...\Main und Search eingetragen... OK, same procedure as before: HijackThis anschmeißen, dann die Reg-Keys Main und Search (hier gibt's auch standardmäßig Einträge) auf nur Lesen setzen.

Jetzt trägt er zwar immer noch sein BHO (Browser Helper Object) ein - die DLL existiert übrigens doch, heißt nur alle Nase lang anders - aber das nutzt ihm nix (Inshallah!)...

To be continued...

[ 13. Mai 2004, 14:49: Beitrag editiert von: Mäc ]

So Leute, ich glaube mit dem Workaround Registry-Schlüssel auf nur Lesen setzen habe ich erst einmal Ruhe. Aber das wird sich erst in den nächsten Tagen wirklich zeigen...

Dennoch möchte ich den kleinen Stinker ja doch endgültig los werden. Also habe ich mal ein bisschen mit diversen Tools rumgeschnüffelt: Der Process Viewer zeigt mir über Module Usage, dass diese DLL sich nicht nur in den Explorer und IE einklinkt, sondern auch in Outlook (auch so ein Tribut an den Job - zu Hause wird brav mit Opera und Pegasus gearbeitet!) - na super! Aber wer oder was erzeugt immer wieder diese BHO-DLL? Der Dependency Walker u.ä. Tools waren da keine wirkliche Hilfe - die DLL selbst verwendet nur MS-DLLs. Meine laufenden Tasks sind auch alle sauber.

Habe ein bisschen mit dem BHODemon experimentiert. Mit diesem Tool kann man einzelne BHOs deaktivieren. Fragt sich, ob's das bringt, da sich die BHO-DLL ja in kürzester Zeit wieder umbenennt... Ergebnis: BHODemon nutzt nix - die DLL wird einfach ein weiteres Mal mit einer neuen ID geladen... Besser wäre ein Tool, mit dem man gezielt BHOs läd und generell alle anderen verbietet und dann bei Bedarf dann aktivieren kann!

Vielleicht habe ich ja dem einen oder anderen einen Denkanstoß gegeben. Vielleicht hat ja jemand Lust, noch mit dem einen oder anderen Sysinternals-Tool zu schnüffeln...

Für mich war's das jetzt erst einmal für heute...

PS: Danke für Deine Einschätzung, ich sei auch nicht ganz unbedarft, Lutz - ist berufsbedingt...

[ 13. Mai 2004, 14:50: Beitrag editiert von: Mäc ]

Es lässt mir ja doch keine Ruhe...

Jetzt habe ich die DLL mir mal in einem HEX-Editor angeschaut: Habe Verweise auf \drivers\etc\hosts und HKLM\System\CurrentControlSet\Services\Tcpip\Parameters gefunden, sieht aber für mich unverdächtig aus...
Weiterhin sind darin eine SP.HTML und eine GO.GIF eingebettet, die dann die Such-Seite nach Laden von about:blank aufbauen.
Ich glaube aber nicht, dass es sich um CWS.Searchx handelt: http://www.spywareinfo.com/~merijn/c...s.html#searchx - habe keine filter.log gefunden...

Vielleicht sieht ja jemand anderes noch was!?

[ 13. Mai 2004, 14:51: Beitrag editiert von: Mäc ]