Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Another about:blank Hijacker

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.03.2005, 17:31   #1
Black Duck
 
Another about:blank Hijacker - Ausrufezeichen

Another about:blank Hijacker



Grüßt euch !!

Ich verfolge die Meldungen auf diesem Board schon eine ganze weile und muß sagen : Rrrespekt und sämtliche Hüte vor den Admins und ihren Helfern ab !

Endlich darf ich auch mal eine Meldung hier herreinstellen,da mich ein ziemlich zäher Pursche erwischt hat. Jedesmal wenn ich den IE öffne,dann bekomme ich in der URL about:blank angezeigt und lande bei einer ominösen Suchmachine. Hab das Teil schon seit 2 Wochen drauf,finde aber leider nun erst die Zeit hier was zu posten.

Mein Problem ist,daß ich dieses Ding leider nicht loswerde,denn jedes mal wenn ich Spybot,Kaspersky,Microsoft`s Antispywareteil UND HijackThis rüberrennen lasse (das selbe im abgesichertem Modus) dann bekomme ich das Teil wunderbar angezeigt,kann es auch löschen,doch beim zweiten Scan danach ist es auf wundersame weise wieder da. Hat fast den Anschein,daß meine Registry schreibgeschützt ist ( oder das Programm diese an bestimmter Stelle verändert hat ). Er scheint sich auch irgendwie vor HijackThis zu verstecken,denn die neueren Versionen von Hijack zeigen mir nach einem Scann garnüscht an. Auch E-Scan hat nichts geholfen. Die Beta6 von der ihr sprecht hab ich auch schon rüberrennen lassen,sagt mir aber,daß ich frei von allem bin. Wenn die wüßte.....

So,nun kommen noch die Logs und dann raufe ich mir die Haare und harre dem was kömmt.

LOGS:

Logfile of HijackThis v1.99.1
Scan saved at 15:43:58, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OfficeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1034_EN_XP.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106544256625
O16 - DPF: {9EAC0186-5F5A-4362-B120-15C312CE012D} - http://www.awmdabest.com/cabl/987/tb.cab
O23 - Service: ewido security suite control - ewido networks - d:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe

und die Startuplist :

StartupList report, 11.03.2005, 15:51:27
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
KAVPersonal50 = D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
gcasServ = "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
UpdReg = C:\WINDOWS\UpdReg.EXE

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\system32\dllcache\notepad.exe %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\System32\msasmsn7.dll (file missing) - {0E234239-88FF-11D2-8446-D7234234421F}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = d:\Programme\QuickTime\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[{11111111-1111-1111-1111-111111113457}]
CODEBASE = file://c:\explorer.cab

[YInstStarter Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\yinsthelper.dll
CODEBASE = http://download.yahoo.com/dl/yinst/yinst_current.cab

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeup...ntent/opuc.cab

[{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}]
CODEBASE = http://download.mcafee.com/molbin/sh...3/mcinsctl.cab

[EGEGAUTH Class]
InProcServer32 = C:\WINDOWS\eg_auth_mut03.dll
CODEBASE = http://akamai.downloadv3.com/binarie...1034_EN_XP.cab

[{62475759-9E84-458E-A1AB-5D2C442ADFDE}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.co...?1106544256625

[{9EAC0186-5F5A-4362-B120-15C312CE012D}]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\tb.dll
CODEBASE = http://www.awmdabest.com/cabl/987/tb.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.co...010.1441898148

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart)
Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Aspi32: System32\drivers\aspi32.sys (autostart)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
EIO: \??\C:\WINDOWS\system32\drivers\EIO.sys (autostart)
ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
ewido security suite control: d:\Programme\ewido\security suite\ewidoctrl.exe (autostart)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
HID Input Service: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
kavsvc: D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (autostart)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
NVIDIA Display Driver Service: %SystemRoot%\System32\nvsvc32.exe (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
RPC+ Service Provider: C:\WINDOWS\System32\rpcss_pl.exe (autostart)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (autostart)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Upload-Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 10.595 bytes
Report generated in 0,344 seconds

Dies ist ein kleiner Bonus den mir Hijack beim Start eines Scanns immer ausgibt.Sowohl im normalen Modus und auch im abgesichertem:

An unexpected error has occurred at procedure: modMain_FixUNIXHostsFile()
Error #75 - Fehler beim Zugriff auf Pfad/Datei

HijackThis version: 1.99.1

und als letztes um Kasten hier dicht zu bekommen auch noch das StartDreck.log,wobei man Dreck wohl wörtlich nehmen kann bei meinem Problem.

