| |
| |||||||
Log-Analyse und Auswertung: "about: blank" mich hat es auch erwischtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.12.2004, 20:28
| #1 |
| |  "about: blank" mich hat es auch erwischt Erst einmal wünsche ich allen ein frohes Weihnachtsfest. Nu aber Wie im Header schon erwähnt, hat es mich wohl mit about: blank erwischt. Weder ADAWARE noch GIANT ANTISPYWARE konnten da richtig helfen. Und um alles noch schlimmer zu machen, läßt sich Windows nicht mehr im abgesicherten Modus starten. Hier mal mein Logfile. Wenn es nicht zuviel Umstände macht, bitte ich um einen step-by-step Ratschlag, da ich in diesem Feld noch ein vollkommener Bewbie bin: Logfile of HijackThis v1.99.0 Scan saved at 19:42:35, on 25.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\0190 Warner\w0svc.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\System32\NMSSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe F:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\ntob.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\PROMon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\system32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\McAfee\QuickClean\Plguni.exe C:\programme\quicktime\qttask.exe C:\Programme\GIANT AntiSpyware\gcasServ.exe C:\WINNT\system32\iepf.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\GIANT AntiSpyware\gcasDtServ.exe Z:\Downloads\HijackThis.exe C:\WINNT\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ktobr.dll/sp.html#24098 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {2D883F4C-6A8E-5904-1199-F5458D21F839} - C:\WINNT\atliq.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [iexw32.exe] C:\WINNT\system32\iexw32.exe O4 - HKLM\..\Run: [iepf.exe] C:\WINNT\system32\iepf.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O15 - Trusted Zone: http://hosting.1und1.de O15 - Trusted Zone: www.forum.24fans.de O15 - Trusted Zone: http://www.adobe.de O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: http://www.bifff.org O15 - Trusted Zone: www.blitz-verlag.de O15 - Trusted Zone: www.charmes.de O15 - Trusted Zone: www.dpd.de O15 - Trusted Zone: www.dvd-inside.de O15 - Trusted Zone: http://www.dvdinside.de O15 - Trusted Zone: http://www.fantasporto.com O15 - Trusted Zone: http://www.gamestar.de O15 - Trusted Zone: http://www.mcu.es O15 - Trusted Zone: www.peekundcloppenburg.de O15 - Trusted Zone: www.symantec.de O15 - Trusted Zone: http://www.vodafoneshop.de O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/250fa063...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\System32\NMSSvc.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Network Security Service - Unknown - C:\WINNT\system32\ntob.exe Ach, und die SICHEREN SITES lassen sich auch nicht mehr verwalten. Button läßt sich nicht mehr anklicken. Noch eine Frage dazu: Inwieweit ist dieser "about: blank" hijack gefährlich? Will heißen, kann ich auf dem Rechner noch arbeiten inkl. surfen und e-mails abrufen, ohne das Daten verloren gehen bzw. Passwörter ausspioniert werden können? Vorab schon mal vielen Dank für die Hilfe. Viele Grüße, schelo |
|
26.12.2004, 02:08
| #2 |
| Gast | "about: blank" mich hat es auch erwischt Lösche dies im abg. Modus:
__________________C:\WINNT\system32\iepf.exe C:\WINNT\system32\iexw32.exe C:\WINNT\atliq.dll C:\WINNT\ktobr.dll Fixe dies mit HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ktobr.dll/sp.html#24098 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ktobr.dll/sp.html#24098 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ktobr.dll/sp.html#24098 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {2D883F4C-6A8E-5904-1199-F5458D21F839} - C:\WINNT\atliq.dll O4 - HKLM\..\Run: [iexw32.exe] C:\WINNT\system32\iexw32.exe O4 - HKLM\..\Run: [iepf.exe] C:\WINNT\system32\iepf.exe O15 - Trusted Zone: http://hosting.1und1.de O15 - Trusted Zone: www.forum.24fans.de O15 - Trusted Zone: http://www.adobe.de O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: http://www.bifff.org O15 - Trusted Zone: www.blitz-verlag.de O15 - Trusted Zone: www.charmes.de O15 - Trusted Zone: www.dpd.de O15 - Trusted Zone: www.dvd-inside.de O15 - Trusted Zone: http://www.dvdinside.de O15 - Trusted Zone: http://www.fantasporto.com O15 - Trusted Zone: http://www.gamestar.de O15 - Trusted Zone: http://www.mcu.es O15 - Trusted Zone: www.peekundcloppenburg.de O15 - Trusted Zone: www.symantec.de O15 - Trusted Zone: http://www.vodafoneshop.de O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/250fa06...RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe Die Dateien C:\WINNT\system32\ntob.exe C:\WINNT\system32\iepf.exe C:\WINNT\system32\iexw32.exe C:\WINNT\atliq.dll sende bitte vorher zur genaueren Überprüfung an partytime-germany.ice@web.de Deine vertrauenswürdigen Sites musst du anschl. wieder eintragen. Schütze dich künftig mit einem anderen Browser: www.firefox-browser.de ist sicher und kostenlos. Hijacker haben keine weiteren Schadensfunktionen, außer deinen Browser auf ungewünschten Seiten zu entführen. Du hast aber wahrscheinlich noch TrojanDownloader auf deinem System. Diese downloaden andere schädliche Software, wie z. B. Adware oder auch Trojaner. Scanne deshalb mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html |
|
26.12.2004, 02:41
| #4 |
| Gast | "about: blank" mich hat es auch erwischt Jetzt weiss ich wenigstens wer Speedy ist ...  |
|
27.12.2004, 11:19
| #5 |
| | "about: blank" mich hat es auch erwischt Hallo Christian, ich habe es eben gerade schon im HijackThis Forum gschrieben. In der Nacht meines Postings schien es techn. Probleme mit eurer Seite zu geben. Auf jeden Fall habe ich nach absenden meines Postings keine Seite mehr von euch öffnen können. Ich konnt also auch nicht sehen, ob mein Posting angekommen ist und bin daher erst einmal vom Gegenteil ausgegangen und habe deshalb die gleiche Frage nochmals im anderen Forum gepostet. Ich wollte damit keinesfalls die gesamte Community belasten. Hier ist einfach was schief gelaufen. Da ich bei HijackThis schon ein update in derselben Nacht gepostet habe, würde ich vorschlagen, daß ich auch dort weitermache. Viele Grüße, Ivo |
|
| Themen zu "about: blank" mich hat es auch erwischt |
| abgesicherten modus, adobe, antispyware, antivirus, ausspioniert, bho, components, dateien, e-mails, excel, explorer, frage, gefährlich, gefährlich?, hijack, hijackthis, hotkey, internet, internet explorer, microsoft, programme, security, software, starten., surfen, symantec, system, system32, update, urlsearchhook, vielen dank, windows |
Linear-Darstellung
