Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacker about:blank - ...\sp.html

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.08.2004, 22:09   #1
Sincere
 
Hijacker about:blank - ...\sp.html - Lächeln

Hijacker about:blank - ...\sp.html



Hallo,

gibt es das Tool (SpHjfix.exe) demnächst auch für ME ?
Oder sollte ich es mal damit Versuchen ...

Danke - Sincere

PS: Der Snyper-Smile ist ja nicht sehr nett !!!

Alt 14.08.2004, 22:20   #2
Cidre
Administrator, a.D.
 
Hijacker about:blank - ...\sp.html - Standard

Hijacker about:blank - ...\sp.html



Hallo,
erstelle mit HiJackThis ein Log-File und poste es hier rein.
__________________

__________________

Alt 14.08.2004, 22:54   #3
Sincere
 
Hijacker about:blank - ...\sp.html - Standard

Hijacker about:blank - ...\sp.html



Logfile of HijackThis v1.98.2
Scan saved at 23:53:20, on 14.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\VIRTUAL CD V4\SYSTEM\VCDPLAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\SPEEDFAN\SPEEDFAN.EXE
C:\PROGRAMME\VIRTUAL CD V4\SYSTEM\VCDTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AOL 9.0\WAOL.EXE
C:\PROGRAMME\AOL 9.0\SHELLMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\AIM95\AIM.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.115\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.myhandysearch.com/s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.myhandysearch.com/s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pralerts.zonelabs.com/pralert...LAG=1&OEM=4904 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe
O1 - Hosts: 66.55.134.199 sitefinder.verisign.com
O1 - Hosts: 66.55.134.199 sitefinder-idn.verisign.com
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {685CD29F-A47A-4D6C-BDCA-B5B8F108EE65} - C:\WINDOWS\SYSTEM\JBPKJI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\SYSTEM\VCDPLAY.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O18 - Filter: text/html - {F9287D85-FC7D-46C1-9D11-9ADDC0758F05} - C:\WINDOWS\SYSTEM\JBPKJI.DLL
O18 - Filter: text/plain - {F9287D85-FC7D-46C1-9D11-9ADDC0758F05} - C:\WINDOWS\SYSTEM\JBPKJI.DLL
__________________

Alt 14.08.2004, 23:08   #4
Cidre
Administrator, a.D.
 
Hijacker about:blank - ...\sp.html - Standard

Hijacker about:blank - ...\sp.html



Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken.
Dann die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.myhandysearch.com/s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.myhandysearch.com/s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pralerts.zonelabs.com/praler...FLAG=1&OEM=4904 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe
O1 - Hosts: 66.55.134.199 sitefinder.verisign.com
O1 - Hosts: 66.55.134.199 sitefinder-idn.verisign.com
O2 - BHO: (no name) - {685CD29F-A47A-4D6C-BDCA-B5B8F108EE65} - C:\WINDOWS\SYSTEM\JBPKJI.DLL
O18 - Filter: text/html - {F9287D85-FC7D-46C1-9D11-9ADDC0758F05} - C:\WINDOWS\SYSTEM\JBPKJI.DLL
O18 - Filter: text/plain - {F9287D85-FC7D-46C1-9D11-9ADDC0758F05} - C:\WINDOWS\SYSTEM\JBPKJI.DLL

Wechsle in den abgesicherten Modus undlösche diese Datei:
C:\WINDOWS\SYSTEM\JBPKJI.DLL

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neue Startseite vergeben
- neues Log-File und auch die Virus Log Information von eScan posten
__________________
Gruß, Cidre


Alt 15.08.2004, 15:58   #5
Sincere
 
Hijacker about:blank - ...\sp.html - Standard

Hijacker about:blank - ...\sp.html



Hallo,
Datei : C:\Windows\System\JBPKJI.DLL ist nicht vorhanden !

die neuen Log-Files :

Logfile of HijackThis v1.98.2
Scan saved at 16:34:29, on 15.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\VIRTUAL CD V4\SYSTEM\VCDPLAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\SPEEDFAN\SPEEDFAN.EXE
C:\PROGRAMME\VIRTUAL CD V4\SYSTEM\VCDTRAY.EXE
C:\PROGRAMME\AOL 9.0\WAOL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\AOL 9.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\RAR$EX00.115\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metager.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\SYSTEM\VCDPLAY.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net


Virus Log Information :

File C:\Windows\System\JBPKJI. DLL infected by "Trojan.Win32. Start Page.ix" Virus.Action Taken: File to be deleted on reboot
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus: Tool.Win32.Reboot.No Action Taken.


