Trojaner-Board - Hijacker: about:blank 227(obfuscated)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hijacker: about:blank 227(obfuscated) (https://www.trojaner-board.de/14814-hijacker-about-blank-227-obfuscated.html)

Hijacker: about:blank 227(obfuscated)

Hallo,

Ich habe mir auf meinem Nootebook (Windows 95) einen Hijacker eingefangen und versucht mit HijackThis zu entfernen. Alle Einträge, bei denen am Ende "227(obfuscated)" steht habe ich gefixt.
Dies bringt keine dauerhafte Lösung. Es sieht zunächst so aus, als wenn das Problem gelöst sei, aber nach dem Neustart ist er wieder da.

Unter http://www.trojaner-info.de/anleitun...out_blank.html wird das Programm "SpHjfix.exe" empfohlen. Die dazu gehörige Beschreibung läßt mich hoffen, aber leider ist der Cleaner nur unter Windows98/2000/XP funktionsfähig.

Wer kann mir helfen, das Problem für Windows 95 zu lösen?

Mit dem besten Dank vorab
Theo

Hi,
fixen im abgesicherten (VGA) Modus!
cacatoa

Hi cacatoa,

vielen Dank für die Antwort. Ich habe Hijack This im abgesichterten Modus laufen lassen. Dummerweise zeigt es dann die Einträge auch nicht, damit ich sie fixen kann.

Nach Kontrolle der Startseite des IE zeigt dieser auch noch die richtige Startseite "about:blank" an. Immer noch im abgesicherten Modus.

Im abgesicherten Modus ist also noch nichts passiert oder mache ich irgend etwas falsch, denn so versiert bin ich nicht?

Nach Neustart im normalen Modus war der Übeltäter wieder da. Vielleicht gibt es irgendwelche Wörter nach der ich in der regestry suchen kann?

Ich brauche nochmal Hilfe, vielen Dank
Theo
:confused:

Nochmal:
Log erstellen im Normal-Modus. Fixen im abgesicherten Modus.
Du kannst auch mal die Option unter "misc tools" probieren: Delete on reboot, machst alle Häkchen, die zu fixen sind, und neu hochfahren.
cacatoa

Hi cacatoa,

danke nochmal, habe log im Normalmodus erstellt und im abesicherten Modus gefixt. Leider hat es nicht geholfen.

Unter "misc tolls" habe ich die Option "Delete on reboot" nicht, so das ich mir erstmal eine neuere Version laden muß.

Bis dahin,
Theo

Hi cacatoa,

ich habe nun alles mit der neuesten Version von Hijackthis durchgeführt und auch auf der Homepage http://www.hijackthis.de/ auswerten lassen.

Alles was empfohlen wurde habe ich gefixed. Unklarheiten gibt es bei folgenden Einträgen:

O4 - HKLM\..\Run: [THBRUTL] THBRUTL.EXE
O4 - HKLM\..\Run: [sys] regedit -s sys.reg

Kannst Du Dir etwas darunter vorstellen? Sind es die Übeltäter?

Übrigens kam ich mit "Delete on reboot" nicht zurecht, da keine Häckchen zu setzen waren, sondern nur eine Datei auszuwählen war. Hat mich verunsichert und habe es unterlassen.

Wenn Du mir nochmal hilfst, besten Dank,
Theo

Hi Theo,

poste doch bitte mal das ganze Log von HijackThis.

Hi Lutz,

gern:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:09, on 04.03.2005
Platform: Windows 95 B (Win9x 4.00.1212)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SPOWER.DRV
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PWRSAVE.EXE
C:\WINDOWS\SYSTEM\PSSOUND.EXE
C:\WINDOWS\SYSTEM\PSMFCARD.EXE
C:\WINDOWS\SYSTEM\THBRUTL.EXE
C:\WINDOWS\SYSTEM\THOTKEY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\VPTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\EIGENE DATEIEN\6.DOWNLOAD\HIGHJACKER\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ieiuws.t.muxa.cc/h.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ieiuws.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://ieiuws.t.muxa.cc/h.php?aid=227 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://ieiuws.t.muxa.cc/h.php?aid=227 (obfuscated)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [USBDock] Usbdock.drv
O4 - HKLM\..\Run: [PwrSave] PwrSave.Exe
O4 - HKLM\..\Run: [PsSound] PsSound.Exe
O4 - HKLM\..\Run: [PsMFCard] PsMFCard.Exe
O4 - HKLM\..\Run: [THBRUTL] THBRUTL.EXE
O4 - HKLM\..\Run: [THOTKEY] Thotkey.Exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\vptray.exe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\RunServices: [TSPower] spower.drv
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\defwatch.exe
O4 - Startup: Microsoft Office.lnk = c:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00010407-78E1-11D2-B60F-006097C998E7}\misc.exe

In froher Hoffnung,
Theo

Hallo Theo,

ist dies Log von vor oder nach Deiner Überprüfung bei hijackthis.de und deines 'fixens' gewesen?

Ich bin nun in Win95 nicht mehr wirklich sattelfest, aber die ganzen R-Einträge, gehören auf jeden Fall gefixt.

Lt. Google gehört die Datei THBRUTL.EXE zu Win95. Frag mich aber bitte nicht, wofür die gut ist. ;)

Zu O4 - HKLM\..\Run: [sys] regedit -s sys.reg gibt es hier eine recht deutliche Aussage -> http://www.sysinfo.org/startuplist.php?filter=sys.reg

Bevor Du diesen Eintrag fixt, lade Dir zunächst noch das Tool CWShredder herunter -> http://www.intermute.com/spysubtract..._download.html

Der sollte das eigentlich finden und ggf. killen.

Hi Lutz,

danke erstmal für Deinen Rat. Der Log war nach der Überprüfung und vor dem fixen. Am Wochenende werde ich mir CWShredder und Escan aufspielen und hoffe das er sys.reg findet und schreddert ansonsten muß ich ihn manuell fixen.

Der Vollständigkeit halber. Ich habe zu "THBRUTL.EXE" gegoogelt. Die Datei scheint außer mit Win95 auch mit toshiba in Verbindung gebracht zu werden. Klingt zumindest plausibel, da es sich um ein Nootebook dieser Firma handelt. Am Wochenende/-anfang dann mehr.

Schönes Wochenende,
Theo

Hallo Lutz,

es hat mir nun doch keine Ruhe mehr gelassen und ich habe

O4 - HKLM\..\Run: [sys] regedit -s sys.reg

manuell gefixt und es hat geklappt.

Danke nochmal für den Tip!
:huepp:

Theo

Hallo Lutz,

vielen Dank nochmal für den Tip. Ich habe mir auch den CWShredder heruntergeladen, aber bekomme nach dem Start der exe-Datei die Meldung, dass die OLEACC.DLL fehlt. Hast Du eine Idee, wo ich die bekomme?

Ich habe noch ein anderes Problem. Ich habe mir ClearProg heruntergelden und nach dem Start kommt nicht das Startfenster, aber es läuft im Hintergrund und hört nicht wieder auf. Hats Du dafür auch eine Idee. Auf http://www.clearprog.de/faq.php?prog=ClearProg finde ich keine Antwort.

Danke vorab,
Theo