Trojaner-Board - About:blank und kein Ende

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - About:blank und kein Ende (https://www.trojaner-board.de/7183-about-blank-kein-ende.html)

About:blank und kein Ende

Hallo Leute,

nun hat es auch mich erwischt. Wie viele andere Teilnehmer habe ich das Problem, dass sich bei mir die Startseite automatisch ändert und stattdessen about:blank erscheint und mich dann auf eine Startseite leitet, die auf Viren aufmerksam macht und einen Download anbietet. Nachdem ich - als Laie, der bisher wenig mit Internetsicherheit am Hut hatte - die gängigen Programme (ad-aware, Spybot, cw-shredder und eScan) zur Behebung des Problems eingesetzt habe und dies nicht zum gewünschten Erfolg geführt hat, habe ich aktuell einen Hijack-this-log durchgeführt, der folgendes Ergebnis zeigt:

Logfile of HijackThis v1.98.2
Scan saved at 15:06:49, on 29.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\USB FLASH DISK UTILITY\UFD UTILITY\UFDMON.EXE
C:\PROGRAMME\USB FLASH DISK UTILITY\UFD UTILITY\USBTD.EXE
C:\WINDOWS\SYSTEM\WINHUW32.EXE
C:\WINDOWS\ANWENDUNGSDATEN\OTLL.EXE
C:\WINDOWS\SYSTEM\HTAHDV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\APIDB32.EXE
C:\UNZIPPED\HIJACKTHIS_198[1]\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {66BD58C5-7150-411A-15FE-289C141C8A75} - C:\WINDOWS\SYSTEM\ADDVU32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [scheduler] C:\Programme\Dresdner Bank AG\bin\scheduler.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Programme\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Programme\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [ID_Bank] C:\Programme\Rainbow Innovations\ID_Bank\ID_Bank.exe
O4 - HKLM\..\Run: [SysA] C:\WINDOWS\SYSTEM\WINHUW32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [APIDB32.EXE] C:\WINDOWS\SYSTEM\APIDB32.EXE
O4 - HKCU\..\Run: [Ltps] C:\WINDOWS\Anwendungsdaten\otll.exe
O4 - HKCU\..\Run: [Kxvugqw] C:\WINDOWS\SYSTEM\htahdv.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O16 - DPF: {5B5C7640-939C-11D3-A68C-00A0244D4815} (Financepilot) - https://www.financepilot.com/applet/smlpib100.cab
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)

Wer kann mir helfen, mein Problem zu beseitigen.

Im Voraus schon mal besten Dank

Zuerst solltest du mal www.windowsupdate.com besuchen und alle Updates und Patches installieren.

Dann dies fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jmsno.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {66BD58C5-7150-411A-15FE-289C141C8A75} - C:\WINDOWS\SYSTEM\ADDVU32.DLL
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O16 - DPF: {5B5C7640-939C-11D3-A68C-00A0244D4815} (Financepilot) - https://www.financepilot.com/applet/smlpib100.cab
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)

Diese Datei löschen: C:\WINDOWS\SYSTEM\ADDVU32.DLL

Diese Dateien mal an partytime-germany.ice@web.de mit Link, der hierher führt schicken:

C:\WINDOWS\SYSTEM\WINHUW32.EXE
C:\WINDOWS\ANWENDUNGSDATEN\OTLL.EXE
C:\WINDOWS\SYSTEM\HTAHDV.EXE
C:\WINDOWS\SYSTEM\APIDB32.EXE

Hallo Christian,

vielen Dank für Deine Tips. So wie es aussieht, bleibt die gewünschte Startseite nun wieder erhalten.

Das Löschen der Datei C:\WINDOWS\SYSTEM\ADDVU32.DLL ging nicht, da ich diese Datei nicht auf meinem Rechner habe.

Noch ´ne blöde Frage: Welchen Zweck hat das Verschicken an die von Dir genannte Adresse?

