|
nach trojaner, about:blank bug im IE, an alle experten! nabend zusammen, folgendes problem: habe mir gestern einen hartnäckigen trojaner eingefangen... kurze zeit später war die infizierte datei erkannt, und gelöscht. das problem war, dass der IE die startseite geändert hatte, und alle versuche diese zu ändern scheiterten. nachdem ich die verseuchte datei gelöscht hatte (ppc.dll im ordner c:\programme\PPC Advertor\) war die startseite verschwunden, der IE zeigt nun aber "Die Seite kann nicht angezeigt werden." an, wenn dieser gestartet ist UND about:blank als startseite eingestellt ist. eigentlich sollte aber eine weiße seite angezeigt werden. klicke ich nun auf das "startseite" symbol in der explorerleiste, so wird die "about:blank" seite auch angezeigt, sprich eine weiße seite. die frage ist nun also was der trojaner geändert hat, dass dies so ist, was muss ich wieder abändern? in der reg. sind alle einträge gelöscht die auf die datei, oder programmpfad hinweisen. ausserdem sind die einstellungen für die startseite im IE in der reg. auch alle korrekt. eines ist mir noch aufgefalen, wenn ich auf internetoptionen gehe, und dann auf "aktuelle seite" klicke, wird folgendes angezeigt "res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm" rechtsklick auf die "fehlerseite" und "eigenschaften" zeigen dies: "res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm#about:blank" wo liegt also nun das problem? alle tools wie adaware, spybot etc. finden natürlich nichts, da der trojaner selbst natürlich gelöscht ist. ich hoffe es gibt einige wirkliche experten unter euch die mir helfen können ;) HJT zeigt natürlich auch nichts an, darum verzichte ich auf den log... schönen gruß... |
Zitat:
cacatoa |
tja, wenn ich das noch wüsste... |
Zitat:
|
Poste mit mal ein Log von HijackThis hier her http://hijackthis.de/downloads/hijackthis_199.zip ist einfacher für uns... |
Hallo alle miteinander! Habe ein ähnliches Problem und habe hierzu gestern abend ein Thema eröffnet. Leider bis jetzt ohne Antwort. Ich suche jemanden, der mein hijjack log einmal checken könnte. Wer sit so nett ? Makkus |
@ makkus: mach einen neuen, eigenen Thread auf; ist besser. cacatoa |
okay, nachfolgend der log... @lutz: ich kann da so oft die startseite ändern wie ich will, sobald ich ein neues IE fenster aufmach (wenn about:blank als startseite eingestellt ist) kommt die fehlermeldung. irgendwie hat der trojaner da eine "verknüpfung" gelöscht oder sowas... denke mal einen reg. eintrag... Logfile of HijackThis v1.99.0 Scan saved at 19:45:04, on 18.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\sygate_firewall\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\sony\vaio power management\SPMgr.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Apoint\Apntex.exe C:\Programme\icq_lite\ICQLite.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\winamp\winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\tuneup_utilities\Integrator.exe C:\Programme\tuneup_utilities\SystemControl.exe C:\_downloads\ie_downloads\hijackthis_199\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\adobe_acrobat_reader\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\icq_lite\ICQLite.exe -trayboot O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\leech_get\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\leech_get\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\leech_get\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\icq_lite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\icq_lite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{5AE43F59-61A5-4945-8462-6BFE90090A7F}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\sygate_firewall\smc.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\tuneup_utilities\WinStylerThemeSvc.exe |
Zitat:
|
ist erledigt, leider kein erfolg... wie auch schon erwähnt habe ich bereits alle einträge in der reg. die was damit zu tun haben könnten überprüft... |
ah ja, erwähnt sollte vielleicht auch sein, dass ich vor paar std. xp nochmal in der rep. funktion crübergebügelt habe. hat nichts gebracht, nur zeit gekostet... :headbang: |
Sorry, dann muss ich leider (vorerst) passen... :( |
hmmm... ich weiß schon warum ich immer erst in foren poste wenn ich nicht selbst weiterweiß ;) immer müssen es so "unlösbare" dinge sein, die einfach nur nerven... aber ich geb nicht auf. weiß denn sonst noch jemand rat? |
Hallo, versuch´s mal so -> http://www.expertenseite.de/index.ac...d=aIUuA2tbi_C5 oder kämpf dich hier durch -> http://groups.google.com/groups?as_e...=lang_de&hl=de |
grrrr... schon alles mögliche versucht und noch immer kein erfolg... mitlerweile denke ich dass es vielleicht eher an einer datei liegt, als an der reg. nur welche ist dafür zuständig dass bei dem ersten start vom IE auf die startseite bzw. about:blank seite verwiesen wird... |
nur so ne Idee, startet Dein IE zufälligerweise neuerdings im Offline-Modus?? Nachtrag: Vielleicht muss auch 'nur' die gelöschte Datei noch de-registriert werden. Das müsste dann in Deinem Fall in etwa so aussehen: DOS-Box öffnen Start--> Ausfuehren--> cmd regsvr32 /u c:\programme\PPC Advertor\ppc.dll |
nein, wird im online modus gestartet... das deregistrieren klappt nicht, "fehlgeschlagen"... |
Hallo Ich hatte das gleiche problem wie du! Ich konnte machen was ich wollte es hat nichts geholfen!! Schlussendlich habe ich den PC neu aufgesetzt. Und mir Firefox installiert. Ich surfe nun schon eine weile mit dem Firefox und hatte was das anbelangt nie wieder probleme!! Einmal war ich mit dem IE surfen und eine Stunde später hatte ich wieder das gleiche Problem! Schmeiss den scheiss IE weg! :kloppen: (geht nicht, aber einfach nicht mehr benutzen!!) Auch ein Freund von mir hatte das problem (ein echter computerheld) hat es auch nicht wegbekommen!! NEU AUFSETZEN und dann geniessen wie schnell er wieder arbeitet! |
Ich hatte letzte Woche einen Virus und musste meine Festplatte formatieren und alles neu installieren. Und bevor ich auf irgendwelchen dubiosen Webseiten war (mache ich eigentlich sowieso nicht) , d.h. nachdem ich den IE 7 zum erstemal geöffnet habe, war die Startseite 'about:blank' und ich kann das nicht ändern. Meine Frage: Bedeutet das wirklich dass ich einen Tojaner auf meinem Rechner habe? Oder ist es einfach ein MS bug? Gruß Helmut Hier die Hijackthis logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:27:52, on 15.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16876) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\PadTouch\PadExe.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\EzButton\EzButton.EXE C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\System32\ZoomingHook.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe -- End of file - 8178 bytes |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board