Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: about:blank

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.06.2004, 11:41   #1
torixsolosofix
 
about:blank - Beitrag

about:blank



Hallo Leute,
habe ein Problem mit der Startseite about:blank.

Habe hier im Boerd schon einen Beitrag gelesen, komme aber trotzdem nicht zurecht.

Bekomme mit SPhjFix v1.07 immer die Meldung:
Stealth-String not found -> Programm terminated

Hab mal Find-All laufen lassen.
Dieses Log ist das Ergebnis:

Total: 119 965 708 288 [112G] - Free: 36 570 988 544 [34G]


»»IE version and Service packs:
6.0.2600.0 C:\Programme\Internet Explorer\Iexplore.exe
--a-- W32i APP DEU 6.0.2600.0 shp 91,136 08-18-2001 iexplore.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;q319182;

»»Google:

»»UserAgent:

»»Wmplayer version:
9.0.0.2980 C:\Programme\Windows Media Player\wmplayer.exe
--a-- W32i APP DEU 9.0.0.2980 shp 73,728 12-12-2002 wmplayer.exe
6.4.9.1120 C:\Programme\Windows Media Player\mplayer2.exe
--a-- W32i APP ENU 6.4.9.1120 shp 4,639 08-18-2001 mplayer2.exe

»»M$Java version:
5.0.3805.0 C:\WINDOWS\System32\msjava.dll
--a-- W32i DLL ENU 5.0.3805.0 shp 945,936 02-18-2002 msjava.dll

»»NotePad(s) version(s):
5.1.2600.0 C:\WINDOWS\notepad.exe
--a-- W32i APP DEU 5.1.2600.0 shp 67,072 08-18-2001 notepad.exe
5.1.2600.0 C:\WINDOWS\System32\notepad.exe
--a-- W32i APP DEU 5.1.2600.0 shp 67,072 08-18-2001 notepad.exe

»» Regedit* version(s):
5.1.2600.0 C:\WINDOWS\regedit.exe
--a-- W32i APP DEU 5.1.2600.0 shp 141,312 08-18-2001 regedit.exe
5.1.2600.0 C:\WINDOWS\System32\regedt32.exe
--a-- W32i APP ENU 5.1.2600.0 shp 3,584 08-18-2001 regedt32.exe


»»PC uptime:
11:24am up 0 days, 1:01

»»Locked or 'Suspect' file(s) found...

»»»»»»»»»»»»»»»»»»***Attention!***»»»»»»»»»»»»»»»»
Files listed in this section (in System32) are not always definitive!
Always Double Check and be sure the file pointed doesn't exist!

