Hallo erstmal,
ich habe damals mit HijackThis alle "bösen" Dateien auf meinem Rechner gefixt. Das führte dazu, das meine durch "about:blank" blockierte Startseite nicht mehr blockiert war. Doch seit einiger Zeit ist das nicht mehr der Fall und meine Startseite ist wieder blockiert, durch about:blank.

Ich habe mehrmals HiJack laufen lassen und die bösen Dateien gefixed.
Doch die Startseite ist immer noch blockiert und die Dateien:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

tauchen bei jedem neuen Durchgang wieder auf und lassen sich nicht entfernen. Ich habe auch schon selbst versuch sie zu finden, doch es war erfolglos.

Ich bitte um Rat!

Poste bitte dein ganzes Logfile.

O.K.!

Logfile of HijackThis v1.98.2
Scan saved at 18:23:20, on 06.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\AVGUARD.EXE
F:\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Winamp3\winampa.exe
C:\WINDOWS\System32\E_SSRP05.EXE
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
F:\System\vcdsecs.exe
F:\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN05.EXE
F:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\Program Files\interMute\SpySubtract\SpySub.exe
F:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\BJÖRN\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {F0DBB223-9BE9-464C-A324-A2FA5053F930} - C:\WINDOWS\System32\gljl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "F:\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus COLOR 670] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN05.EXE /A "C:\WINDOWS\System32\E_S13.tmp"
O4 - Startup: Run VNC Server.lnk = C:\Programme\RealVNC\WinVNC\winvnc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{076DC1F6-ED76-455E-9435-DA2A55408841}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{076DC1F6-ED76-455E-9435-DA2A55408841}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{076DC1F6-ED76-455E-9435-DA2A55408841}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{076DC1F6-ED76-455E-9435-DA2A55408841}: NameServer = 192.168.2.1
O18 - Filter: text/html - {D1B7A5A2-24FF-4617-9377-1A300E4BDBD1} - C:\WINDOWS\System32\gljl.dll
O18 - Filter: text/plain - {D1B7A5A2-24FF-4617-9377-1A300E4BDBD1} - C:\WINDOWS\System32\gljl.dll

@ Burner

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\E_SSRP05.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN0 5.EXE
c:\Program Files\interMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\gljl.dll

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\BJÖRN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O18 - Filter: text/html - {D1B7A5A2-24FF-4617-9377-1A300E4BDBD1} - C:\WINDOWS\System32\gljl.dll
O18 - Filter: text/plain - {D1B7A5A2-24FF-4617-9377-1A300E4BDBD1} - C:\WINDOWS\System32\gljl.dll

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

Hallo Burner,

Deinen Hijacker sollte imho CWShredder (die stand-alone-Version reicht aus!) in der aktuellsten Version entfernen können.

Wenn Du die von SD genannten Einträge gefixt hast, lösche bitte auch diese Dateien:
C:\DOKUMETE UND EINSTELLUNGEN\BJÖRN\LOKALE EINSTELLUNGERN\Temp\sp.html <- am Besten Du leerst (nicht löschen) diesen kompletten Temp-Ordner!
C:\WINDOWS\System32\gljl.dll

Ansonsten würde mich auch interessieren, was eScan bei Dir gefunden hat.