Hy Leute,
seit längerem plagt mich das Problem, das beim jeweiligen Öffnen des Internet Explorers statt meiner selbst gewählten Startseite nur about blank erscheint und anschließend sich ein neues Fenster öffnet und die Warnung über Spyware erscheint (welche natürlich gleich ein Download anbietet ).
Hab mir mit Ad-aware versucht zu helfen (findet ne kleine Anzahl von Viren, vor allem in der Regedit mit dem Namen Coolwebsearch) entfernt aber nicht das Problem.
Habe nun nach dem Studieren einiger anderer Eínträge nen Hijackthis-log gemacht und folgendes Ergebnis erzielt:



Logfile of HijackThis v1.98.2
Scan saved at 12:01:41, on 11.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\NETWOR~1\VIRUSS~1\Avsynmgr.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\NETWOR~1\VIRUSS~1\VsStat.exe
C:\PROGRA~1\NETWOR~1\VIRUSS~1\Vshwin32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\NETWOR~1\VIRUSS~1\Avconsol.exe
C:\PROGRA~1\GEMEIN~1\NETWOR~1\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINNT\cApp.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\Dokumente und Einstellungen\Kathleen\Eigene Dateien\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A7927C64-C417-444E-969F-1AD54A670672} - C:\WINNT\system32\cpmgla.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [OfficeDeamon] C:\WINNT\cApp.exe /i
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O18 - Filter: text/html - {0F2144F8-5C82-401A-9AC6-4B46C3780289} - C:\WINNT\system32\cpmgla.dll
O18 - Filter: text/plain - {0F2144F8-5C82-401A-9AC6-4B46C3780289} - C:\WINNT\system32\cpmgla.dll
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)


Falls mir irgendwer helfen kann, vielen Dank schon mal im vorraus!
Grüße

Hallo
schau mal bitte die Seite aufmerksam an, besonders im unteren Bereich .

http://www.trojaner-info.de/anleitun...out_blank.html

Danach poste neues Log.

Ok, hab dieses Programm runtergeladen und gestartet, nur sagt es mir das ich nicht infiziert bin und vom 2.Schritt, das ich neustarten soll, kommt auch nix.
Hab aber danach nochmal den Scan gemacht und folgendes Ergebnis gehabt:

Logfile of HijackThis v1.98.2
Scan saved at 18:46:36, on 11.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\NETWOR~1\VIRUSS~1\Avsynmgr.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\NETWOR~1\VIRUSS~1\VsStat.exe
C:\PROGRA~1\NETWOR~1\VIRUSS~1\Vshwin32.exe
C:\PROGRA~1\GEMEIN~1\NETWOR~1\McShield\Mcshield.exe
C:\PROGRA~1\NETWOR~1\VIRUSS~1\Avconsol.exe
C:\WINNT\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINNT\cApp.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Dokumente und Einstellungen\Kathleen\Eigene Dateien\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Kathleen\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A7927C64-C417-444E-969F-1AD54A670672} - C:\WINNT\system32\cpmgla.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [OfficeDeamon] C:\WINNT\cApp.exe /i
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O18 - Filter: text/html - {986DA9CD-CB0F-474F-A320-6EA1463EB839} - C:\WINNT\system32\cpmgla.dll
O18 - Filter: text/plain - {986DA9CD-CB0F-474F-A320-6EA1463EB839} - C:\WINNT\system32\cpmgla.dll
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)



Ich seh immernoch nicht durch woran es liegt?!

Gehe in den abgesicherten Modus und fixe mit HijackThis alle R0 und R1-Einträge, sowie:

O2 - BHO: (no name) - {A7927C64-C417-444E-969F-1AD54A670672} - C:\WINNT\system32\cpmgla.dll


Dieses Programm kommt mir auch komisch vor, zumindest kann ich nirgendwo zuordnen:
O4 - HKLM\..\Run: [OfficeDeamon] C:\WINNT\cApp.exe /i

Kannst du dich erinnern, das installiert zu haben oder herausfinden, wozu es gehört? Vielleicht ja zum Virenscanner, ansonsten wäre das wohl auch zu fixen.

Vielen Dank,
hat alles geklappt und ich hab wieder was gelernt!!!
Ich hoffe ich hab jetzt ein wenig Ruhe.........

Es hat geklappt ohne die Datei C:\WINNT\system32\cpmgla.dll zu löschen??

Hab nur die unter O2 geführte Datei (O2 - BHO: (no name) - {A7927C64-C417-444E-969F-1AD54A670672} - C:\WINNT\system32\cpmgla.dll ) gelöscht, die anderen zwei unter O4 genannten hab ich gelassen, hat trotzdem funktioniert.
Woher kann ich eigentlich erkennen, welche Programme gelöscht werden müssen und welche nicht, und welche Bedeutung haben die Zeilen die mit R beginnen (welche ich ja anscheinend alle löschen kann) und die mit O anfangen?
Falls wieder ein ähnliches Problem auftritt, möchte ich gern mal selbst beheben können.

Es gibt eine automatische Auswertung des HJT-Logs bei www.hijackthis.de die man zumindest als groben Anhaltspunkt nehmen kann. Einige Einträge wie die bei R1 sind sehr leicht zu identifizieren, wenn man mal ein paar entsprechende Logs gesehen hat und sich ein wenig mit den Windows-Programmen auskennt, schwieriger wirds dann mit .exe und .dll-Dateien. Einige sind auch hier shcnell als gut zu klassifizieren, andere werden verdächtig, wenn sie sich in bestimmten Systemordnern befinden, aber komische Namen haben und sich auch per google u.ä. keine Anwendung zuordnen lässt, das ist dann mit ziemlicher Sicherheit ein Schädling. Diese tarnen sich ja auch gern mit leicht anders geschriebenen Namen (runonce.exe wird zu runoncew.exe).
Dein Eintrag:

O4 - HKLM\..\Run: [OfficeDeamon] C:\WINNT\cApp.exe /i

ist für mich beispielsweise nach wie vor potentiell verdächtig, weil ich weder zu OfficeDeamon noch zum Namen der Datei irgendwas Eindeutiges gefunden habe. Wenn du bei HJT auf "Info" klickst, siehst du eine Erklärung für die verschiedenen Abteilungen.

Ich denke auch dass die cApp.exe bedenklich ist,
in der msconfig wird sie als SyncManager ausgewiesen.

Ich hab sie mir anscheinend gestern eingefangen als ich bei der suche nach nem neuen OnlineGame auf einen Link mit zig Popups kam.

Sie erinnert stark an ccApp.exe die von Symantec verwendet wird.

Ich hab das Ding in der msconfig deaktiviert,
und anschließend umbenannt (nur für den Fall dass es doch was wichtiges ist).

Gefunden darüber hab ich auch noch nichts.

C

cApp.exe
wurde bei dem heutigen Vierendefinitionsupdate von Symantec als Backdoor Trojaner identifiziert.

C