»»Tasks (services):
0 System Process
4 System
568 SMSS.EXE
640 CSRSS.EXE Title:
664 winlogon.exe Title: NetDDE Agent
708 SERVICES.EXE Svcs: Eventlog,PlugPlay
720 LSASS.EXE Svcs: PolicyAgent,ProtectedStorage,SamSs
888 SVCHOST.EXE Svcs: RpcSs
988 SVCHOST.EXE Svcs: AudioSrv,Browser,CryptSvc,Dhcp,ERSvc,EventSystem,FastUserSwitchingCompatibility,helpsvc,lanmanserver,lanmanworkstation,Messenger,Netman,Nla,RasAuto,Ra sMan,Schedule,seclogon,SENS,Sh aredAccess,ShellHWDetection,srservice,TapiSrv,TermService,Themes,TrkWks,upl
1156 SVCHOST.EXE Svcs: Dnscache
1224 SVCHOST.EXE Svcs: LmHosts,SSDPSRV,WebClient
1412 SPOOLSV.EXE Svcs: Spooler
1468 CCEVTMGR.EXE Svcs: ccEvtMgr
1476 EXPLORER.EXE Title: Program Manager
1488 NISUM.EXE Svcs: NISUM
1796 atiptaxx.exe Title: ATI Tray Icon Application
1804 DITASK.EXE Title: ditask
1812 divamon.exe
1820 watch.exe Title: DIVA_CARD_DAEMON
1828 CGServer.exe Title: ISDN-Guard Prozess
1872 DiInfo.exe Title: DiInfo
1880 DSentry.exe Title: DVDSentry
1892 Directcd.exe Title: DirectCD
1936 ccApp.exe Title:
1964 GhostStartTrayApGhostStartTrayAppTitle: GhostStartTrayApp
1976 SpeedMgr.exe Title: T-DSL SpeedManager
1984 CTFMON.EXE Title:
2032 SonyTray.exe Title: Image Transfer
152 WZQKPICK.EXE Title: Über WinZip Quick Pick
196 diagent.exe Title: Creative Diagnostics Agent
340 wmplayer.exe Title: Windows Media Player
224 ALG.EXE Svcs: ALG
1852 ati2evxx.exe Svcs: Ati HotKey Poller
1928 CCPXYSVC.EXE Svcs: ccPxySvc
428 CTsvcCDA.EXE Svcs: Creative Service for CDROM Access
392 GHOSTS~2.EXE Svcs: GhostStartService
1612 NAVAPSVC.EXE Svcs: navapsvc
108 NPROTECT.EXE Svcs: NProtectService
768 NOPDB.EXE Svcs: Speed Disk service
1624 MsPMSPSv.exe Svcs: WMDM PMSP Service
2404 TSMSvc.exe Svcs: TSMService
2980 NTVDM.EXE Title: T-Online StartCenter
3092 ToDuCAlC.exe Title: ToDuCAlC
904 IEXPLORE.EXE Title: Trojaner-Board: Hijacker "about blank" !! - Microsoft Internet Explorer provided by Tiscali
3916 CMD.EXE Title: C:\WINDOWS\System32\cmd.exe
504 NTVDM.EXE
3932 tlist.exe
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BB329369-CC55-440F-964B-BBD33E6D64F3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{7B0A57B7-B328-48C3-9C86-99AE21AC1965}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{7B0A57B7-B328-48C3-9C86-99AE21AC1965}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"System"="{271C74B5-A2C7-4A26-90E2-93F202EABFE7}"

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM


»»Size of 'Windows' key: (Default-450;No'AppInit'-398;*Fake-~448+!)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows\SYS:Microsoft\Windows NT\CurrentVersion\Windows : AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ : AppInit_DLLs

»»Winlogon\notify:

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
Size of HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: 5016

»»UserInit value:

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,

5.1.2600.0 C:\WINDOWS\System32\userinit.exe
--a-- W32i APP DEU 5.1.2600.0 shp 22,016 08-18-2001 userinit.exe

»»Group/user settings:


User: [DCNFGL0J\Thomas], is a member of:

VORDEFINIERT\Administratoren
\Everyone

User is a member of group DCNFGL0J\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group \LOKAL.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.

»»ACLs list:
C:\junkxxx VORDEFINIERT\Administratoren:F
VORDEFINIERT\AdministratorenOI)(CI)(IO)F
NT-AUTORITÄT\SYSTEM:F
NT-AUTORITÄT\SYSTEMOI)(CI)(IO)F
DCNFGL0J\Thomas:F
ERSTELLER-BESITZEROI)(CI)(IO)F
VORDEFINIERT\Benutzer:R
VORDEFINIERT\BenutzerOI)(CI)(IO)(special access

GENERIC_READ
GENERIC_EXECUTE

VORDEFINIERT\BenutzerCI)(special access

FILE_APPEND_DATA

VORDEFINIERT\BenutzerCI)(special access

FILE_WRITE_DATA


ERROR: Es sind keine weiteren Dateien vorhanden.


