|
Plagegeister aller Art und deren Bekämpfung: startseite about_blankWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.08.2004, 21:52 | #1 |
| startseite about_blank hallo, ich habe ein problem, ich betreibe ein internetcafe und einer meiner lieben kunden ist gewissen seiten umhergegangen und hat sich ein wurm oder trojaner eingefangen. seitdem habe ich ein problem mit der startseite, jedesmal wenn ich explorer schließe dann wechselt er automatisch auf about_blank seite um und einige seiten wie yahoo oder auch knuddels lassen sich nicht aufrufen (sofort wird nach eingeben der seite, wieder auf about_blank umgeschaltet). so dann habe ich hier bereits einen thread gefunden wo ich auch mir den SpHjfix.exe heruntergeladen habe und diesen durchgeführt habe. aber dieser sagt mir NICHT INFIZIERT. wie soll ich nun weiter vorgehen, denn mein antivirenprog ANTIVIR löst dieses problem auch nicht. bitte dringend um hilfe danke |
03.08.2004, 22:24 | #2 |
Gast | startseite about_blank Du betreibst ein Internetcafe und triffst vorher keine Schutzmaßnahmen??
__________________Bitte poste einmal vom infizierten Rechner ein HijackThis-Log. |
03.08.2004, 22:29 | #3 |
| startseite about_blank doch natürlich habe ich schutzmaßnahmen getroffen aber diese haben wahrscheinlich nicht ausgereicht, durch die internetcafesoftware ist schon ein großer schutz da aber irgendwo gibt es immer lücken wo solche dinge durchrutschen.
__________________so wenn du mir sagst wie man die HijackThis-Log postet dann mach ich das. habe das programm durchlaufen lassen und mir wurde gesagt nicht infiziert. |
03.08.2004, 22:32 | #4 |
| startseite about_blank |
03.08.2004, 22:34 | #5 |
| startseite about_blank Zu dem Internetcafe generell: die Workstations sind jeweils mit eingeschränkten Benutzerrechten auszustatten, dann kann sowas in der Regel gar nicht erst passieren. Außerdem sei die Installation und Nutzung eines anderen Browsers empfohlen, der aber ebenso wie das System selbst stets auf dem aktuellen Stand gehalten werden muss! Wie sehen die bisherigen Schutzmaßnahmen aus? Geändert von mmk (03.08.2004 um 22:53 Uhr) |
03.08.2004, 22:43 | #6 |
| startseite about_blank so hier nun das ergebnis Logfile of HijackThis v1.98.0 Scan saved at 23:39:46, on 03.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\System32\ctfmon.exe C:\AIM95\aim.exe C:\Programme\PrecisionTime\PrecisionTime.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Internet Explorer\iexplore.exe C:\icafeex\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: (no name) - {6EFA5695-C7EE-4E5A-9173-8619D5F47B6E} - C:\WINDOWS\System32\nlacda.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [websx] C:\Programme\websx\int139327.exe -auto O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [AIM] C:\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan O4 - HKCU\..\Run: [SpyKiller] C:\SpyKiller\spykiller.exe /startup O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09325fd8...dxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8B0EFF44-A027-448C-A02C-CEF4BCADE3C7}: NameServer = 192.168.123.254,0.0.0.0 O17 - HKLM\System\CS1\Services\Tcpip\..\{8B0EFF44-A027-448C-A02C-CEF4BCADE3C7}: NameServer = 192.168.123.254,0.0.0.0 O17 - HKLM\System\CS2\Services\Tcpip\..\{8B0EFF44-A027-448C-A02C-CEF4BCADE3C7}: NameServer = 192.168.123.254,0.0.0.0 O18 - Filter: text/html - {A4B025A0-04D6-4B9E-A24F-90E9F08DCEA6} - C:\WINDOWS\System32\nlacda.dll O18 - Filter: text/plain - {A4B025A0-04D6-4B9E-A24F-90E9F08DCEA6} - C:\WINDOWS\System32\nlacda.dll so und die schutzmaßnahmen beziehen sich auf die icafesoftware<die automatisch spezielle seiten sperrt und im explorer habe ich download deaktiviert, antivir habe ich als virenprogramm. natürlich ist dies sicherlich nicht ausreichend da ich aber erst seit 3 wochen das cafe betreibe dachte ich das reicht aus. vielleicht könnt ihr mir ja sagen wie man ein pc virensicher macht. |
03.08.2004, 22:52 | #7 |
| startseite about_blank Logfile of HijackThis v1.98.0 -> Das ist nicht die aktuelle HijackThis-Version, ist wohl aber eher nicht dein, sondern mein Fehler, da ich ja weiß, dass Chip - der Downloadlink in meiner Anleitung - noch nicht die aktuelle Version auf dem Server hat. Ich werde das gleich mal ändern. Das ist Adware, die muss raus (Taskmanager aufrufen, Prozesse beenden, Dateien löschen): C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\PrecisionTime\PrecisionTime.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Dies in HijackThis markieren, alle Windows Explorer und Internet Explorer Fenster schließen, dann Fix checked klicken: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {6EFA5695-C7EE-4E5A-9173-8619D5F47B6E} - C:\WINDOWS\System32\nlacda.dll O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll Ein Dialer: O4 - HKLM\..\Run: [websx] C:\Programme\websx\int139327.exe -auto O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O16 - DPF: {00000000-0000-0000-0000-000020030000} - h+tp://www.advnt01.com/dialer/ger_nopop.exe O18 - Filter: text/html - {A4B025A0-04D6-4B9E-A24F-90E9F08DCEA6} - C:\WINDOWS\System32\nlacda.dll O18 - Filter: text/plain - {A4B025A0-04D6-4B9E-A24F-90E9F08DCEA6} - C:\WINDOWS\System32\nlacda.dll Geändert von mmk (03.08.2004 um 22:58 Uhr) |
03.08.2004, 23:02 | #8 | ||
| startseite about_blankZitat:
Wie ist es denn techn. realisiert? Wie erfolgt der Internetzugang? Wie viele Workstations gibt es? Zitat:
http://www.mathematik.uni-marburg.de...ompromise.html |
04.08.2004, 10:57 | #9 |
| startseite about_blank hi, so habe alles so gemacht wie ihr gesagt habt und mit der startseite ist jetzt wieder alles bestens, tausend dank an euch. und werde jetzt die pcs sicherer machen. ich habe 7 pcs also keine workstationen sondern alle sind über das netzwerk verbunden und die pcs haben alle clientsoftware oben und alle laufen über routers. so werde mal sehen was opera und mozilla so anbieten, habe nämlich von diesen noch nichts gehört. |
Themen zu startseite about_blank |
about, aufrufe, aufrufen, automatisch, bla, blank, dringend, durchgeführt, eingebe, explorer, gen, infiziert., interne, kunde, lieben, problem, schließe, seite, seiten, sofort, startseite, thread, trojaner, vorgehen, wechsel, wechselt, wurm, yahoo |