StartDreck (build 2.1.7 public stable) - 2005-03-11 @ 16:42:43 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Black Duck at KRISCHAN

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
*KAVPersonal50=D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
*gcasServ="C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
*UpdReg=C:\WINDOWS\UpdReg.EXE
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="D:\Programme\Spybot - Search & Destroy\blindman.exe" "%1"
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\system32\dllcache\notepad.exe %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*{0E234239-88FF-11D2-8446-D7234234421F}
`InprocServer32=C:\WINDOWS\System32\msasmsn7.dll
»Files
»Autostart Folders
»Current User
»Default User
*C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check 2.lnk
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\System32\config.nt
*C:\WINDOWS\wininit.ini
*C:\WINDOWS\System32\drivers\etc\hosts
»System/Drivers
»Running Processes
+0=<idle>

Geändert von Black Duck (11.03.2005 um 17:49 Uhr)

Alt 11.03.2005, 17:35   #2
Yopie
Moderator, a.D.
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Zitat:
Zitat von Black Duck
Ich verfolge die Meldungen auf diesem Board schon eine ganze weile und muß sagen : Rrrespekt und sämtliche Hüte vor den Admins und ihren Helfern ab !

Endlich darf ich auch mal eine Meldung hier herreinstellen,da mich ein ziemlich zäher Pursche erwischt hat. Jedesmal wenn ich den IE öffne,dann bekomme ich in der URL about:blank angezeigt und lande bei einer ominösen Suchmachine.
Wenn Du wirklich schon eine Weile hier mitliest, dann würdest Du den IE nur zum Updaten nutzen und ansonsten möglichst verbannen.

Ansonsten: Poste Logfile HJT und eScan (ok, zumindest HJT ist ja jetzt da. )

Gruß
Yopie
__________________


Alt 11.03.2005, 17:40   #3
Yopie
Moderator, a.D.
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Zitat:
Zitat von Black Duck
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Du liest hier schon länger mit, und trotzdem ist Dein BS nicht up-to-date?

Zitat:
Zitat von Black Duck
C:\WINDOWS\System32\rpcss_pl.exe
Mmmh... Malware? http://virusscan.jotti.org/
Evtl. vorher den Prozess beenden.

Hast Du das HJT-Log im normalen oder im abgesicherten Modus erstellt? Kommt mir so kurz vor.

Gruß
Yopie
__________________

Alt 11.03.2005, 18:06   #4
Black Duck
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Grüß dich Yopie !

Nich böse sein,aber mit dem SP2 konnte ich mich noch nicht so richtig anfreunden,da einige in meinem Freundeskreis diverse Probleme mit einigen Programmen unter SP2 hatten.
Ok,beim IE hast mich natürlich voll erwischt,geb ich zu,ich liebäugle aber schon seit längerer Zeit mit dem Feuerfuchs.

Meine Logs wurden allesamt im abgesichertem Modus erstellt,nur bekomme ich immer ein Timeout von dieser Webseite wenn ich den Rest von den Logs posten möchte,doch es geht noch weiter nach "idle".

Die rpcss_pl.exe kam mir auch schon schleierhaft vor,hatte ich schonmal unter google eingegeben und auch hier danach gesucht.

