Hallo,
erstmal: fein, dass Ihr da seid. Ihr seid nämlich meine letzte Rettung. Problem - bestimmt schon tausend mal von so Trotteln wie mir gepostet worden (sorry) - ist folgendes:
Startseite (angeblich) "about:blank" stellt sich immer wieder ein, ein beklopptes Portal mit der Überschrift "Search For". Adaware 6.0 wirft jedesmal 8 Problemchen aus, die ich ihn anschließend auch beheben lasse. Doch das Problem bleibt. Spybot S&D findet gornix. Jetzt hab ich allerdings brav erstmal andere Threads mit dem selben Thema gelesen und per HijackThis auch paar Sachen gelöscht. Das hat aber nix genutzt, war bisschen dusselig.
Deshalb würde ich Euch gern mein HiJackThis-Logfile vorstellen und bin für Eure Tipps SUPERDANKBAR:

ogfile of HijackThis v1.98.2
Scan saved at 21:16:06, on 23.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\EzButton\CP888M1.EXE
C:\PROGRA~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\ERICSSON\COMMUN~1\MOBILE~1\DbgOut.exe
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\CONNMN~1.EXE
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\SCRFS.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://ie.search.psn.cn/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9AC60AF6-A6E8-4FAA-9228-F500DB67BF2B} - C:\WINDOWS\system32\blbilca.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CP888M1] C:\PROGRA~1\EzButton\CP888M1.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [WinAuth] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097090350111
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O18 - Filter: text/html - {358AEF35-7240-4843-8975-E54A5A52847F} - C:\WINDOWS\system32\blbilca.dll
O18 - Filter: text/plain - {358AEF35-7240-4843-8975-E54A5A52847F} - C:\WINDOWS\system32\blbilca.dll


Dieses sp.html hab ich auch schon tausendmal gelöscht, bringt nix.

Ich hoff, mir ist noch zu helfen.
Dankeschön!

@fabio forunculo
lasse diese datei C:\WINDOWS\system32\blbilca.dll
hier überprüfen
poste das ergebnis hier im board
wechsle in den abgesicherten modus und fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://ie.search.psn.cn/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: (no name) - {9AC60AF6-A6E8-4FAA-9228-F500DB67BF2B} - C:\WINDOWS\system32\blbilca.dll
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O13 - WWW. Prefix: http://
O18 - Filter: text/html - {358AEF35-7240-4843-8975-E54A5A52847F} - C:\WINDOWS\system32\blbilca.dll
O18 - Filter: text/plain - {358AEF35-7240-4843-8975-E54A5A52847F} - C:\WINDOWS\system32\blbilca.dll

lösche danach manuell
C:\WINDOWS\system32\blbilca.dll
neu starten
hier ein neues logflie posten
chaosman

Hi chaosman,
hier erst mal das Ergebnis der empfohlenen Untersuchung. mache mich jetzt mal an den Rest.
Danke schomma!
Fab



Service load: 0% 100%

File: blbilca.dll
Status: INFECTED/MALWARE
Packers detected: None

AntiVir TR/StartPage.IX (0.14 seconds taken)
Avast Win32:Startpage-006 (1.51 seconds taken)
BitDefender No viruses found (0.53 seconds taken)
ClamAV Trojan.Startpage-134 (0.32 seconds taken)
Dr.Web Trojan.StartPage.324 (0.48 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.qr (0.57 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 No viruses found (0.35 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)

@fabio forunculo
lade dir escan hier
die anleitung findest du hier
mache es genauso wie es beschrieben wird
danach
Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.


chaosman

Eins noch Chaosman:
muss ich die Geschichten unbedingt im abgesicherten Modus fixen? Kann ichs nicht auch mit HJT fixen? Oder läuft HJT im abgesicherten Modus? Müsste mir sonst die ganzen Pfade igendwie aufschreiben. (Mordsarbeit)
Grüsse

Zitat:

muss ich die Geschichten unbedingt im abgesicherten Modus fixen? Kann ichs nicht auch mit HJT fixen? Oder läuft HJT im abgesicherten Modus? Müsste mir sonst die ganzen Pfade igendwie aufschreiben. (Mordsarbeit)

Ja, im abges. Modus fixen (mit HjT).

@fabio forunculo
ja in abgesicherten modus,
fixen heißt Häkchen setzen und auf Fix Checked klicken.
chaosman

Tschuldige bitte chaosman,
blöde Frage aber: wie geht der verreckte abgesicherte Modus rein? Mit F8 bei der Meldung "Win wird gestartet" passiert gar nix! Auch mit Kombinationen (Ctrl-F8, Fn-F8) nix. Falls von bedeutung: Toshiba-Notebook, WinXP).
Tsk, tsk, tsk...

abgesicherter Modus. Sicher, dass es so nicht geht?

definitiv chaosman,
genau das hab ich befolgt. nix passiert. ende gelände.

http://www.google.de/search?q=cache:...&hl=de&start=2 versuchs mal so

Frage; haste noch andere OS's drauf und einen Bootmanager
Charlie

Jungens,
Euch allen 1000 Dank. Einen halben Tag später ward das Problem gelöst. Haui45, Danke für den Link, hätte echt nicht gedacht, dass man fast ne halbe Minute wie ein Bekloppter auf F8 stehen muss, um in den abgesch***enen Modus zu kommen. Schuldigung. Und tschausen alle!!!

Moiners noch mal,

1. das selbe Problem wie gestern hat sich heute wieder eingestellt, nachdem ich HijackThis habe scannen lassen (vorher war´s weg!?). D.h. die aller wahrscheinlichkeit nach problematische Datei heißt jetzt halt nur anders. So langsam stell ich mich drauf ein, den ganzen Karren platt zu machen...

2. chaosman hatte mich gebeten, nach dem ganzen Entfernungsprozedere noch mal ein aktuelles HJT-Logfile zu posten. Here it comes:

Logfile of HijackThis v1.98.2
Scan saved at 23:26:50, on 24.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\EzButton\CP888M1.EXE
C:\PROGRA~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\ERICSSON\COMMUN~1\MOBILE~1\DbgOut.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\CONNMN~1.EXE
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~3\Mobile\CONNEC~1\SCRFS.exe
C:\Programme\Virenschutz\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {8EE56B85-172E-4A08-945C-F9EF0DCC1BF0} - C:\WINDOWS\system32\jmbmbaa.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CP888M1] C:\PROGRA~1\EzButton\CP888M1.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097090350111
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O18 - Filter: text/html - {ABE1EAC8-91FA-4F21-9E2A-D95043F57C59} - C:\WINDOWS\system32\jmbmbaa.dll
O18 - Filter: text/plain - {ABE1EAC8-91FA-4F21-9E2A-D95043F57C59} - C:\WINDOWS\system32\jmbmbaa.dll


Vielen Dank
fab

Nochmal:

Lösche dies im abg. Modus:

C:\WINDOWS\system32\jmbmbaa.dll



Fixe mit HijackThis dies:



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp\sp.html
O2 - BHO: (no name) - {8EE56B85-172E-4A08-945C-F9EF0DCC1BF0} - C:\WINDOWS\system32\jmbmbaa.dll
O18 - Filter: text/html - {ABE1EAC8-91FA-4F21-9E2A-D95043F57C59} - C:\WINDOWS\system32\jmbmbaa.dll
O18 - Filter: text/plain - {ABE1EAC8-91FA-4F21-9E2A-D95043F57C59} - C:\WINDOWS\system32\jmbmbaa.dll

Schütze dich durch einen anderen Browser: www.firefox-browser.de ist sicher und kostenlos.