Hallo,
vielleicht kann mir jemand helfen:

Beim Start des IExplorers kommt immer about:blank als Startseite.

Wie bekommt man die Einträge in der regedit weg, und damit sie auch wirklich nicht mehr vorhanden sind.

ad aware, Hijackthis (abgesicherter Modus, Systemwiederherstellung deaktiviert)) haben nichts gebracht kommt immer wieder.
Virusscanner schlägt bei jedem Start des Browsers an und entfernt den Virus,
es kommt aber als Startseite immer about:blank auto.search.msn.com

mfg Thomas



Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

@thg1971
poste bitte ein HJT logfile
download
anleitung
chaosman

Logfile of HijackThis v1.99.0
Scan saved at 13:06:54, on 12.2.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Pötz\Desktop\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CnOServerLauncher] CNOServerLauncher.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108203386416
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}
O20 - AppInit_DLLs: msconfd.dll
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Esker LPD - Esker - C:\PROGRA~1\TUN\TCPW\WLPDSNT.EXE
O23 - Service: McAfee Framework-Dienst - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe

Hi,
Scannen mit escan hat noch folgendes gebracht.

Kann man die Dateien alle löschen?

mfg Thomas


File C:\WINDOWS\system32\msconfd.dll infected by "Trojan.Win32.StartPage.au" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msconfd.dll infected by "Trojan.Win32.StartPage.au" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\DateMakerAustria-uninstall.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\system32\EGCOMLIB_1035.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msxmlpp.dll infected by "not-a-virus:AdWare.AiFind.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\netia32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.h. No Action Taken.
File C:\WINDOWS\system32\P2ECOM.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.

@thg1971
der hier ist im system
http://www.sophos.de/virusinfo/analy...startpgau.html
O20 - AppInit_DLLs: msconfd.dll
ist dein logfile erstellt von normalen modus oder abgesicherten modus?

chaosman

abgesicherter Modus

@thg1971
die 2 dialer dateien auf diskette speichern zwecks beweismittel.
systemwiederherstellung deaktivieren,
danach in den abgesicherten modus wechseln und folgende dateien manuell löschen
C:\WINDOWS\system32\msconfd.dll
C:\WINDOWS\system32\DateMakerAustria-uninstall.exe
C:\WINDOWS\system32\EGCOMLIB_1035.dll
C:\WINDOWS\system32\msxmlpp.dll
C:\WINDOWS\system32\netia32.dll
C:\WINDOWS\system32\P2ECOM.dll
neu booten, systemwiederherstellung aktivieren
neues HJT logfile aus den normalen modus posten
chaosman

files gelöscht und eintrag in der Regedit nach anleitung entfernt und schon funktioniert's wieder so wie es sein soll.

Danke für die Hilfe.