»»File(s) in 'junkxxx' folder:

»»Md5sums

MD5sums 1.1 freeware for Win9x/ME/NT/2000/XP+
Copyright (C) 2001-2002 Jem Berkes - http://www.pc-tools.net/


0 bytes, 0 ms = 0.00 MB/sec

»»hosts file:
R C:\WINDOWS\System32\Drivers\etc\HOSTS
-r--- - - - - - 820 08-18-2001 hosts
------
»»Rehash:

»Strings found:

Sun Jun 13 11:24:27 2004 -- ++Find-All backups:
A C:\FindallwinBackup.hiv
--a-- - - - - - 8,192 06-13-2004 findallwinbackup.hiv
A C:\findallappinit.reg
--a-- - - - - - 632 06-13-2004 findallappinit.reg
A C:\Find-All\Find-All\winBackup.hiv
A C:\Find-All\Find-All\Fileslist\copyhosts.txt
A C:\Find-All\Find-All\Fileslist\drivers.txt
A C:\Find-All\Find-All\Fileslist\modules.txt
A C:\Find-All\Find-All\Fileslist\services.txt
A C:\Find-All\Find-All\Fileslist\windows.txt

***Next Registry run should open this key directly:

! REG.EXE VERSION 2.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
LastKey REG_SZ My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows



Also vielleicht hat ja jemand eine Ahnung.
Vielen Dank im voraus.
Tori

Alt 14.06.2004, 14:40   #2
Who Cares
 
about:blank - Beitrag

about:blank



Hi,

bitte lass
a) AD-AWARE, SPYBOT & CWSHREDDER laufen
b) poste ein hijackthis-Logfile, falls a) das problem nicht löst..

s.a. Forensuche
__________________


Alt 15.06.2004, 08:30   #3
torixsolosofix
 
about:blank - Beitrag

about:blank



Hallo,
danke, es scheint funktioniert zu haben.
Vorsorglich nachfolgend trotzdem mal das HijackThis Log zur Kontrolle:

Logfile of HijackThis v1.97.7
Scan saved at 09:26:46, on 15.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Eicon\Diva\watch.exe
C:\Programme\Eicon\Diva\cgserver.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Eicon\Diva\Divamon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Eicon\Diva\DiTask.exe
C:\WINDOWS\System32\atiphexx.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Eicon\Diva\diinfo.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comdirect.de/index.html?g...rkte/main.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programme\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Ati Control Panel] atiphexx.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\RunServices: [Ati Control Panel] atiphexx.exe
O4 - HKCU\..\Run: [Symantec Network Driver Update Warning] C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ati Control Panel] atiphexx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: db dialog updater.lnk = C:\Programme\db dialog\wiseupdt.EXE
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de

Danke!

Tori
__________________

Alt 15.06.2004, 08:48   #4
torixsolosofix
 
about:blank - Beitrag

about:blank



Hi nochmal,

hab gerad festgestellt, dass Spybot immer wieder was findet:

DSO Exploit
Data source object exploit
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 Registrierungsdatenbankänderung

und in dem Stil noch einige mehr.
Was bedeutet das? Ist mein System noch nicht sauber?
TORI

Alt 15.06.2004, 10:40   #5
Who Cares
 
about:blank - Beitrag

about:blank



</font><blockquote>Zitat:</font><hr />Original erstellt von torixsolosofix:
dass Spybot immer wieder was findet:

DSO Exploit
</font>[/QUOTE]Das ist ein Bug in SPYBOT: s. Suche hier, oder in SPYBOT's forum


Alt 02.07.2004, 17:33   #6
Mathias_Remseck
 
about:blank - Standard

about:blank



Hallo Leute !

Seit zehn Stunden habe ich mich mit "Hilfe" von Forenbeiträgen mit DSO Exploit auseinandergesetzt und mich erst jetzt endlich gegen DSO Exploit durchsetzen können. Allerdings: Eine fertige Lösung gibts nirgends. Nach dem ein Spiegelbericht mir den letzten Wissensbaustein verliehen hat, hier der Weg wie man DSO Exploit los wird:

Alle Einzelschritte, was ihr tun müßt:

1.) Download des Programms "BHODemon" von www.definitivesolutions.com

Dieses kostenlose Programm wird auf Eurem Rechner alle BHOs erkennen und anzeigen. Es wird auf jeden Fall diverse bekannte BHOs finden. Bei mir waren es vier. Vier, die gewollt und in Ordnung waren. Ein weiteres vorhandenes, war dem Programm jedoch nicht bekannt und wurde bemängelt.