Bis dann

Das Verschicken hat den Sinn, dass bis dato unbekannte Malware fortan von Virenscannern erkannt werden kann.

@skyliner01
Hast du bei den Ornderoptionen "Alle versteckten Dateien anzeigen" oder so ähnlich aktiviert?

Hallo Leute,

ich hab´ mich zu früh gefreut. About:blank kommt doch wieder. Nach dem Fixen der Dateien
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {66BD58C5-7150-411A-15FE-289C141C8A75} - C:\WINDOWS\SYSTEM\ADDVU32.DLL

schien alles in Ordnung. Doch denkste! Nach dem Neustart des Computers hatte ich wieder das verdammte about:blank als Startadresse im Verzeichnis. Der hijack-log zeigt nun auch wieder zwei verdächtige Einträge: nämlich
R3 - Default URLSearchHook is missing sowie
O2 - BHO: Class - {66BD58C5-7150-411A-15FE-289C141C8A75} - C:\WINDOWS\SYSTEM\XXXX32.DLL, wobei XXXX für wohl zufällig generierte dll steht, da nach erneutem Fixen dieser Dateien und Internet-Besuch bzw. Neustart wieder eine neue Adresse erscheint (als 02.....).

Was habe ich zu tun, um das Problem dauerhaft zu lösen.

Schon mal wieder besten Dank im Voraus

Zitat:

Zitat von skyliner01

Was habe ich zu tun, um das Problem dauerhaft zu lösen.

... einen anderen Browser verwenden: www.firefox-browser.de ist schnell, sicher und kostenlos.

Du hast wahrscheinlich noch vielmehr Malware auf deinen PC.
Leider hast du ja die Dateien nicht eingeschickt.

Auch hast du die Frage von mir nicht beantwortet.

Wenn du willst, dass dir geholfen wird bzw. dass du das Teilchen los wirst, dann musst du uns schon etwas entgegenkommen.
Sonst wollen wir irgendwann auch nicht mehr helfen ....

;)

Also, poste mal ein neues HijackThis-Log.

Hallo Christian,

Sorry für meine Nachlässigkeit.

Blöde Frage: wie funktioniert das Verschicken der Dateien?

Sollte vielleicht auch schnellstmöglich die Windows-Updates installieren. War zwar auf der Seite; die Masse der Updates hat mich dann aber doch davon abgehalten, was herunterzuladen: insoweit wäre es hilfreich zu wissen, welche Updates tatsächlich absolut notwendig sind.

Die Ordneroption "versteckte Dateien anzeigen" ist aktiviert.

PS: Was hältst Du von den Antworten auf mein neues Thema "about:blank, der auch nach dem Löschen immer wieder kommt". Hier wird eine Neuformatierung empfohlen.

Vielen Dank für Deine Hilfe

Das Verschicken der Dateien hängt von deinem Mailprogramm ab, in der Regek gehst du irgendwo auf "Anhang" und klickst dich dann in den Pfad der Date, dann Doppelklick darauf.

Absolut notwendig sind die Patches, bei denen dabeisteht, dass sie absolut notwendig sind. :) Gehe auf "benutzerdefinierte Installation" und wähle dann alle kritischen Patches aus, wenn du kein DSL hast, solltest du vielleicht das Servicepack erstmal wegklicken. Am besten, du besorgst dir die aktuelle Computer-Bild (aber nur dieses eine Mal :)) oder ab Freitag die ct, da ist das Servicepack 2 drauf, wenn du eine Neuinstallation machst und das dann danach gleich installierst, hast du schon das meiste drauf, was du brauchst.

Da dein PC total verseucht ist, würde ich dir auf jeden Fall eine Neuinstallation empfehlen.

Es werden alle Updates und Patches benötigt, da alle absolut notwendig sind.
Ruf mal bei Microsoft an -> dort kannst du dir kostenlos eine CD mit einigen Updates bestellen. Du kannst auch einen Freund fragen, der DSL hat und dir die Updates auf CD brennen könnte.