Hi,

ich hatte auf meinem Rechner mit win 98 ein Problem mit about: blank (Trojan.win32.StartPage.ix)

Der Scan mit HijackThis ergab u.a. folgende Meldung:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {4356DC81-E157-11D8-B6C4-0050EE553327} - C:\WINDOWS\SYSTEM\KMB.DLL

Nach zahlreichen Versuchen mit diversen Tools und Virensoftware habe ich das Problem dann mit CWShredder gelöst (wie ich hoffe, dauerhaft). Ich habe jetzt noch einmal einen Scan mit hijackthis gemacht und möchte gerne wissen, ob meine System jetzt bereinigt ist:

Logfile of HijackThis v1.98.2
Scan saved at 01:36:24, on 18.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
A:\HIJACKTHIS1982\PRUEFUNG.COM

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [kavsvc] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129,62.255.252.16

Ich würde mich freuen, wenn mal jemand drüber schaut und mir eine Rückmeldung geben würde.

Vielen Dank!

Ist das Logfile aus dem abgesicherten Modus? Aus dem normalen wäre besser. Du hast offenbar noch zwei Virenscanner installiert, das ist keine so gute Idee, da diese beiden Hintergrundwächter haben, die sich potentiell gegenseitig behindern. Also entscheide dich am besten für eines der beiden.
Sonst sieht das Log zunächst mal ok aus.

Logfile of HijackThis v1.98.2
Scan saved at 01:36:24, on 18.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Besuche dringend www.windowsupdate.com und aktualisiere dein System. Aktuell ist z.B. der Internet Explorer in der v.6.00 SP1

Also ich würde aber diese 2 Einträge fixen:

09 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Es stimmt noch nicht ganz, du solltest noch zwei Sachen fixen:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Mach nachdem du das getan nochmal schnell nen Scan mit Hijackthis, denn es kann sein das die beiden Einträge wiederauftauchen, wie hier passiert.

VLG Moskitoman

Was ist eigentlich mit folgenden Einträgen:
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Die sollte er doch auch fixxen können,da steht ja nichts relevantes drin-meiner Meinung nach.

Ja die sollte er auch fixen.

Hallo Arthur,

beachte bitte den Rat von MountainKing und Lidius. Und nun noch die komplette Anweisung für dieses Logfile ;-)

Boote in den abgesicherten Modus, fixe mit Hijack This (Häk'chen setzen und fix cheched klicken):

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

boote in den normalen Modus.

SD

mit Grüssen an cronos und Moskitoman