Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Search Toolbar und About Blank (https://www.trojaner-board.de/10016-search-toolbar-about-blank.html)

pors 24.11.2004 09:12
Search Toolbar und About Blank
 
Hallo zusammen und danke für die Aufnahme in Euer Forum !!

Ich habe versucht mich im vorhinein auf andere Beiträge einen möglichen Lösungsweg zufinden aber leider habe ich nichts passendes gefunden!

Bei meinen PC mit Windows98 SE habe ich diverese Viren entfernt (MyDoom).
Nun habe ich aber eine Toolbar im Internet Explorer 6.0 (Search Toolbar) und auch lässt sich die Startseite nicht ändern.Es steht immer wieder nach dem Neustart nur "About Blank" drinnen.Verwendete Programme sind das Norman Virus Control für die Viren zusammen mit dem Programm "Stinger" von McAfee.
Für die Trojaner Seite habe ich das Lavasoft Ad-aware eingesetzt aber auch dies hatte leider nicht zum gewünscht Erfolg geführt wegen der Search Toolbar.

Nun habe ich den HiJackThis laufengelassen und übermittle Euch das Protokoll und bitte Euch um die Auswertung und für einen möglichen Lösungsweg damit ich die Search Toolbar wegbekomme.

Besten Dank für Eure Mithilfe !

Gruss aus der Schweiz

Rob


Logfile of HijackThis v1.98.2
Scan saved at 08:43:39, on 24.11.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\NORMAN\NVC\BIN\ZANDA.EXE
C:\NORMAN\NVC\BIN\CCLAW.EXE
C:\NORMAN\NVC\BIN\NVCSCHED.EXE
C:\NORMAN\NVC\BIN\NJEEVES.EXE
C:\NORMAN\NVC\BIN\NIP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\NORMAN\NVC\BIN\ZLH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\NORMAN\NVC\BIN\NYMSE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\NORMAN\NVC\BIN\NIU.EXE
C:\PROGRAMME\LAPLINK PROFESSIONAL\LAPLINK.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\LIGHTS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\INSTALL\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765724820} - C:\WINDOWS\SYSTEM\WER4820.DLL
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-444C4C4F5552} - C:\WINDOWS\SYSTEM\DLL.DLL
O2 - BHO: (no name) - {4F213961-3BE4-11D9-8401-00507D0EB59A} - C:\WINDOWS\SNNPAPI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-444C4C4F5552} - C:\WINDOWS\SYSTEM\DLL.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Norman ZANDA] C:\NORMAN\NVC\BIN\ZANDA.EXE /LOAD
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Startup: Microsoft Office.lnk = c:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00170407-78E1-11D2-B60F-006097C998E7}\misc.exe
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: Internetbank - https://internetkb1.agiinba.ch/default/internetbank.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/5/files.chm::/file.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://limon-finder.com/alla/server.exe
O18 - Filter: text/html - {B469FE20-3D55-11D9-8401-00500135A359} - C:\WINDOWS\SNNPAPI.DLL
O18 - Filter: text/plain - {B469FE20-3D55-11D9-8401-00500135A359} - C:\WINDOWS\SNNPAPI.DLL
O21 - SSODL: Sysctl Desktop Handler - {23456789-0000-0020-0900-00AAFF6D2EA4} - C:\WINDOWS\System32\ntosv.dll

chaosman 24.11.2004 13:02
@pors
wechsle in den abgesicherten modus und fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765724820} - C:\WINDOWS\SYSTEM\WER4820.DLL
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-444C4C4F5552} - C:\WINDOWS\SYSTEM\DLL.DLL
O2 - BHO: (no name) - {4F213961-3BE4-11D9-8401-00507D0EB59A} - C:\WINDOWS\SNNPAPI.DLL
O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-444C4C4F5552} - C:\WINDOWS\SYSTEM\DLL.DLL
wenn du diesen einträge nicht kennst, dann fixen
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/5/files.chm::/file.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://limon-finder.com/alla/server.exe
O18 - Filter: text/html - {B469FE20-3D55-11D9-8401-00500135A359} - C:\WINDOWS\SNNPAPI.DLL
O18 - Filter: text/plain - {B469FE20-3D55-11D9-8401-00500135A359} - C:\WINDOWS\SNNPAPI.DLL
O21 - SSODL: Sysctl Desktop Handler - {23456789-0000-0020-0900-00AAFF6D2EA4} - C:\WINDOWS\System32\ntosv.dll
danach manuell löschen
C:\WINDOWS\SNNPAPI.DLL
C:\WINDOWS\System32\ntosv.dll
C:\WINDOWS\SYSTEM\WER4820.DLL
C:\WINDOWS\SYSTEM\DLL.DLL
danach neu starten, und ein neues HJT logfile posten
chaosman

pors 26.11.2004 09:27
Hallo und einen guten Morgen

Herzlichen Dank für die Hilfe und Anweisungen die ich erhalten habe.
Habe diese nach besten Wissen und Gewissen ausgeführt und die Toolbar habe ich damit weggebracht !! :aplaus:

Danke !

Nur noch das letzte Problem: Die Startseite lässt sich leider noch nicht ändern,es steht immer noch: About Blank

Wie mir beauftragt wurde habe ich nochmals ein Logfile deponiert zur nochmaligen Auswertung !

Nochmals herzlichen Dank für die Bemühungen !! :daumenhoc

Viele Grüsse

Rob


Logfile of HijackThis v1.98.2
Scan saved at 09:21:00, on 26.11.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\NORMAN\NVC\BIN\ZANDA.EXE
C:\WINDOWS\EXPLORER.EXE
C:\NORMAN\NVC\BIN\CCLAW.EXE
C:\NORMAN\NVC\BIN\NVCSCHED.EXE
C:\NORMAN\NVC\BIN\NJEEVES.EXE
C:\NORMAN\NVC\BIN\NIP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\NORMAN\NVC\BIN\ZLH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\NORMAN\NVC\BIN\NYMSE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\LAPLINK PROFESSIONAL\LAPLINK.EXE
C:\NORMAN\NVC\BIN\NIU.EXE
C:\WINDOWS\SYSTEM\LIGHTS.EXE
C:\INSTALL\HIJACKTHIS.EXE
C:\PROGRAMME\SYMANTEC\LIVEUPDATE\NDETECT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SNNPAPI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {4F213961-3BE4-11D9-8401-00507D0EB59A} - C:\WINDOWS\SNNPAPI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Norman ZANDA] C:\NORMAN\NVC\BIN\ZANDA.EXE /LOAD
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Startup: Microsoft Office.lnk = c:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00170407-78E1-11D2-B60F-006097C998E7}\misc.exe
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: Internetbank - https://internetkb1.agiinba.ch/default/internetbank.cab
O18 - Filter: text/html - {1E7DBFC3-3F88-11D9-8401-005032792624} - C:\WINDOWS\SNNPAPI.DLL
O18 - Filter: text/plain - {1E7DBFC3-3F88-11D9-8401-005032792624} - C:\WINDOWS\SNNPAPI.DLL

chaosman 26.11.2004 13:36
@pors
hast immer noch ein paar problemen im system
lese hier mal nach
http://www.trojaner-info.de/anleitun...out_blank.html
und führe es genauso durch
poste danach ein neues HJT
chaosman

pors 29.11.2004 13:18
Grossen herzlichen Dank für die fachliche und schnelle Unterstützung für mein inzwischen gelöstes Problem !! :daumenhoc

Besten Gruss

Rob


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131