Brauche Hilfe bei meiner Startseite (about:blank)
 

Hallo,
seit mehreren Tagen kämpfe ich gegen eine Startseite an, die ich nicht haben will. Über den Quelltext ist herauszufinden, dass der Urheber der Seite sich unter http://oz.msie.tv verbirgt. Über Suche im Internet und zahlreiche Foren konnte ich schon etliches herausfinden, aber nichts hat irgendwie geholfen:
- kein spybot
- kein adaware
- kein cw shredder
Nun habe ich mehrere Versuche über hijackthis unternommen und auch immer wieder etwas gefunden.
Ich füge das Protokoll jetzt mal an in der Hoffnung, dass mir hier Hilfe zu teil wird:
Eine Bemerkung noch vorweg: die R1 - Hinweise mit sp.html habe ich bereits mehrere Male gelöscht, sie erscheinen aber immer wieder.

Logfile of HijackThis v1.98.0
Scan saved at 18:51:02, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ABBYY FineReader 5.0 Home Edition\CAgent.exe
C:\WINDOWS\System32\mcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
D:\WinSweep\WSMonitor.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programmierung\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9D356BE0-96CD-43D3-8EA1-18423121DBB1} - C:\WINDOWS\System32\ghdifda.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\ABBYY FineReader 5.0 Home Edition\CAgent.exe
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\DSB.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINSWEEP] D:\WinSweep\WinSweep.Exe /AUTO
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFEADDD-979E-417A-8F97-FB1333F52C4B}: NameServer = 192.168.10.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EFEADDD-979E-417A-8F97-FB1333F52C4B}: NameServer = 192.168.10.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{0EFEADDD-979E-417A-8F97-FB1333F52C4B}: NameServer = 192.168.10.254
O18 - Filter: text/html - {F51B9744-7284-4EE2-904A-72C2B91F8D6E} - C:\WINDOWS\System32\ghdifda.dll
O18 - Filter: text/plain - {F51B9744-7284-4EE2-904A-72C2B91F8D6E} - C:\WINDOWS\System32\ghdifda.dll

Danke schon einmal im voraus und Grüße
bilguer

Hallo bilguer,

markiere bitte in HijackThis folgende Einträge und klicke anschlißend auf 'Fix checked':

Anschließend 'jage' noch einen Virenscanner im abgesicherten Modus über deinen Rechner, bspw. eScan (siehe Signatur)

Vielen Dank für die schnelle Hilfe!
Es hat jetzt endlich geklappt, ich bin den Plagegeist los.
Gruß
bilguer

Es passt vielleicht nicht wirklich hierher, aber ich muss unbedingt wissen, wie ich die auswertung von Hjackthis kopiere, um sie automatisch prüfen zu lassen. würde mich wirklich über eine antwort freuen. danke

Hallo and Welcome im TB

Wenn du mit HJT gescannt hast - auf 'Save Log' klicken - dann das ganze kopieren und in die Auswertung reinkopieren - fertig

bitte beachten !!

Falls du damit Probs hast ,melde dich nochmal

Was mich interessieren würde: Ist der Trojaner jetzt wirklich weg? Ich habe das selbe Problem, befolge die Tipps, so wie sie hier dastehen. Nehme nur noch den Firefox zum surfen und der Sauhund kommt trotzdem jeden zweiten Tag wieder...ich verstehs net!
Viele Grüße
LeBensch

... dann surfst du aber mit dem IE. Ansonsten kannst du gegen solche Hijacker recht herzlich wenig machen ..... :dummguck:

nein, wie gesagt...ich hab den IE runtergehauen und surfe nur noch mit Firefox. (Bzw. ich hab ihn über Systemsteuerung -> Software deinstalliert, aber so ganz scheint er noch net weg zu sein, wenn die PopUp-Fenster in nem IE-Fenster aufpoppen) Diese Lücke müsste also geschlossen sein. Ich könnte mir höchstens vorstellen, dass er über eine Hintertür vom Yahoo Messi oder sonstigem reinkommt...Vielleicht sollte ich auch das SP2 mal installieren, geht aber net aus den bekannten Gründen...by the way: weiß jemand wo es den Crack für das SP2 gibt? :D

Grüßles
LeBensch

1. Du hast XP. Der IE lässt sich nicht von XP entfernen. Bei WIN98 funktionierte dies noch. Allerdings hattest du danach mehrere Probleme als davor. Benutze den IE einfach nicht, dann kann auch nichts passieren.

2. Gibt es SP2 noch gar nicht.

3. Cracks wirst du hier NICHT finden.

4. Benutze einfach www.windowsupate.com und es ist gut .......

zu 2. und 3.: Ok mein Fehler ;)
zu 4.: Funzt bei mir net...aber das ist ein anderes Problem, das ich selbst lösen muss.
zu 1. : Ich benutze den IE NICHT und der Trojaner kommt trotzdem immer wieder!

Grüßles
LeBensch

@LeBensch:

Nimm dieses Programm:
http://www.rokop-security.de/main/ar...thread&order=0

Dass der Trojaner immer wiederkehrt liegt daran, dass Teile von ihm nie restlos vom System entfernt waren!

Auf diesen Beitrag hab ich schon lange gewartet...dankeschön mmk...wird gleich ausprobiert ;)
Grüßles
LeBensch

Hallo,

ich habe ein ähnliches Problem, wie das oben geschilderte. Meine Startseite wird auch als about:blank angezeigt. Ich habe Hijack This drüberlaufen lassen und die angezeigten relevanten Einträge gelöscht. Trotzdem kommen die Einträge immer wieder. Hier das Protokoll:
Logfile of HijackThis v1.98.2
Scan saved at 03:18:28, on 02.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Save\Save.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\Benny\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
F1 - win.ini: run=C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Ich wär euch dankbar, wenn ihr mir bei dem Problem weiterhelfen könntet.

Gruß,

meinhaus

Diese Dateien im abg. Modus löschen:
C:\WINDOWS\dpe.dll
C:\Programme\winex\v2\winex.EXE


Fixe dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U

Lass dann deine LSP reparieren: http://www.cexx.org/lspfix.htm


Dein Windows updaten: www.windowsupdate.com

Verwende zum Schutz einen anderen Browser: www.firefox-browser.de

Hallo bilguer,

ich habe exakt das selbe Problem. Alle sp.html Dateien habe ich schon zig male gelöscht. Ich gehe mal davon aus, dass im Hintergrund ein Dienst läuft, der die Einträge sofort wieder anlegt, sobald mal den IE startet.

Wie bekommt man das Ding weg? Hast Du bereits eine Lösung gefunden???