Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: about:blank

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.05.2004, 16:31   #31
Lutz
 

about:blank - Beitrag

about:blank



Zumindest die in den chronicles aufgeführte 'Urversion' von searchx würde ich nach allem, was ich bisher weiß auch ausschließen. Entweder eine abartige Mutation oder etwas ganz neues...

Was wir jetzt brauchen ist den Aufruf/Start oder meinetwegen auch die Initialisierung der dll. Die muss doch irgendwoher kommen... [img]redface.gif[/img]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 12.05.2004, 16:43   #32
Mäc
 
about:blank - Beitrag

about:blank



Hab' jetzt doch mal eine Textsuche nach searchx gemacht und siehe da - neben der BHO-DLL ist noch eine weitere aufgetaucht: Bocioba.dll... Hab' mal gegoogelt - no success! Habe jetzt beide DLLs nach .old umbenannt (die BHO-DLL über Freigabe auf einem entfernten Rechner). Ich mach' jetzt Feierabend. Morgen ist ein neuer Tag!
__________________


Alt 13.05.2004, 09:35   #33
Mäc
 
about:blank - Ausrufezeichen

about:blank



Moin,

heute Morgen war nach Hochfahren meiner Arbeitskiste Schweigen im Walde - soll heißen, kein about:blank-Problem mehr. HijackThis zeigte auch keine Einträge der BHO-DLL mehr. Bin dann mal zur umbenannten BHO-DLL und plötzlich erkannte McAfee selbige als Trojaner StartPage-CZ und hat sie gelöscht (wahrscheinlich durch ein automatisches Viren-Update?)! [img]graemlins/daumenhoch.gif[/img] Die Bocioba.dll ist ebenfalls still - hab' sie jetzt auch gelöscht.

So, jetzt werde ich die Registry-Einträge wieder zurücksetzen und abwarten...
__________________

Alt 13.05.2004, 10:22   #34
Mäc
 
about:blank - Ausrufezeichen

about:blank



Noch'n Zusatz: Scheinbar wird der Trojaner von den verschiedenen Antivirenprogrammen unterschiedlich benamst. Das habe ich beim Googeln gefunden:
"(...) F-Secure Anti-Virus Trojan.Win32.StartPage.gv (3.28 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.gv (6.08 seconds taken)
McAfee VirusScan StartPage-CZ (3.00 seconds taken) (...)"

Dieses Zitat bezieht auf sich ein und die selbe DLL. Also scheint StartPage-CZ = Trojan.Win32.StartPage.gv... [img]graemlins/balla.gif[/img]

[ 13. Mai 2004, 14:52: Beitrag editiert von: Mäc ]

Alt 13.05.2004, 10:54   #35
Mäc
 
about:blank - Icon30

about:blank



Soeben hat McAfee StartPage-CZ wieder gemeldet und gleich gelöscht - für mich ist der Fall also damit wohl erledigt. [img]graemlins/huepp.gif[/img] War wohl doch eine automatische Virenupdate-Definition, die das Problem endgültig gelöst hat... Nichtsdestotrotz war das Bearbeiten der Sicherheitseinstellungen der entsprechenden Registry-Einträge ein Workaround, mit dem ich hätte leben können. Wann ändert man schon mal diese Settings...!?

War mir 'ne Freude, hier etwas beitragen zu können...


Alt 13.05.2004, 11:03   #36
Lutz
 

about:blank - Beitrag

about:blank



Hallo Mäc,

</font><blockquote>Zitat:</font><hr />Soeben hat McAfee StartPage-CZ wieder gemeldet und gleich gelöscht</font>[/QUOTE]Kannst Du nachvollziehen, ob das während des Surfens auf einer 'bösen' Seite passierte, oder 'einfach so'. Bei letzterem habe ich den Verdacht, dass trotz McAfee vielleicht doch noch Reste auf Deinem System schlummern.
Aber Du weißt ja, 'wir' arbeiten an einer Lösung...

