Trojaner-Board - about blank und mehr...HILFE

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - about blank und mehr...HILFE (https://www.trojaner-board.de/13541-about-blank-mehr-hilfe.html)

about blank und mehr...HILFE

Hallo
Ich habe mal wieder das Problem das ich beim starten des IE Explorers die startseite "about:blank" bekomme und diese nicht weg kriege.
Und ich hab das gefühl, das mein Rechner durch irgendwas erheblich ausgebremst wird. habe adaware durchlaufen lassen...leider ohne erfolg.
Wäre sehr nett wenn mir jemand helfen würde.
mein Hijackthis logfile:
Scan saved at 15:31:43, on 09.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\iehb.exe
C:\WINDOWS\cras32.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Diverses\Anti-Virus Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\zabvf.dll/sp.html#89328
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zabvf.dll/sp.html#89328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zabvf.dll/sp.html#89328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\zabvf.dll/sp.html#89328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zabvf.dll/sp.html#89328
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zabvf.dll/sp.html#89328
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zabvf.dll/sp.html#89328
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {DFA15372-1741-EE58-9093-BD54D3229D22} - C:\WINDOWS\sysyx32.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cras32.exe] C:\WINDOWS\cras32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095549005717
O17 - HKLM\System\CCS\Services\Tcpip\..\{25A6E898-9AC5-4A2A-81AA-EFC34CD0501C}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\iehb.exe
Ach ja...mein windows explorer startet nicht mehr.
ich weiß leider echt nicht mehr weiter

Überprüfe mal mal online bei http://virusscan.jotti.org/
C:\WINDOWS\iehb.exe
C:\WINDOWS\cras32.exe
und poste das Ergebnis.

evtl. musst du die Prozesse vorher im Taskmanager beenden.

die Dateien werden unter dem angegeben Pfad nicht angezeigt...was soll ich tun? hiiilfe :(

Die Dateien müssen vorhanden sein, da sie auch unter den laufenden Prozessen angezeigt werden.
Nimm bitte folgende Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

tja...wenn das mal so einfach wäre...mein explorer startet nicht...wenn ich den starten möchte kommt die meldung "drwtsn.exe hat ein problem festgestellt und muß beendet werden".
aber davon mal abgesehen, hab ich alle dateien anzeigen eingestellt und er zeigt sie trotzdem nicht an. aber wenn ich auf die von dir gepostete seite gehe und auf durchsuchen klicke, finde ich eine daemon.dll im windows ordner....wenn ich dann "rechte maustaste, archiv öffnen" auf diese Datei ausführe...zeigt der mir den windows ordner mit allen dateien an...auch mit den gesuchten cras32.exe und iehb.exe ...hilft das irgendwie?

habe jetzt mal online diese daemon.dll gescannt und habe folgendes ergebnis:
Last piece of malware found was Win32/StartPage.TJ in msupdate.cmd, detected by:

Scanner Malware name Time taken
AntiVir X 0.22 seconds
Avast X 1.51 seconds
AVG Antivirus X 1.10 seconds
BitDefender X 0.48 seconds
ClamAV X 0.40 seconds
Dr.Web X 0.55 seconds
F-Prot Antivirus X 0.10 seconds
Fortinet X 0.38 seconds
Kaspersky Anti-Virus Trojan.Win32.StartPage.tj 0.62 seconds
mks_vir X 0.21 seconds
NOD32 Win32/StartPage.TJ 0.39 seconds
Norman Virus Control X 0.82 seconds

Zitat:

habe jetzt mal online diese daemon.dll gescannt und habe folgendes ergebnis:

Ich glaube nicht, dass diese Datei mit deinem Problem in Verbindung steht. Außerdem musst du nach dem Durchsuchen auch noch auf Submit klicken, sonst passiert gar nichts ;)

Kannst du den Explorer im abgesicherten Modus öffnen?
Wenn ja, können wir die Dateien einfach so löschen ohne zu wissen was es war, oder aber du scannst deinen PC erstmal mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und postest was gefunden wird.

also im abgesicherten modus funktioniert der explorer einwandfrei.
habe die dateien iehb.exe cras32.exe und daemon.dll gelöscht
hier mein ergebnis aus escan:
File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ibhiu.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\nwuqg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\yobom.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zabvf.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zsczk.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Michael\LOKALE~1\Temp\18.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Michael\LOKALE~1\Temp\18.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Michael\LOKALE~1\Temp\temp.fr3D53 infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Michael\LOKALE~1\Temp\winF.tmp infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken

Wenn du eScan gerade erst durchgeführt hast, hast du etwas falsch gemacht, da der Scan länger dauert.
=> Scanne erneut mit eScan im abgesicherten Modus und halte dich diesmal an die Anleitung ("all local drives" muss aktiviert sein)

Zitat:

....und daemon.dll gelöscht

Warum??? Das war mit ziemlicher Sicherheit keine Malware!

ich habe es genau nach anleitung durchgeführt...doch escan friert bei ca 4500 geprüften dateien ein und es rührt sich nix mehr. gefunden wurden bis dahin nur adaware dateien. ich habe anschliessend nochmal hijackthis gestartet und dieses ergebnis erziehlt:
Logfile of HijackThis v1.99.0
Scan saved at 16:29:37, on 09.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Michael\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Michael\LOKALE~1\Temp\kavss.exe
D:\Diverses\Anti-Virus Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tuyye.dll/sp.html#89328
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tuyye.dll/sp.html#89328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\tuyye.dll/sp.html#89328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tuyye.dll/sp.html#89328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tuyye.dll/sp.html#89328
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tuyye.dll/sp.html#89328
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tuyye.dll/sp.html#89328
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {DFA15372-1741-EE58-9093-BD54D3229D22} - C:\WINDOWS\sysyx32.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [winhi32.exe] C:\WINDOWS\winhi32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095549005717
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\cruk32.exe

Diesmal erscheinen Dateien wie cruk32.exe und winhi32.exe
es werden auch immer wieder irgendwelche sex seiten und andere unbekannte seiten zu meinen favoriten hinzugefügt. im abgesicherten modus funktioniert alles einwandfrei....im normalen modus läßt sich der explorer wieder nicht starten :(
ich weiß echt nicht mehr weiter

habs hinbekommen...bin doch nicht so noobig wie ich dachte :D
DANKE trotzdem...ihr seid spitze