Gruß ,Krisch

Alt 11.03.2005, 19:00   #5
raman
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Hi Black Duck;

Es waere nett, wenn du folgende Dateien an virus(at)rokop-security.de schicken koenntest:

c:\explorer.cab
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\System32\DRIVERS\bootcom.sys

__________________
MfG Ralf

Alt 11.03.2005, 19:04   #6
raman
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Kleiner Nachtrag:

Wenn du das auch noch finden solltest, schicke es bitte auch. Nur um zu sehen, welche Kaspersky von den Dateien schon gekickt hat.

C:\WINDOWS\System32\perfcl.exe
C:\WINDOWS\System32\msamsn1.dll
C:\WINDOWS\System32\msamsn2.dll
C:\WINDOWS\System32\msamsn3.dll
C:\WINDOWS\System32\msamsn4.dll
C:\WINDOWS\System32\msamsn5.dll
C:\WINDOWS\System32\msamsn6.dll
C:\WINDOWS\System32\msamsn7.dll
C:\WINDOWS\System32\msamsn8.dll
C:\WINDOWS\System32\msamsn9.dll
C:\WINDOWS\System32\msxxabt1.dll
C:\WINDOWS\System32\msxxabt2.dll
C:\WINDOWS\System32\msxxabt3.dll
C:\WINDOWS\System32\msxxabt4.dll
C:\WINDOWS\System32\msxxabt5.dll
C:\WINDOWS\System32\msxxabt6.dll
C:\WINDOWS\System32\msxxabt7.dll
C:\WINDOWS\System32\msxxabt8.dll
C:\WINDOWS\System32\msxxabt9.dll
C:\WINDOWS\System32\wuactl1.exe
C:\WINDOWS\System32\wuactl2.exe
C:\WINDOWS\System32\wuactl3.exe
C:\WINDOWS\System32\wuactl4.exe
C:\WINDOWS\System32\wuactl5.exe
C:\WINDOWS\System32\wuactl6.exe
C:\WINDOWS\System32\wuactl7.exe
C:\WINDOWS\System32\wuactl8.exe
C:\WINDOWS\System32\wuactl9.exe
C:\WINDOWS\System32\wauctlxp1.exe
C:\WINDOWS\System32\wauctlxp2.exe
C:\WINDOWS\System32\wauctlxp3.exe
C:\WINDOWS\System32\wauctlxp4.exe
C:\WINDOWS\System32\wauctlxp5.exe
C:\WINDOWS\System32\wauctlxp6.exe
C:\WINDOWS\System32\wauctlxp7.exe
C:\WINDOWS\System32\wauctlxp8.exe
C:\WINDOWS\System32\wauctlxp9.exe
__________________
--> Another about:blank Hijacker

Alt 11.03.2005, 20:13   #7
Black Duck
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



HI raman,

hab mich nun auf der anderen Seite registriert,aber wo und an wen soll ich die dateien schicken wenn ich danach gescannt habe ?

Gruß & schönen Abend,

Krisch

Alt 11.03.2005, 20:32   #8
raman
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Nimm virus@rokop-security.de . Den Hijacker den du dir dda eingefangen hast ist etwas schwerer zu entfernen. Auf diversen Engliscsprachigen Seiten gibt es schon Loesungsansaetze dazu.
__________________
MfG Ralf

Alt 11.03.2005, 20:35   #9
Black Duck
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



MERCY !

werde aber morgen damit weitermachen,denn meine Frau zerrt mich hier gerade vom Rechner.

Dank Dir,erstmal !

Alt 12.03.2005, 09:35   #10
Black Duck
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Moin moin ,

würde ja gerne wie verlangt das EScan Log posten,aber das Teil ist ja hammerartig groß und das obwohl ich nur C gescannt habe.
Ich bezweifle das auch,daß ich das upgeloaded bekomme,bevor ich hier von der Seite ein Timeout bekomme.

