Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: about:blank wird zur Suchseite

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.06.2004, 10:28   #1
holgster
 
about:blank wird zur Suchseite - Icon17

about:blank wird zur Suchseite



Hallo zusammen!

Ich komme leider absolut nicht mehr weiter und hoffe, daß mir jemand helfen kann.

Folgendes Problem: Beim Öffenen des IE (Betriebssystem XP) wird die about:blank-Seite aufgerufen, diese ist jedoch mit einer Suchmaschine versehen (von den nervigen Pop-Ups und Porno-Favoriten ganz zu schweigen).

Ich habe also Norton Antivirus, Ad-Aware, Spy-Bot Seek & Destroy und den CW-Shredder aktualisiert und laufen lassen. Es wurden (bis auf Antivirus) auch infizierte Dateien gefunden und behoben.

Beim nächsten Öffnen des IE war Problem wieder da. Habe dann die "Säuberung" nochmals im abgesicherten Modus mit deaktivierter Systemwiederherstellung durchgeführt - wieder nur kurzfristiger Erfolg.

Beim Suchen im Web bin ich dann auf Seiten gestoßen (auch diese hier), die sich mit dieser hartnäckigen Variante beschäftigen. Habe dann auch ein Tool zur Beseitigung des Hijackers runtergeladen:
http://www.trojaner-info.de/anleitun...out_blank.html

Das Tool lief auch ganz normal an und "desinfizierte" angeblich meinen Rechner. Danach war jedoch beim nächsten Hochfahren das Problem wieder da. Erneutes Starten das Tools bringt mir die Meldung, daß mein System nicht infiziert ist...

Ein Unterschied zu den bereits geposteten about:blank Problemen ist die Tatsache, daß die schadhafte Datei anscheinend im Temp - Verzeichnis aufgeführt ist und keine "normale" .dll-Datei (wie ansonsten immer beschrieben).

Bitte nicht böse sein wenn das vollkommen unerheblich ist - ich bin bei sowas DAU...

Ich habe ausserdem gelesen, daß der Hijacker über eine versteckte .dll-Datei ausgelöst wird. Ich weiß jedoch nicht, wie ich ich diese Datei finden (und vernichten) kann.

Bin für Hilfe wirklich dankbar!!!

Alt 16.06.2004, 11:26   #2
Olo
 

about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



ich hab mich mit dem about blank aber nicht so auseinandergesetzt sollte aber hier im forum oft genug vertreten sein


</font><blockquote>Zitat:</font><hr /> Ein Unterschied zu den bereits geposteten about:blank Problemen ist die Tatsache, daß die schadhafte Datei anscheinend im Temp - Verzeichnis aufgeführt ist und keine "normale" .dll-Datei </font>[/QUOTE]dann leer doch den temp ordner einfach mal [img]smile.gif[/img]
__________________

__________________

Alt 16.06.2004, 11:44   #3
holgster
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



Ich hab den Inhalt des Temp-Ordners teilweise geleert - wußte aber leider nicht, was ich löschen darf und was drinbleiben muß.

Aber auch nach dem ich die verdächtige Datei gelöscht hatte, war sie beim nächsten Start wieder generiert.

Trotzdem danke.
__________________

Alt 16.06.2004, 11:47   #4
neptune
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



poste doch einfach mal dein HijackThis log..
__________________
follow me and do exactly what i say

Alt 16.06.2004, 14:23   #5
holgster
 
about:blank wird zur Suchseite - Rotes Gesicht

about:blank wird zur Suchseite



Sorry, daß es ein bischen gedauert hat, aber war noch auf Arbeit...

Hier also der HijackThis-Log:

Logfile of HijackThis v1.97.7
Scan saved at 15:21:50, on 16.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\soundman.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
E:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
E:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\System32\svchost.exe
D:\shredder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - f:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {93BC0998-C491-4D8D-9619-7F7667106823} - C:\WINDOWS\m.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Microsoft Helper Service] C:\WINDOWS\System32\mstaskm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - https://banking.sparkasse-erlangen.d...ageinstV13.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -

Danke fürs checken!!!