Danke für die Hilfe, mal sehen ob es schon was geholfen hat !

Sincere


Alt 15.08.2004, 16:05   #6
Cidre
Administrator, a.D.
 
Hijacker about:blank - ...\sp.html - Standard

Hijacker about:blank - ...\sp.html



Zitat:
Datei : C:\Windows\System\JBPKJI.DLL ist nicht vorhanden !
Ist klar, wurde von eScan entfernt.

Zitat:
Danke für die Hilfe, mal sehen ob es schon was geholfen hat !
Es hat geholfen.
In Zukunft solltest du drauf achten, daß dein System immer aktuell ist.
Zur weiteren Vorbeugung wären diese zwei Punkte noch wichtig:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
__________________
--> Hijacker about:blank - ...\sp.html

Alt 15.08.2004, 16:17   #7
Sincere
 
Hijacker about:blank - ...\sp.html - Icon17

Hijacker about:blank - ...\sp.html



Herzlichen Dank an CIDRE, hat mir echt schnell & umfassend
weitergeholfen, scheint alles wieder Ok zu sein !

Sincere

Alt 15.08.2004, 16:26   #8
Cidre
Administrator, a.D.
 
Hijacker about:blank - ...\sp.html - Standard

Hijacker about:blank - ...\sp.html



Gern geschehen.
__________________
Gruß, Cidre


Antwort

Themen zu Hijacker about:blank - ...\sp.html
about, about:blank, bla, blank, hijacker, tool, versuche



Ähnliche Themen: Hijacker about:blank - ...\sp.html


  1. Problem: http://static.icmapp.com/blank.html# etc.
    Log-Analyse und Auswertung - 04.12.2013 (9)
  2. Werde about:blank hijacker nicht los: könnt Ihr bitte mal mein HJT Log checken?
    Log-Analyse und Auswertung - 24.12.2005 (2)
  3. Brauche Hilfe about: blank Hijacker
    Log-Analyse und Auswertung - 06.05.2005 (5)
  4. Another about:blank Hijacker
    Log-Analyse und Auswertung - 13.03.2005 (20)
  5. Helft mir bitte wg. Hijacker: about:blank / Search the Web
    Log-Analyse und Auswertung - 12.03.2005 (5)
  6. Hijacker: about:blank 227(obfuscated)
    Log-Analyse und Auswertung - 07.03.2005 (11)
  7. Ist das ein neuer Hijacker? (about:blank, sp.dll, OPNNDB.DLL)
    Log-Analyse und Auswertung - 05.02.2005 (9)
  8. Habe eine Problemlösung für Search Web (about:blank - sp.html) gefunden!
    Plagegeister aller Art und deren Bekämpfung - 16.01.2005 (6)
  9. About:Blank Hijacker mit Nebenwirkungen
    Log-Analyse und Auswertung - 13.01.2005 (6)
  10. Hijacker about:blank
    Log-Analyse und Auswertung - 10.11.2004 (5)
  11. Hijacker 'sp.html/about:blank/search for' gelöscht
    Plagegeister aller Art und deren Bekämpfung - 05.09.2004 (3)
  12. about:blank\sp.html
    Log-Analyse und Auswertung - 17.07.2004 (1)
  13. Hijacker -> about: blank
    Log-Analyse und Auswertung - 29.06.2004 (10)
  14. Probleme mit Hijacker Startseite: about:blank - ...\sp.html (obfuscated)
    Log-Analyse und Auswertung - 23.06.2004 (1)
  15. about:blank SearchForTheWeb und sp.html
    Log-Analyse und Auswertung - 18.06.2004 (11)
  16. Hijacker about:blank - ...\sp.html für Betriebssystem NT
    Plagegeister aller Art und deren Bekämpfung - 03.06.2004 (7)

Zum Thema Hijacker about:blank - ...\sp.html - Hallo, gibt es das Tool (SpHjfix.exe) demnächst auch für ME ? Oder sollte ich es mal damit Versuchen ... Danke - Sincere PS: Der Snyper-Smile ist ja nicht sehr nett - Hijacker about:blank - ...\sp.html...
Archiv
Du betrachtest: Hijacker about:blank - ...\sp.html auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.