Gruß,Krisch

Alt 12.03.2005, 09:47   #11
Cidre
Administrator, a.D.
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Hallo @Black Duck,

Zitat:
EScan Log posten,aber das Teil ist ja hammerartig groß
Poste nur die relevanten Infos der Virus Log Information:

Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________
Gruß, Cidre


Alt 12.03.2005, 10:00   #12
Black Duck
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Grrüß dich Cidre,

hab mal so suchen lassen wie du vorgabst und bei *tagged* findet er garnichts und bei *infected* springt er nur ganz nach unten wo dann folgendes steht :
Fri Mar 11 20:47:14 2005 => ***** Scanning complete. *****

Fri Mar 11 20:47:14 2005 => Total Files Scanned: 26077
Fri Mar 11 20:47:14 2005 => Total Virus(es) Found: 0
Fri Mar 11 20:47:14 2005 => Total Disinfected Files: 0

Alt 12.03.2005, 10:04   #13
Cidre
Administrator, a.D.
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Zitat:
Fri Mar 11 20:47:14 2005 => Total Files Scanned: 26077
Das sind eindeutig zu wenig gescannte Dateien, du musst nach dem Programmstart die Haken richtig setzen.
Führe deshalb eScan AntiVirus nochmals im abgesicherten Modus nach Anleitung aus und poste dann die Infos.
__________________
Gruß, Cidre


Alt 12.03.2005, 14:44   #14
Black Duck
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



Mahlzeit !!

nun ist EScan endlich durch,war aber nicht so richtig ergiebig:

at Mar 12 11:01:57 2005 => File D:\Programme\Alcohol Soft\Alcohol 120
\Alcohol_1.4.114_Patch.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action

Sat Mar 12 13:30:45 2005 => ***** Scanning complete. *****

Sat Mar 12 13:30:45 2005 => Total Files Scanned: 72531
Sat Mar 12 13:30:45 2005 => Total Virus(es) Found: 1
Sat Mar 12 13:30:45 2005 => Total Disinfected Files: 0
Sat Mar 12 13:30:45 2005 => Total Files Renamed: 0
Sat Mar 12 13:30:45 2005 => Total Deleted Files: 0
Sat Mar 12 13:30:45 2005 => Total Errors: 74
Sat Mar 12 13:30:45 2005 => Time Elapsed: 03:04:05
Sat Mar 12 13:30:45 2005 => Virus Database Date: 2005/03/07
Sat Mar 12 13:30:45 2005 => Virus Database Count: 120636

Sat Mar 12 13:30:45 2005 => Scan Completed.

bei der rpcss_pl.exe hab ich ein problem,kann sie nicht beenden im Taskmanager,sie startet sowohl im normalen als auch im abgesichertem Modus,läßt sich ergo auch nicht kopieren. Taskmanager sagt ,mir: vorgang konnte nicht beendet werden---> zugriff verweigert,in beiden Modi.
die wauctlxp4.exe ( die bei den Dateien mit aufgelistet wurde) startet ausserdem immer mit Windows mit.
Die anderes Sachen sind in Arbeit und ich werde sie nach Möglichkeit an virus@rokop-security.de schicken,vorausgesetzt ich bekomme zugriff und kann sie kopieren.

Gruß aus Hamburg (mit Schietwetter)

Alt 12.03.2005, 16:56   #15
Black Duck
 
Another about:blank Hijacker - Standard

Another about:blank Hijacker



C:\WINDOWS\System32\perfcl.exe nicht vorhanden
C:\WINDOWS\System32\msamsn1.dll nicht vorhanden
C:\WINDOWS\System32\msamsn2.dll nicht vorhanden
C:\WINDOWS\System32\msamsn3.dll nicht vorhanden
C:\WINDOWS\System32\msamsn4.dll nicht vorhanden
C:\WINDOWS\System32\msamsn5.dll nicht vorhanden
C:\WINDOWS\System32\msamsn6.dll kann nicht kopiert werden,zugriff

verweigert
C:\WINDOWS\System32\msamsn7.dll kann nicht kopiert werden,zugriff

verweigert

C:\WINDOWS\System32\msamsn8.dll nicht vorhanden
C:\WINDOWS\System32\msamsn9.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt1.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt2.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt3.dll vorhanden,wurde nach roskop-security

geschickt
C:\WINDOWS\System32\msxxabt4.dll vorhanden,wurde nach roskop-security

geschickt

C:\WINDOWS\System32\msxxabt5.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt6.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt7.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt8.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt9.dll nicht vorhanden
C:\WINDOWS\System32\wuactl1.exe nicht vorhanden
C:\WINDOWS\System32\wuactl2.exe nicht vorhanden
C:\WINDOWS\System32\wuactl3.exe nicht vorhanden
C:\WINDOWS\System32\wuactl4.exe nicht da

