about:blank

klangmacher · 17.07.2004, 00:49

Hallo !

Ich habe mir den Hijacker about:blank eingefangen und habe versucht, ihn mit dem Entfernungsprogramm SpHjfix.exe zu killen.
Dies zeigt mir aber an, dass keine Infektion vorliegt. Die Beschreibung auf eurer Seite ist aber genau so, wie es HijackThis ausgeworfen hat. Es wäre nett, wenn mir jemand helfen könnte. Vielleicht habe ich etwas falsch gemacht oder nicht richtig gelesen.

Gruß und Danke ! Euer klangmacher.

Logfile of HijackThis v1.97.7
Scan saved at 00:42:48, on 17.07.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\0190-TROJAN\0190WARNER\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ATRACK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.teleos-web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Teleos
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {17D6FA01-D5F8-11D8-A485-000734AE60B1} - C:\WINDOWS\SYSTEM\NHDHKM.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\0190-T~1\SPYBOT\SPYBOT~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190-T~1\0190WA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: ATI Scheduler.lnk = C:\ati\atidesk\atisched.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.teleos-web.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...153.3145833333
O17 - HKLM\System\CCS\Services\VxD\MSTCP:

Nangie · 17.07.2004, 04:34

Hallo and Welcome im Trojaner Board

Zitat:

Ich habe mir den Hijacker about:blank eingefangen und habe versucht, ihn mit dem Entfernungsprogramm SpHjfix.exe zu killen.

Das war nicht ausreichend,da du nicht mit 'Startseite: ...\sp.html (obfuscated) infiziert bist

Zitat:

Beispiel: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)

Mehr Info dazu

Hier die automatische Auswertung von deinem HJT Log

Bitte im abgesicherten Modus fixen, den e Scan downloaden,updaten und ebenfalls im a.Modus scannen,Häkchen wie abgebildet setzen.

Den Temp. Ordner löschen,Neustart

Adaware und Co.

Info zu HJT

klangmacher · 19.07.2004, 00:56

Hallo Nangie !

Vielen Dank für Deine Tipps.
Ich habe sie befolgt und alles ist wieder in Ordnung.
Ich habe meine alte Startseite wieder und kann normal weiter arbeiten.

Thanx und ne schöne Woche !!!

klangmacher

about:blank

Log-Analyse und Auswertung: about:blank

about:blank

about:blank

about:blank

Ähnliche Themen: about:blank

19.07.2004, 00:56	#3
klangmacher	about:blank Hallo Nangie ! Vielen Dank für Deine Tipps. Ich habe sie befolgt und alles ist wieder in Ordnung. Ich habe meine alte Startseite wieder und kann normal weiter arbeiten. Thanx und ne schöne Woche !!! klangmacher __________________