nabend zusammen,

folgendes problem: habe mir gestern einen hartnäckigen trojaner eingefangen... kurze zeit später war die infizierte datei erkannt, und gelöscht.
das problem war, dass der IE die startseite geändert hatte, und alle versuche diese zu ändern scheiterten. nachdem ich die verseuchte datei gelöscht hatte (ppc.dll im ordner c:\programme\PPC Advertor\) war die startseite verschwunden, der IE zeigt nun aber "Die Seite kann nicht angezeigt werden." an, wenn dieser gestartet ist UND about:blank als startseite eingestellt ist. eigentlich sollte aber eine weiße seite angezeigt werden. klicke ich nun auf das "startseite" symbol in der explorerleiste, so wird die "about:blank" seite auch angezeigt, sprich eine weiße seite.

die frage ist nun also was der trojaner geändert hat, dass dies so ist, was muss ich wieder abändern? in der reg. sind alle einträge gelöscht die auf die datei, oder programmpfad hinweisen. ausserdem sind die einstellungen für die startseite im IE in der reg. auch alle korrekt.

eines ist mir noch aufgefalen, wenn ich auf internetoptionen gehe, und dann auf "aktuelle seite" klicke, wird folgendes angezeigt "res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm"
rechtsklick auf die "fehlerseite" und "eigenschaften" zeigen dies: "res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm#about:blank"

wo liegt also nun das problem? alle tools wie adaware, spybot etc. finden natürlich nichts, da der trojaner selbst natürlich gelöscht ist.

ich hoffe es gibt einige wirkliche experten unter euch die mir helfen können
HJT zeigt natürlich auch nichts an, darum verzichte ich auf den log...

schönen gruß...

Zitat:

habe mir gestern einen hartnäckigen trojaner eingefangen

Welchen?
cacatoa

tja, wenn ich das noch wüsste...

Zitat:

Zitat von sicode

ich hoffe es gibt einige wirkliche experten unter euch die mir helfen können

Du könntest 'natürlich' im IE die Webeinstellungen zurücksetzen: Extras -> Webeinstellungen zurücksetzen -> Startseite auch zurücksetzen -> OK -> IE schließen -> IE wieder starten -> about:blank wieder als Startseite eintragen.

Poste mit mal ein Log von HijackThis hier her

http://hijackthis.de/downloads/hijackthis_199.zip ist einfacher für uns...

Hallo alle miteinander!

Habe ein ähnliches Problem und habe hierzu gestern abend ein Thema eröffnet. Leider bis jetzt ohne Antwort. Ich suche jemanden, der mein hijjack log einmal checken könnte.

Wer sit so nett ?

Makkus

@ makkus:
mach einen neuen, eigenen Thread auf; ist besser.
cacatoa

okay, nachfolgend der log...
@lutz: ich kann da so oft die startseite ändern wie ich will, sobald ich ein neues IE fenster aufmach (wenn about:blank als startseite eingestellt ist) kommt die fehlermeldung. irgendwie hat der trojaner da eine "verknüpfung" gelöscht oder sowas... denke mal einen reg. eintrag...


Logfile of HijackThis v1.99.0
Scan saved at 19:45:04, on 18.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\sygate_firewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\icq_lite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\tuneup_utilities\Integrator.exe
C:\Programme\tuneup_utilities\SystemControl.exe
C:\_downloads\ie_downloads\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\adobe_acrobat_reader\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\icq_lite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\leech_get\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\leech_get\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\leech_get\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\icq_lite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\icq_lite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AE43F59-61A5-4945-8462-6BFE90090A7F}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\sygate_firewall\smc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\tuneup_utilities\WinStylerThemeSvc.exe

Zitat:

Zitat von sicode

ich kann da so oft die startseite ändern wie ich will, sobald ich ein neues IE fenster aufmach (wenn about:blank als startseite eingestellt ist)

Speicher mal die angehangene Datei ohne die 2. Erweiterung txt auf dem Desktop ab und führe die Datei mit einem Doppelklick aus

ist erledigt, leider kein erfolg...
wie auch schon erwähnt habe ich bereits alle einträge in der reg. die was damit zu tun haben könnten überprüft...

ah ja, erwähnt sollte vielleicht auch sein, dass ich vor paar std. xp nochmal in der rep. funktion crübergebügelt habe. hat nichts gebracht, nur zeit gekostet...

Sorry, dann muss ich leider (vorerst) passen...

hmmm... ich weiß schon warum ich immer erst in foren poste wenn ich nicht selbst weiterweiß

immer müssen es so "unlösbare" dinge sein, die einfach nur nerven... aber ich geb nicht auf.

weiß denn sonst noch jemand rat?

Hallo,

versuch´s mal so -> http://www.expertenseite.de/index.ac...d=aIUuA2tbi_C5
oder kämpf dich hier durch -> http://groups.google.com/groups?as_e...=lang_de&hl=de

grrrr... schon alles mögliche versucht und noch immer kein erfolg...
mitlerweile denke ich dass es vielleicht eher an einer datei liegt, als an der reg. nur welche ist dafür zuständig dass bei dem ersten start vom IE auf die startseite bzw. about:blank seite verwiesen wird...