Alt 16.06.2004, 15:35   #6
neptune
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



ja.. alle r1 und r0 einträge mit HijackThis fixen ohne den von google.de.. und ich weiss nicht ob diese folgenden einträge böse sind oder nicht, auf jeden fall sind die nicht üblich:
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\scagent.exe
__________________
--> about:blank wird zur Suchseite

Alt 16.06.2004, 16:04   #7
holgster
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



Hallo! Erst mal danke fürs checken, habe Deinen Rat befolgt und die Einträge gefixt.

Habe ausserdem die beiden seltsamen .exes im abgesicherten Modus gelöscht.

Nach dem Hochfahren: Leider wieder wie vorher...

Auch die Savedump.exe ist wieder da (und will sich im normalen Modus nicht löschen lassen), allerdings ist sie in den Eigenschaften auf Deutsch beschrieben als "Programm zur Sicherung eines Abbilds" und der Hersteller ist angeblich Microsoft.

Insgesamt bin ich also leider so weit wie zuvor...

Irgendwelche andere Tipps vielleicht???

Alt 16.06.2004, 16:10   #8
Olo
 

about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



kannst auch mal hier im forum nach sp.html suchen davon gabs imho genug threads [img]smile.gif[/img]
__________________
Die Suchfunktion des Boards

Alt 16.06.2004, 16:47   #9
holgster
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



Habe gerade mal die Einträge durchgelesen. Die dort vorhandenen Tipps hab ich schon durchprobiert:

Alle Scanner im abgesicherten Modus OHNE Systemwiederherstellung laufen lassen.

Das Tool zum Entfernen runtergeladen und laufen lassen - das macht mir ja aber Probleme. Beim ersten Mal hat es angeblich "desinfiziert", nun sagt es hartnäckig - ich bin nicht mehr infiziert...

Kann es evtl. etwas damit zu tun haben, daß die Endung bei mir nach sp.html nicht "(obfuscated)"kommt? Also vielleicht eine andere Variante darstellt? Oder hat das garnix damit zu tun?

Bitte helfen!

Alt 16.06.2004, 17:09   #10
neptune
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



wenn der prozess C:\WINDOWS\system32\scagent.exe von microsoft ist, dann ist er trotzdem überflüssig
__________________
follow me and do exactly what i say

Alt 16.06.2004, 17:13   #11
holgster
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



witzisch, witzisch, witzisch! Tja: bei dem Ärger, den ich momentan mit dem Sch... Ding habe - ich überleg mir zumindest das Umstellen auf nen anderen Browser.

Und warte weiter auf guten Rat!

Alt 16.06.2004, 18:07   #12
Who Cares
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



Hi,

1) mal diesen Scanner runterladen:
ftp://ftp.microworldsystems.com/download/tools/mwav.exe

2) Systemwiederherstellung deaktivieren, und PC abgesichert neu starten..

3) mit Scanner von 1) komplettes system prüfen/bereinigen (doppelklicken & Laufwerke C: zum Scannen auswählen)

4) Neues Hijackthis-Log machen, u.g. Einträge fixen sowie prüfen, ob von den andere bösen Einträgen noch was da ist: fixen


[X] O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
-Twain-Tech (MXTARGET.DLL)

O4 - HKLM\..\Run: [Microsoft Helper Service] C:\WINDOWS\System32\mstaskm.exe
(1) - [X] - [SVC Socks] mstaskm.exe




P.S.: SVC Socks
mstaskm.exe
CoolWebSearch parasite related
sollte doch eigentlich von aktualisiertem CWShredder gefunden/bereinigt werden..?

Alt 16.06.2004, 18:11   #13
holgster
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



werd´s probieren, sage bescheid ob´s geklappt hat...

Danke für die Mühe!

Alt 16.06.2004, 18:27   #14
holgster
 
about:blank wird zur Suchseite - Beitrag

about:blank wird zur Suchseite



Vielen Dank WHO CARES!

