Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "about: blank" mich hat es auch erwischt (https://www.trojaner-board.de/11212-about-blank-mich-hat-erwischt.html)

schelo 25.12.2004 20:28
"about: blank" mich hat es auch erwischt
 
Erst einmal wünsche ich allen ein frohes Weihnachtsfest.

Nu aber

Wie im Header schon erwähnt, hat es mich wohl mit about: blank erwischt. Weder ADAWARE noch GIANT ANTISPYWARE konnten da richtig helfen. Und um alles noch schlimmer zu machen, läßt sich Windows nicht mehr im abgesicherten Modus starten.

Hier mal mein Logfile. Wenn es nicht zuviel Umstände macht, bitte ich um einen step-by-step Ratschlag, da ich in diesem Feld noch ein vollkommener Bewbie bin:

Logfile of HijackThis v1.99.0
Scan saved at 19:42:35, on 25.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ntob.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PROMon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\McAfee\QuickClean\Plguni.exe
C:\programme\quicktime\qttask.exe
C:\Programme\GIANT AntiSpyware\gcasServ.exe
C:\WINNT\system32\iepf.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\GIANT AntiSpyware\gcasDtServ.exe
Z:\Downloads\HijackThis.exe
C:\WINNT\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ktobr.dll/sp.html#24098
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2D883F4C-6A8E-5904-1199-F5458D21F839} - C:\WINNT\atliq.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [iexw32.exe] C:\WINNT\system32\iexw32.exe
O4 - HKLM\..\Run: [iepf.exe] C:\WINNT\system32\iepf.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://hosting.1und1.de
O15 - Trusted Zone: www.forum.24fans.de
O15 - Trusted Zone: http://www.adobe.de
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: http://www.bifff.org
O15 - Trusted Zone: www.blitz-verlag.de
O15 - Trusted Zone: www.charmes.de
O15 - Trusted Zone: www.dpd.de
O15 - Trusted Zone: www.dvd-inside.de
O15 - Trusted Zone: http://www.dvdinside.de
O15 - Trusted Zone: http://www.fantasporto.com
O15 - Trusted Zone: http://www.gamestar.de
O15 - Trusted Zone: http://www.mcu.es
O15 - Trusted Zone: www.peekundcloppenburg.de
O15 - Trusted Zone: www.symantec.de
O15 - Trusted Zone: http://www.vodafoneshop.de
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/250fa063...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Network Security Service - Unknown - C:\WINNT\system32\ntob.exe

Ach, und die SICHEREN SITES lassen sich auch nicht mehr verwalten. Button läßt sich nicht mehr anklicken.

Noch eine Frage dazu: Inwieweit ist dieser "about: blank" hijack gefährlich? Will heißen, kann ich auf dem Rechner noch arbeiten inkl. surfen und e-mails abrufen, ohne das Daten verloren gehen bzw. Passwörter ausspioniert werden können?

Vorab schon mal vielen Dank für die Hilfe.

Viele Grüße, schelo

*Christian* 26.12.2004 02:08
Lösche dies im abg. Modus:

C:\WINNT\system32\iepf.exe
C:\WINNT\system32\iexw32.exe
C:\WINNT\atliq.dll
C:\WINNT\ktobr.dll


Fixe dies mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ktobr.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ktobr.dll/sp.html#24098
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ktobr.dll/sp.html#24098
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2D883F4C-6A8E-5904-1199-F5458D21F839} - C:\WINNT\atliq.dll
O4 - HKLM\..\Run: [iexw32.exe] C:\WINNT\system32\iexw32.exe
O4 - HKLM\..\Run: [iepf.exe] C:\WINNT\system32\iepf.exe
O15 - Trusted Zone: http://hosting.1und1.de
O15 - Trusted Zone: www.forum.24fans.de
O15 - Trusted Zone: http://www.adobe.de
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: http://www.bifff.org
O15 - Trusted Zone: www.blitz-verlag.de
O15 - Trusted Zone: www.charmes.de
O15 - Trusted Zone: www.dpd.de
O15 - Trusted Zone: www.dvd-inside.de
O15 - Trusted Zone: http://www.dvdinside.de
O15 - Trusted Zone: http://www.fantasporto.com
O15 - Trusted Zone: http://www.gamestar.de
O15 - Trusted Zone: http://www.mcu.es
O15 - Trusted Zone: www.peekundcloppenburg.de
O15 - Trusted Zone: www.symantec.de
O15 - Trusted Zone: http://www.vodafoneshop.de
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/250fa06...RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe


Die Dateien
C:\WINNT\system32\ntob.exe
C:\WINNT\system32\iepf.exe
C:\WINNT\system32\iexw32.exe
C:\WINNT\atliq.dll
sende bitte vorher zur genaueren Überprüfung an partytime-germany.ice@web.de


Deine vertrauenswürdigen Sites musst du anschl. wieder eintragen.

Schütze dich künftig mit einem anderen Browser: www.firefox-browser.de ist sicher und kostenlos.

Hijacker haben keine weiteren Schadensfunktionen, außer deinen Browser auf ungewünschten Seiten zu entführen.
Du hast aber wahrscheinlich noch TrojanDownloader auf deinem System. Diese downloaden andere schädliche Software, wie z. B. Adware oder auch Trojaner.

Scanne deshalb mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Passat2002 26.12.2004 02:31
hi

wer soll hier weitermachen?
du arbeitest die vorschläge aus 2 oder was weiß ich wie vielen foren ab, wieviel leute sollen sich um deinen rechner kümmern?

*Christian* 26.12.2004 02:41
Jetzt weiss ich wenigstens wer Speedy ist ... :D

schelo 27.12.2004 11:19
Hallo Christian,

ich habe es eben gerade schon im hijackthis Forum gschrieben.

In der Nacht meines Postings schien es techn. Probleme mit eurer Seite zu geben. Auf jeden Fall habe ich nach absenden meines Postings keine Seite mehr von euch öffnen können. Ich konnt also auch nicht sehen, ob mein Posting angekommen ist und bin daher erst einmal vom Gegenteil ausgegangen und habe deshalb die gleiche Frage nochmals im anderen Forum gepostet.

Ich wollte damit keinesfalls die gesamte Community belasten. Hier ist einfach was schief gelaufen.

Da ich bei hijackthis schon ein update in derselben Nacht gepostet habe, würde ich vorschlagen, daß ich auch dort weitermache.

Viele Grüße, Ivo


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131