|
Log-Analyse und Auswertung: IE "about:blank"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.01.2005, 14:07 | #1 |
| IE "about:blank" Hallo! Ich bin neu hier und ein wenig verzweifelt: In letzter Zeit startet mein IE ohne mein zutun! Startseite war www.acer.com. Das hab ich noch nie gehabt! Habe mir HijackThis runtergeladen und poste mal mein LOG: Gibt es noch irgendwas, das ich "fixen" muß? Vielen Dank im Voraus! Logfile of HijackThis v1.99.0 Scan saved at 14:04:08, on 02.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\O2Micro\AudioDJ\o2cd.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Caere\OmniPagePro90\opware32.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Dokumente und Einstellungen\Friedenberger\Desktop\HijackThis\hijackthis_199\HijackThis.exe C:\Dokumente und Einstellungen\Friedenberger\Desktop\HijackThis\hijackthis_199\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [o2cd] C:\Programme\O2Micro\AudioDJ\o2cd.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Caere\OmniPagePro90\EREG\REMIND32.EXE O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8A43BE-A7D6-48C2-AB5C-5B2496E04CF6}: NameServer = 205.188.146.145 O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE |
02.01.2005, 14:14 | #2 |
Administrator, a.D. | IE "about:blank" Hallo,
__________________fixe diese Einträge im abgesicherten Modus: O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE Info: http://www.meduniwien.ac.at/itsc/how...orm/rmWorm.txt und führe dies danach aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________ |
03.01.2005, 21:33 | #3 |
| IE "about:blank" Hallo cidre!
__________________Vielen Dank für die schnelle Hilfe!! Habe eScan im abgesicherten Modus gestartet: Das ist dabei herausgekommen: 2 Treffer 1.) Mon Jan 03 20:51:23 2005 => File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. 2.) Mon Jan 03 20:48:09 2005 => [I]File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.[/I]Wie geht es weiter???? Macht es Sinn auch HijackThis, Spybot und gdata Virenschutz im abgesicherten Modus durchzuführen? |
03.01.2005, 21:51 | #4 | ||
Administrator, a.D. | IE "about:blank" Die zwei Treffer von eScan sind unbedenklich. Zitat:
Für die Auswertung ist es für uns sinnvoll, wenn du ein HijackThis Log-File aus dem "normalen" Modus erstellst, denn dann können wir sehen welche Malware auf deinem System noch aktiv ist. Zitat:
|
05.01.2005, 15:13 | #5 |
| IE "about:blank" Hallo nochmal!! Habe alles so ausgeführt wie Du es empfohlen hast. C:\WINDOWS\System32\PSSDNSVC.EXE Ist noch vorhanden!! Mir ist aber noch etwas aufgefallen: Habe bei hijackThis.de mein LOG auswerten lassen. In meiner CAPI-Control und HomeNet-Control stehen einige "böse" Einträge, unter anderem "WINDSNX" , "bonzi Buddy"! Mal unter "alexa" "win???" Was ist das denn und wie entfernt man diese?? Mein aktuelles... Logfile of HijackThis v1.99.0 Scan saved at 14:38:41, on 05.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\O2Micro\AudioDJ\o2cd.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\Friedenberger\Desktop\HijackThis\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [o2cd] C:\Programme\O2Micro\AudioDJ\o2cd.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe |
05.01.2005, 15:15 | #6 |
Administrator, a.D. | IE "about:blank" Überprüfe zunächst einmal folgende Datei bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\System32\PSSDNSVC.EXE Nachtrag: Arbeite auch mal folgendes ab: http://www.sophos.de/virusinfo/analyses/trojdsnx05.html http://www.spyany.com/program/articl...nzi_Buddy.html
__________________ --> IE "about:blank" |
05.01.2005, 15:19 | #7 |
| IE "about:blank" Hab ich gerade getan: Scanner Malware name Time taken AntiVir X 0.14 seconds Avast X 1.51 seconds BitDefender X 0.38 seconds ClamAV X 0.97 seconds Dr.Web X 1.75 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus Trojan-Dropper.Win32.Small.ol 0.65 seconds mks_vir X 0.27 seconds NOD32 X 0.43 seconds Norman Virus Control X 0.52 seconds |
05.01.2005, 15:31 | #8 |
Administrator, a.D. | IE "about:blank" Also, dann solltest du diese Datei umgehend löschen. |
Themen zu IE "about:blank" |
"about:blank", .inf, adobe, bho, dateien, desktop, dll, down, einstellungen, explorer, g data, hijack, hijackthis, home, hotkey, internet, internet explorer, log, mein log, messenger, microsoft, neu, programme, rundll, schutz, software, system, tcpip, vielen dank, windows, windows messenger, windows xp |