</font><blockquote>Zitat:</font><hr /> War mir 'ne Freude, hier etwas beitragen zu können... </font>[/QUOTE]Mir auch! [img]smile.gif[/img]
__________________
--> about:blank

Alt 13.05.2004, 11:13   #37
Mäc
 
about:blank - Beitrag

about:blank



Hm, das passierte "einfach so". Der IE lief zwar, hab' aber gerade nix drin gemacht... McAfee zeigte mir die BHO-DLL an, den IE-Cache und noch 'ne Datei (sorry, weiß nicht mehr welche, aber wie ich StartPage-CZ mittlerweile kenne, meldet er sich bestimmt noch mal... ).

Ich beobachte weiter und berichte dann ggf.

Alt 13.05.2004, 11:24   #38
Lutz
 

about:blank - Beitrag

about:blank



Du könntest mir -oder besser uns allen- in der Zwischenzeit noch einen Gefallen tun.
Hier posted Aendru am 12. Mai 2004 um 17:40 Uhr ein paar Reg-Schlüssel, in denen eine verdächtige dll aufgerufen wird. Würdest Du bei Gelegenheit mal nachschauen, ob dort (also bei Dir )auch soetwas vorkommt?

Danke! [img]graemlins/daumenhoch.gif[/img]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 13.05.2004, 11:38   #39
Mäc
 
about:blank - Beitrag

about:blank



Hallo Lutz,

ich poste meine Antwort gleich bei Aendru. Nur so viel: Der HijackThis-Scan von Aendru kommt mir sehr bekannt vor:

</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing)</font>[/QUOTE]Sieht für mich aus wie StartPage-CZ/StartPage.gv: Ersetze den DLL-Namen des BHO durch einen (beliebigen) anderen, dann passt's!

[ 13. Mai 2004, 14:53: Beitrag editiert von: Mäc ]

Alt 13.05.2004, 11:57   #40
Lutz
 

about:blank - Beitrag

about:blank



Hi,

kannst Du bitte mal nachschauen, ob es diese Einträge in Deiner Reg auch gibt (natürlich mit 'Deiner' dll:

</font><blockquote>Zitat:</font><hr />In folgenden Keys fand RegAlyzer den Eintrag wdmbcn.dll (jeweils an Position 000 REG_SZ):

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604

HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5604 </font>[/QUOTE]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 13.05.2004, 12:24   #41
Mäc
 
about:blank - Beitrag

about:blank



Hi Lutz,

Fehlanzeige - diese Registry-Einträge sind bei mir nicht (mehr?) vorhanden.

BTW: HKEY_CURRENT_USER entspricht HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003 - aus historischen Gründen sind etliche Registry-Schlüssel doppelt vorhanden. So ist HKEY_CURRENT_USER immer eine Teilmenge von HKEY_USERS, eben einer dieser S-1-...-Schlüssel. Jeder User hat einen eigenen HKEY_CURRENT_USER-Ast (logo ), der einem dieser S-1-...-Schlüssel entspricht.

[ 13. Mai 2004, 12:32: Beitrag editiert von: Mäc ]

Alt 13.05.2004, 12:57   #42
Lutz
 

about:blank - Beitrag

about:blank



Danke Mäc, dass Du das überprüft hast. [img]graemlins/daumenhoch.gif[/img]
Ich bin im Moment halt auf der Suche nach Parallelitäten bzw. Abweichungen...
Das Tool, was da zur Zeit entwickelt wird, soll ja nicht mit 'heißer Nadel' gestrickt sein und nur manchmal helfen, sondern nach Möglichkeit immer erfolgreich sein bei diesem Sch****-Hijacker.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 13.05.2004, 13:54   #43
Mäc
 
about:blank - Beitrag

about:blank



Keine Ursache Lutz!