Ich habe zumindest das momentane Erfolgserlebnis, daß meine neu eingestellte Startseite auch bleibt...

Will jedoch den Tag nicht vor dem Abend loben. Werd morgen nochmal den IE aufrufen und gucken, ob mir immer noch Google entgegenprangt oder wieder dieses v*** sch*** verf*** M***ding.

Kleine Frage zu dem letzten Scanner (mwav): Nach dem Doppelclick kommt ja ne etwas unübersichtliche Seite. ich bin einfach mal auf Scan gegangen und hab ansonsten nichts verändert. Er hat mit dann auch ne Art Scanprotokoll gezeigt. MAaht der notwendige Reparaturen/Löschungen selbstständig???

Danke im voraus für die Antwort!

Grüße

Antwort

Themen zu about:blank wird zur Suchseite
.dll-datei, abgesicherten modus, about, ad-aware, antivirus, beseitigung, betriebssystem, bla, dateien, ellung, hilfe, infizierte, infizierte dateien, meldung, nicht mehr, norton, pop-ups, problem, probleme, seiten, starten, suche, suchmaschine, systemwiederherstellung, temp, tool, tools, versteckte, web



Ähnliche Themen: about:blank wird zur Suchseite


  1. Win 8, Chrome extrem langsam und about:blank wird geöffnet
    Log-Analyse und Auswertung - 12.09.2014 (19)
  2. Win7 Suchseite Trovi.com lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 02.06.2014 (26)
  3. Bei benutzung des Browesers "FirerFox" öffnet sich sich die Suchseite "Qvo6.com
    Plagegeister aller Art und deren Bekämpfung - 02.07.2013 (10)
  4. Lycos-Suchseite und Werbefenster öffnen sich dauernd von alleine ...
    Plagegeister aller Art und deren Bekämpfung - 18.06.2013 (29)
  5. Ihr Internet Service Provider wird blockiert- bei Zahlung von 100 € wird dieser entsperrt
    Log-Analyse und Auswertung - 21.04.2013 (21)
  6. PC wird gesperrt wegen Verstoß - gegen Zahlung von 100 € wird die Sperrung aufgehoben
    Log-Analyse und Auswertung - 06.09.2012 (11)
  7. "Die Suchseite kann nicht geöffnet werden"
    Log-Analyse und Auswertung - 10.03.2007 (1)
  8. Google liefert Suchergebnisse einer fremden Suchseite
    Plagegeister aller Art und deren Bekämpfung - 13.08.2006 (3)
  9. "Suchseite kann nicht geöffnet werden" nach einigen Minuten
    Log-Analyse und Auswertung - 01.02.2005 (7)
  10. IE startet mit Suchseite
    Plagegeister aller Art und deren Bekämpfung - 30.01.2005 (18)
  11. Suchseite konnte nicht geöffnet werden
    Log-Analyse und Auswertung - 21.01.2005 (3)
  12. startseite "about: blank" HijackThis wird automatisch beendet
    Plagegeister aller Art und deren Bekämpfung - 19.01.2005 (4)
  13. IE wird umgeleitet- ( about blank)
    Log-Analyse und Auswertung - 06.01.2005 (2)
  14. Probleme mit Suchseite im IE / Logfile
    Log-Analyse und Auswertung - 30.11.2004 (7)
  15. about:blank wird zu start:page
    Log-Analyse und Auswertung - 04.07.2004 (5)
  16. neu hier und schon frech fragen...: probleme mit ungewollter Suchseite
    Plagegeister aller Art und deren Bekämpfung - 03.01.2004 (13)
  17. Suchseite!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 14.02.2003 (13)

Zum Thema about:blank wird zur Suchseite - Hallo zusammen! Ich komme leider absolut nicht mehr weiter und hoffe, daß mir jemand helfen kann. Folgendes Problem: Beim Öffenen des IE (Betriebssystem XP) wird die about :blank-Seite aufgerufen, diese - about:blank wird zur Suchseite...
Archiv
Du betrachtest: about:blank wird zur Suchseite auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.