Problem mit "about:blank"

dabertl · 13.02.2005, 19:03

Hi, bin neu hier und wirklich ganz knapp vorm Verzweifeln.
Problem:
Beim Start von IE kommt in der Adresszeile immer "about:blank" und eine Webseite erscheint, die nicht aus dem Web kommt, sondern anscheinend vom Virus selbst generiert wird.

Der ganz aktuelle NortonAV 2005 zeigt mir keinen Virus an.

Adware scannt, zeigt mir dann an dass ich mir einen "CoolWebSearch" eingefangen hab, löscht diesen auch ohne Fehlermeldung doch wenn ich Adware neu starte kommt das gleiche wieder.

Also HijackThis V1.99 runtergeladen und laufen gelassen:
Das ist das Log:
Logfile of HijackThis v1.99.0
Scan saved at 18:55:58, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Security\ZoneAlarm\zlclient.exe
C:\Programme\Klebezettel NG\klebez.exe
C:\Hardware\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Vg\Vg.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Security\NAV2005\navapsvc.exe
C:\Security\NAV2005\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Bertl\Desktop\Security\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Bertl\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Bertl\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Security\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D3F3518-C97E-45FF-9CD3-2BD02FD0836D} - C:\WINDOWS\system32\dmjc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Security\NAV2005\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Security\NAV2005\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Security\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Bertl\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [Klebezettel NG] "C:\Programme\Klebezettel NG\klebez.exe"
O4 - Startup: VirtuaGirl.lnk = C:\Programme\Vg\Vg.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1d...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097566082250
O18 - Filter: text/html - {637CA750-2F1E-49A7-A87C-52B8F63497E2} - C:\WINDOWS\system32\dmjc.dll
O18 - Filter: text/plain - {637CA750-2F1E-49A7-A87C-52B8F63497E2} - C:\WINDOWS\system32\dmjc.dll

hier hab ich wegen der Länge noch unwichtiges entfernt..

So:
Ich markiere die Zeilen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Bertl\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Bertl\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

und lasse sie von Hijack entfernen. Ein neuer Scan zeigt mir, dass sie NICHT mehr vorhanden sind.
Jetzt starte ich IE und direkt darauf wieder den Hijack-Scan und alle Zeilen sind wieder da!

Was mach ich verkehrt-hab´s auch schon im abesicherten Modus versucht.
Ausserdem poppen von Zeit zu Zeit Fenster auf mit Werbung oder Norton Virus Warnungen, die aber nicht vom Virenscanner kommen, aber auch nicht aus dem Netz, denn es geschieht auch ohne Onlineverbindung.

Bitte lasst mich jetzt nicht im Stich Jungs!!!

dabertl · 13.02.2005, 20:08

noch was:

da anscheinend der "Virus" immer auf die datei "se.dll" zugreift hab ich diese im abgesicherten Modus entfernt-bei allen usern.
Nach dem Start in den normalen Betriebsmodus kommt dann zwar kurz eine Fehlermeldung mit "..konnte datei se.dll nicht finden..." aber im Explorer finde ich diese Datei aber nach Start vom IE wieder.
Jezt bin ich am Ende glaub ich.

Cidre · 13.02.2005, 20:15

Wechsle nochmal in den abgesicherten Modus und fixe diese Einträge:

Alle R0 und R1
O2 - BHO: (no name) - {6D3F3518-C97E-45FF-9CD3-2BD02FD0836D} - C:\WINDOWS\system32\dmjc.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Bertl\LOKALE~1\Temp\se.dll,DllInstall
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O18 - Filter: text/html - {637CA750-2F1E-49A7-A87C-52B8F63497E2} - C:\WINDOWS\system32\dmjc.dll
O18 - Filter: text/plain - {637CA750-2F1E-49A7-A87C-52B8F63497E2} - C:\WINDOWS\system32\dmjc.dll

Lösche danach diese Dateien:
C:\WINDOWS\system32\dmjc.dll
C:\DOKUME~1\Bertl\LOKALE~1\Temp\se.dll

- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis posten

dabertl · 13.02.2005, 21:03

Hi Cidre,
ich danke dir vielmals.
Hab mein System wieder clean.
Danke-ich hab die Einträge

O2 - BHO: (no name) - {6D3F3518-C97E-45FF-9CD3-2BD02FD0836D} - C:\WINDOWS\system32\dmjc.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Bertl\LOKALE~1\Temp\se.dll,DllInstall
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O18 - Filter: text/html - {637CA750-2F1E-49A7-A87C-52B8F63497E2} - C:\WINDOWS\system32\dmjc.dll
O18 - Filter: text/plain - {637CA750-2F1E-49A7-A87C-52B8F63497E2} - C:\WINDOWS\system32\dmjc.dll

Total übersehen, weil sie von Hijack gar nicht als "gefährlich" markiert wurden.

Die Datei dmjc.dll gib´t´s übrigens im ganzen System nicht-wahrscheinlich nur fake.
Mann ist das mal wieder aufregend.
Dir jedenfalls einen schönen Virenfreien Abend und vielen Dank für die schnelle Hilfe.

Cidre · 13.02.2005, 21:10

Nimm mal diese Einstellung vor, suche und lösche die Datei:
Windows Explorer (Win Taste+E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

dabertl · 13.02.2005, 21:22

Jaaa, den Trick kenn ich schon.
Nein, erlich. Hab sowieso immer diese Einstellung, aber hab die Datei trotz alledem nicht gefunden-auch in den anderen Benutzerkonten nicht.
Auch eine Such im gesamten Arbeitsplatz nach heute erstellten *.dll-Files brachte keine brauchbaren Resultate.
Vielleicht ist das nur irgendeine Ablenkung die ich nicht kapier.

Aber jedenfalls läuft das System jetzt wieder einwandfrei-hab schon die anderen Benutzerkonten getestet, neu gestartet und alles möglich probiert um das Prob noch mal hervorzurufen.

Aber ein hoch an die Programmierer solcher Viren-die Säcke sind ja echt nicht schlecht drauf

13.02.2005, 21:10	#5
Cidre Administrator, a.D.	Problem mit "about:blank" Nimm mal diese Einstellung vor, suche und lösche die Datei: Windows Explorer (Win Taste+E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Problem mit "about:blank"

Log-Analyse und Auswertung: Problem mit "about:blank"