Ich wünschte nur, ich hätte bei HijackThis genauer hingesehen und vielleicht auch mal die betroffenen Registry-Schlüssel exportiert und die BHO-DLL gesichert... Aber ich habe HijackThis wegen diesem Trojaner schon so oft täglich angeschmissen (um dann kurz darauf "Freund StartPage-CZ" wieder zu haben), dass ich einfach nur froh war, ihn nun (hopefully) endgültig los zu sein.

Naja, das war sicher nicht der letzte Trojaner, der mir über den Weg läuft...

Alt 13.05.2004, 20:39   #44
jenskueng
 
about:blank - Beitrag

about:blank



Hey Leute

Da ist ja eingiges gelaufen. Von Streitereien zwischen "löaplkjupo.iewrjögmkfla" und "Jopie" bis zur Lösung zum Problem (?) Leider weiss ich nicht ganz so gut Bescheid, wie ihr. Nachdem ich aber alles erdenkliche probiert habe um den "Trojaner" loszuwerden und immer wieder gescheitert bin, wäre ich wahnsinnig an einer Lösung zum Problem interessiert. Kann mit einer von euch weiterhelfen? Lutz, gibt es bald ein Tool für mein Problem?

Danke & Gruss
Jens

Alt 13.05.2004, 21:30   #45
Lutz
 

about:blank - Beitrag

about:blank



</font><blockquote>Zitat:</font><hr />Lutz, gibt es bald ein Tool für mein Problem ? </font>[/QUOTE]Ich hoffe es stark. Das, was ich bisher davon gesehen habe, sieht sehr erfolgversprechend aus, muss aber noch ein bisschen 'feingeschliffen' und natürlich getestet werden...

Wir werden dich -und natürlich alle anderen- auf dem Laufenden halten.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Antwort

Themen zu about:blank
ahnung, antivirus, beiträge, beschäftigt, browser-hijacking, diverse, einträge, entführung, gelöscht, gelöst, geändert, hijack, hijack this, keine ahnung, mehrere, nicht, nicht mehr, norton, problem, problem gelöst, regedit, search, seite, seiten, startseite, suchmaschine, this, unerwünschte, updated, vielen dank, wirklich



Ähnliche Themen: about:blank


  1. about:blank
    Log-Analyse und Auswertung - 18.10.2008 (0)
  2. about:blank
    Plagegeister aller Art und deren Bekämpfung - 24.10.2007 (8)
  3. about:blank ...
    Plagegeister aller Art und deren Bekämpfung - 02.10.2005 (5)
  4. about:blank
    Log-Analyse und Auswertung - 27.09.2005 (2)
  5. about:blank
    Log-Analyse und Auswertung - 23.02.2005 (4)
  6. about:blank
    Log-Analyse und Auswertung - 23.02.2005 (1)
  7. about:blank
    Log-Analyse und Auswertung - 20.02.2005 (3)
  8. about:blank
    Log-Analyse und Auswertung - 12.02.2005 (7)
  9. about:blank
    Log-Analyse und Auswertung - 08.02.2005 (10)
  10. about:blank
    Log-Analyse und Auswertung - 12.12.2004 (30)
  11. about:blank
    Plagegeister aller Art und deren Bekämpfung - 13.11.2004 (1)
  12. about:blank
    Log-Analyse und Auswertung - 24.10.2004 (6)
  13. About blank
    Log-Analyse und Auswertung - 16.10.2004 (2)
  14. about:blank-LOG
    Log-Analyse und Auswertung - 16.08.2004 (5)
  15. about:blank
    Log-Analyse und Auswertung - 14.08.2004 (1)
  16. about:blank
    Log-Analyse und Auswertung - 19.07.2004 (1)
  17. about:blank
    Log-Analyse und Auswertung - 19.07.2004 (2)

Zum Thema about:blank - Zumindest die in den chronicles aufgeführte 'Urversion' von searchx würde ich nach allem, was ich bisher weiß auch ausschließen. Entweder eine abartige Mutation oder etwas ganz neues... Was wir jetzt - about:blank...
Archiv
Du betrachtest: about:blank auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.