Dieses unbekannte BHO könnte man nun von BHODemon löschen lassen. Das würde zu diesem Zeitpunkt aber noch keinen Sinn machen, weil DSO Exploit eine dll namens jci.dll in folgendes Verzeichnis hineingelegt hat: C:\WINNT\system32

Diese DLL würde das BHO sofort wieder in die Registry eintragen. Deshalb würde eine einfache BHO-Löschung aus der Registry nicht genügen !

Deshalb weiter mit der Liste die DLL muß weg und erst dann dieses unbekannt BHO:

2.) Im Menü "Start" auf ausführen gehen.
3.) Dort "cmd" eingeben
4.) Dort mit "cd WINNT" ins Verzeichnis WINNT wechseln
5.) Dann mit "cd system32" in dieses Unterverzeichnis wechseln
6.) Dann folgenden Befehl eingeben: "del jci.dll"

Nach dem die jci.dll gelöscht ist ( geht nur auf der DOS Ebene !!! ), lässt man durch das Programm BHODemon das BHO aus der Registry löschen.

Und dann den neuen Rechner starten. Neue Startseite eintragen und man ist diesen verfluchten DSO Exploit los.

Die ganzen Porgramme wie HighjackThis, Adware, Spybot etc. helfen nichts ! Sie finden zwar das BHO und monieren es zu Recht, sie wissen aber nicht, daß dieses BHO durch jci.dll immer wieder neu eingetragen wird. Deshalb entfernen diese Programme das BHO und die dll trägt es wieder ein ( lustiges Spiel ).

Ich hoffe Euch geholfen zu haben.

Viele Grüße von Mathias, der sich hier in diesem Forum auf dem Weg zum Erfolg auch einige Bausteine "zusammen geklaut" hat ;-)

Antwort

Themen zu about:blank
about blank, appinit_dlls, attention, browser, computer, ctfmon.exe, dateien, diagnostics, drivers, explorer, explorer.exe, file, helper, hotkey, internet, internet explorer, lanmanworkstation, log, logon.exe, lsass.exe, microsoft, policyagent, problem, programm, programme, registry, server, services.exe, software, svchost.exe, system, systray, t-online, thomas, trojaner-board, userinit.exe, webcheck, windows, windows\system32\drivers, winlogon.exe, write



Ähnliche Themen: about:blank


  1. about:blank
    Log-Analyse und Auswertung - 18.10.2008 (0)
  2. about:blank
    Plagegeister aller Art und deren Bekämpfung - 24.10.2007 (8)
  3. about:blank ...
    Plagegeister aller Art und deren Bekämpfung - 02.10.2005 (5)
  4. about:blank
    Log-Analyse und Auswertung - 27.09.2005 (2)
  5. about:blank
    Log-Analyse und Auswertung - 23.02.2005 (4)
  6. about:blank
    Log-Analyse und Auswertung - 23.02.2005 (1)
  7. about:blank
    Log-Analyse und Auswertung - 20.02.2005 (3)
  8. about:blank
    Log-Analyse und Auswertung - 12.02.2005 (7)
  9. about:blank
    Log-Analyse und Auswertung - 08.02.2005 (10)
  10. about:blank
    Log-Analyse und Auswertung - 12.12.2004 (30)
  11. about:blank
    Plagegeister aller Art und deren Bekämpfung - 13.11.2004 (1)
  12. about:blank
    Log-Analyse und Auswertung - 24.10.2004 (6)
  13. About blank
    Log-Analyse und Auswertung - 16.10.2004 (2)
  14. about:blank-LOG
    Log-Analyse und Auswertung - 16.08.2004 (5)
  15. about:blank
    Log-Analyse und Auswertung - 14.08.2004 (1)
  16. about:blank
    Log-Analyse und Auswertung - 19.07.2004 (1)
  17. about:blank
    Log-Analyse und Auswertung - 19.07.2004 (2)

Zum Thema about:blank - Hallo Leute, habe ein Problem mit der Startseite about :blank. Habe hier im Boerd schon einen Beitrag gelesen, komme aber trotzdem nicht zurecht. Bekomme mit SPhjFix v1.07 immer die Meldung: - about:blank...
Archiv
Du betrachtest: about:blank auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.