C:\WINDOWS\System32\wuactl5.exe nicht vorhanden
C:\WINDOWS\System32\wuactl6.exe nicht vorhanden
C:\WINDOWS\System32\wuactl7.exe nicht vorhanden
C:\WINDOWS\System32\wuactl8.exe nicht vorhanden
C:\WINDOWS\System32\wuactl9.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp1.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp2.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp3.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp4.exe wurde kopiert
C:\WINDOWS\System32\wauctlxp5.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp6.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp7.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp8.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp9.exe nicht vorhanden

explorer.cab wird nicht gefunden und an die bootcom.sys komme ich auch nicht ran

Gruß,Krisch

Antwort

Themen zu Another about:blank Hijacker
afd.sys, association, bho, black, browser, c:\windows\system32\rundll32.exe, ctfmon.exe, desktop, drivers, einstellungen, error, excel, fehler, file missing, helper, hijack, hijackthis, iexplore.exe, installation, internet, internet explorer, kaspersky, notepad.exe, nvcpl.dll, outlook express, problem, programm, registry, registry value, rundll, saver, scan, screensaver, security, security suite, service pack 1, shockwave, software, system, userinit.exe, windows, windows xp, windows\system32\drivers, wscript.exe



Ähnliche Themen: Another about:blank Hijacker


  1. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  2. Werde about:blank hijacker nicht los: könnt Ihr bitte mal mein HJT Log checken?
    Log-Analyse und Auswertung - 24.12.2005 (2)
  3. Hijacker "about blank" !!
    Log-Analyse und Auswertung - 24.07.2005 (21)
  4. Brauche Hilfe about: blank Hijacker
    Log-Analyse und Auswertung - 06.05.2005 (5)
  5. about:blank etc
    Log-Analyse und Auswertung - 19.04.2005 (5)
  6. Helft mir bitte wg. Hijacker: about:blank / Search the Web
    Log-Analyse und Auswertung - 12.03.2005 (5)
  7. Hijacker: about:blank 227(obfuscated)
    Log-Analyse und Auswertung - 07.03.2005 (11)
  8. Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)
    Log-Analyse und Auswertung - 05.02.2005 (9)
  9. About:Blank Hijacker mit Nebenwirkungen
    Log-Analyse und Auswertung - 13.01.2005 (6)
  10. Hijacker about:blank
    Log-Analyse und Auswertung - 10.11.2004 (5)
  11. Hijacker 'sp.html/about:blank/search for' gelöscht
    Plagegeister aller Art und deren Bekämpfung - 05.09.2004 (3)
  12. Hijacker about:blank - ...\sp.html
    Log-Analyse und Auswertung - 15.08.2004 (7)
  13. Hijacker -> about: blank
    Log-Analyse und Auswertung - 29.06.2004 (10)
  14. Probleme mit Hijacker Startseite: about:blank - ...\sp.html (obfuscated)
    Log-Analyse und Auswertung - 23.06.2004 (1)
  15. Hijacker about:blank - ...\sp.html für Betriebssystem NT
    Plagegeister aller Art und deren Bekämpfung - 03.06.2004 (7)
  16. "about:blank" ein Hijacker?!
    Plagegeister aller Art und deren Bekämpfung - 06.05.2004 (4)

Zum Thema Another about:blank Hijacker - Grüßt euch !! Ich verfolge die Meldungen auf diesem Board schon eine ganze weile und muß sagen : Rrrespekt und sämtliche Hüte vor den Admins und ihren Helfern ab ! - Another about:blank Hijacker...
Archiv
Du betrachtest: Another about:blank Hijacker auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.