|
about:blank Hallo, vielleicht kann mir jemand helfen: Beim Start des IExplorers kommt immer about:blank als Startseite. Wie bekommt man die Einträge in der regedit weg, und damit sie auch wirklich nicht mehr vorhanden sind. ad aware, Hijackthis (abgesicherter Modus, Systemwiederherstellung deaktiviert)) haben nichts gebracht kommt immer wieder. Virusscanner schlägt bei jedem Start des Browsers an und entfernt den Virus, es kommt aber als Startseite immer about:blank auto.search.msn.com mfg Thomas Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_LOCAL_MACHINE Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" |
|
Logfile of HijackThis v1.99.0 Scan saved at 13:06:54, on 12.2.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\Pötz\Desktop\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [CnOServerLauncher] CNOServerLauncher.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1 O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108203386416 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96} O20 - AppInit_DLLs: msconfd.dll O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Esker LPD - Esker - C:\PROGRA~1\TUN\TCPW\WLPDSNT.EXE O23 - Service: McAfee Framework-Dienst - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe |
Hi, Scannen mit escan hat noch folgendes gebracht. Kann man die Dateien alle löschen? mfg Thomas File C:\WINDOWS\system32\msconfd.dll infected by "Trojan.Win32.StartPage.au" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\msconfd.dll infected by "Trojan.Win32.StartPage.au" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\DateMakerAustria-uninstall.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\WINDOWS\system32\EGCOMLIB_1035.dll infected by "not-a-virus:PornWare.Dialer.InstantAccess" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\msxmlpp.dll infected by "not-a-virus:AdWare.AiFind.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\netia32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.h. No Action Taken. File C:\WINDOWS\system32\P2ECOM.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken. |
@thg1971 der hier ist im system http://www.sophos.de/virusinfo/analy...startpgau.html O20 - AppInit_DLLs: msconfd.dll ist dein logfile erstellt von normalen modus oder abgesicherten modus? chaosman |
abgesicherter Modus |
@thg1971 die 2 dialer dateien auf diskette speichern zwecks beweismittel. systemwiederherstellung deaktivieren, danach in den abgesicherten modus wechseln und folgende dateien manuell löschen C:\WINDOWS\system32\msconfd.dll C:\WINDOWS\system32\DateMakerAustria-uninstall.exe C:\WINDOWS\system32\EGCOMLIB_1035.dll C:\WINDOWS\system32\msxmlpp.dll C:\WINDOWS\system32\netia32.dll C:\WINDOWS\system32\P2ECOM.dll neu booten, systemwiederherstellung aktivieren neues HJT logfile aus den normalen modus posten chaosman |
files gelöscht und eintrag in der Regedit nach anleitung entfernt und schon funktioniert's wieder so wie es sein soll. Danke für die Hilfe. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board