Hilfe! Auswertung Logfile von hijackthis.de. Problem about:blank startweite verändert
 

Habe ein großes Problem. Habe mir was eingefangen. Ich benutze einen 0190 Warner. der stellt fest das: about:blank Startseite verändern About:blank, wollen sie das zulassen. Habe hijackthis laufen lassen. Allerdings hatte ich kein Zigprogramm um hijack this zu entzippen. Macht das was?. Habe hijack this so ausgeführt. den log findet ihr anbei. Dann habe ich den log durch hijackthis.de auswerten lassen. Die auswertung kam zu dem Etschluss: das 6 "Sachen" gelöscht werden sollen.
Nun meine Frage: Soll ich das tun, oder noch mehr löschen.
Brauche dringend hilfe. Da mir sonst meine Diplombearbeitungszeit davonläuft.
Ich nutze den smart surfer von web.de. Meine berürchtung ist, dass dieses programm einen dialer installiert, so dass ich eine hohe Telefonrechnung bekomme. Ist diese Befürchtung begründet. Falls dies ein sog. Spywareprogramm ist. Was ist die Gefahr? Kann ich falls ich das Proplem nicht geläst bekomme weiterhin gefahrlos im internet surfen plus meine Diplomarbeit weiter an diesem Pc schreiben.
Danke für die Auswertung/hilfe im Voraus
hier der log und die Auswertung.

Hier noch der logfile
 

Logfile of HijackThis v1.99.0
Scan saved at 21:07:34, on 08.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\Mathias\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Mathias\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Mathias\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C32BCD57-9ABE-41B3-BDDB-3736525D5542} - C:\WINDOWS\System32\aiog.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] ?\2\fpdisp4.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Filter: text/html - {33DBC2D3-6124-4147-830B-B975503044B5} - C:\WINDOWS\System32\aiog.dll
O18 - Filter: text/plain - {33DBC2D3-6124-4147-830B-B975503044B5} - C:\WINDOWS\System32\aiog.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

@mathias2...

mit hjt fixen und manuell entfernen...

C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe


mit hjt fixen...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Mathias\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Mathias\LOKALE~1\Temp\sp.dll/sp.html

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm Gut

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Filter: text/html - {33DBC2D3-6124-4147-830B-B975503044B5} - C:\WINDOWS\System32\aiog.dll

O18 - Filter: text/plain - {33DBC2D3-6124-4147-830B-B975503044B5} - C:\WINDOWS\System32\aiog.dll

...und dann schicke bitte ein neues hjt-logfile...
...mit einem zwischenzeitlich gepatchten BS!!!..
deins ist nicht mehr uptodate...

www.windowsupdate.com

lg


Tom59

Hallo Tom,
danke für die Antwort.
Allerdings habe verstehe ich einiges nicht, was Du mir da gesagt hast. Leider bin ich ein Computer-Laie.
Auch ich hoffe, dass alles Gut wird. hoffentlich!!

Die beiden C: Dateien kann ich mit hijackthis nicht entfernen, da diese nur im Log erscheinen nicht aber im Scan.
Ausserdem habe ich bei den Eigenschaften dieser beiden Dateien nachgesehen. Diese bestehen beide schon seit 2002. und nicht erst seit gestern, als ich mir diesen About:blank Dreck eingfangen haben.

Und bedeutet mit Hijack fixen: die entsprechenden Komponenten anklicken und dann Fix Checked drücken?
Und manuell entfernen: Im Explorer aufschlagen und dann löschen?

Und was ist ein gepachtes BS? Was heißt BS?

Tut mir leid, dass ich so dunn fragen muss!! :dummguck:

@ Mathias2

Ich hab dir bereits hier http://www.trojaner-board.de/showthread.php?t=13508 eine Antwort auf deine Fragen gegeben!
Warum eröffnest du eigentlich mehrere Threads?

Kann deshalb nicht gefixed werden, da es ein laufender Prozess ist!
Ausserdem sollte diese Datei nicht gelöscht werden.

auch kann ich das windowsupdate nicht herunterladen da ich immer wieder auf diese seite von about:blank geleitet werden.

Habe das System zurückgesetzt: ist das Problem damit gelöst?
 

Habe über die Hilfefunktion von windows xp das System auf den letzten Termin zurückgesetzt. jetzt habe ich wieder google.de als Startseite und nicht mehr about:blank. Ist das Problem damit gelöst?
Allerdings habe ich wohl dummerweise auf meinen hotmail account zugegriffen als dieses vormutliche spyware-programm noch auf meinem computer war. Nun, nachdem ich den Computer zurückgesetzt habe und wieder versucht habe auf meinen Hotmail Account zuzugreifen öggnete sich ein Fenster und informierte mich das irgendetwas mit dem Zertifikat sei. 3 Dinge wurden alternativ angegeben. So unteranderem auch: es könnte sein, dass diese Seite nicht hotmail ist, sondern eine Seite/Programm, dass sich als hotamil ausgibt. Was könnte das bedeuten? Das dieses Programm als ich das erste mal dummerweise auf hotmail.com zugegriffen habe, mein passwort ausspioniert hat?
Für eine Hilfreiche Antwort wäre ich sehr dankbar.


Habe die Systemzurücksetzung gewählt, weil ich die von Euch hier im Board angegebenen Lösungswege für mich als zu schwer empfand. Aber trotzdem sehr vielen Dank

Hallo, hier jetzt nochmal der logfile des hijachthis scans nachdem ich die windows xp systemzurücksetzung von heute 9.02.2005 auf den 25.01.2005 vorgenommen habe.

Ist somit alles wieder ok?
Was muss ich tun um zukünftig zu vermeiden, dass ich mir nicht wieder sowas wie dieses about:blank einfange? Ausser dummerweise während der Diplomschreibzeit auf unsichere Seiten zu gehen?
Und ist durch die Systemzurücksetzung an meinen Eigene Daten alles unverändert geblieben?

Hey gib mir hoffentlich irgendeiner entwarnung, damit ich nich wieder auf die arbeit konzentrieren kann.

Logfile of HijackThis v1.99.0
Scan saved at 04:14:29, on 09.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\Mathias\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe