Trojaner-Board - about:blank HILFE!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - about:blank HILFE! (https://www.trojaner-board.de/13906-about-blank-hilfe.html)

about:blank HILFE!

hi, wie viele andere hat es auch mich erwischt!!!
about:blank erscheint auch nach dem Ausführen von AdAware und NoAdware. Windows habe ich auch schon up-gedatet ;-)

Ich hoffe ihr könnt mir helfen!
hier mein HJT Logfile:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\NORMAN\bin\ZANDA.EXE
C:\WINNT\system32\PLServ.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Dantz\Client\Remotsvc.exe
C:\Programme\Dantz\Client\retroclient.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\Programme\Sesam\Security\SPISLMGR.exe
C:\Programme\Sesam\Servers\LicSrv.exe
C:\Programme\Sesam\Security\SvcCtrl.exe
C:\Programme\Sesam\Servers\UsrMgmS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\NORMAN\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\sysfy32.exe
C:\WINNT\crql32.exe
C:\WINNT\System32\PDesk\PDesk.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\NORMAN\bin\ZLH.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SESAM\Servers\LicMon.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\bin\cclaw.exe
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\hj.kuenzli\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ghhzg.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ghhzg.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ghhzg.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ghhzg.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ghhzg.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ghhzg.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ghhzg.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8039624B-5680-30B9-2E22-948DC8D22624} - C:\WINNT\ntco.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [crql32.exe] C:\WINNT\crql32.exe
O4 - HKLM\..\Run: [1B.tmp] C:\DOKUME~1\HJ35D8~1.KUE\LOKALE~1\Temp\1B.tmp.exe 0 10001
O4 - HKLM\..\RunOnce: [sysfy32.exe] C:\WINNT\sysfy32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SAGE SESAM Service Monitor.lnk = C:\Programme\SESAM\Servers\LicMon.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {B8634A6E-38D5-4AAE-8708-3F3DB92FF9D0} (NTR Activex 1.0.8) - http://www.inquiero.com/inquiero/mod...activex108.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} - http://searchfind.info/bar/win32.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kuenzlid01.intra
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kuenzlid01.intra
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kuenzlid01.intra
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown - C:\NORMAN\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\system32\PLServ.exe
O23 - Service: Retrospect Client - Dantz Development Corporation - C:\Programme\Dantz\Client\Remotsvc.exe
O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\Programme\Dantz\Client\rthlpsvc.exe
O23 - Service: SESAM Licence Manager - Sage Sesam Ltd - C:\Programme\Sesam\Security\SPISLMGR.exe
O23 - Service: SESAM Licence Server - Sage Sesam Ltd - C:\Programme\Sesam\Servers\LicSrv.exe
O23 - Service: SESAM Service Agent - Unknown - C:\Programme\Sesam\Security\SvcCtrl.exe
O23 - Service: SESAM User Management Server - Sage Sesam Ltd - C:\Programme\Sesam\Servers\UsrMgmS.exe
O23 - Service: VNC Server - AT&T Research Labs Cambridge - C:\Programme\ORL\VNC\WinVNC.exe
O23 - Service: Network Security Service - Unknown - C:\WINNT\addnt.exe (file missing)

Danke für jeden Hinweis!

MFG
Thomas

Anhang:

Top des Logfiles:

Logfile of HijackThis v1.99.0
Scan saved at 10:27:10, on 16.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

merci!

Das Logfile ist nicht komplett "Bitte Systemangeben" mitposten:

Welches Betriebssystem usw.

Escan Download und nach Anleitung scannen.

Danach öffne die öffnest du mit dem Editor, die mwav.txt und wählst unter bearbeiten -> suchen, hier gibst du infected ein.

Alle Zeilen in der infected steht markieren, und hier im thread einfügen.
Ganz unten steht die Zusammenfassung, diese auch hier posten :)

hey!
folgende "infected" Dateien habe ich gefunden:

Wed Feb 16 13:52:49 2005 => File C:\WINNT\sysfy32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:52:56 2005 => File C:\WINNT\ntco.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:52:59 2005 => File C:\WINNT\ntco.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:53:07 2005 => File C:\WINNT\sysfy32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:53:15 2005 => File C:\WINNT\apirh32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:53:27 2005 => File C:\WINNT\syskm32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:53:35 2005 => File C:\WINNT\system32\atlhb.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:53:42 2005 => File C:\WINNT\system32\crer32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:53:56 2005 => File C:\WINNT\system32\ghhzg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:54:00 2005 => File C:\WINNT\system32\ieiv32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:54:03 2005 => File C:\WINNT\system32\ipkr32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:54:05 2005 => File C:\WINNT\system32\javacd.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:54:22 2005 => File C:\WINNT\system32\netsm.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:54:40 2005 => File C:\WINNT\system32\sdkir32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:54:40 2005 => File C:\WINNT\system32\sdkuz32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:54:55 2005 => File C:\WINNT\system32\winlog.exe infected by "Backdoor.Win32.Xoremal.a" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:55:00 2005 => File C:\DOKUME~1\HJ35D8~1.KUE\LOKALE~1\Temp\1B.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:55:35 2005 => File C:\DOKUME~1\HJ35D8~1.KUE\LOKALE~1\TEMPOR~1\Content.IE5\BIKZ7XWL\index[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Wed Feb 16 13:55:46 2005 => File C:\DOKUME~1\HJ35D8~1.KUE\LOKALE~1\TEMPOR~1\Content.IE5\T77VXDWA\index[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:01:18 2005 => File C:\Dokumente und Einstellungen\hj.kuenzli\Lokale Einstellungen\Temp\1B.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:02:01 2005 => File C:\Dokumente und Einstellungen\hj.kuenzli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BIKZ7XWL\index[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:02:14 2005 => File C:\Dokumente und Einstellungen\hj.kuenzli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T77VXDWA\index[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:26:14 2005 => File C:\q123.vbs infected by "Trojan-Downloader.VBS.Iwill.g" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:29:07 2005 => File C:\WINNT\apirh32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:36:36 2005 => File C:\WINNT\syskm32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:36:46 2005 => File C:\WINNT\system32\atlhb.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:37:07 2005 => File C:\WINNT\system32\crer32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:38:57 2005 => File C:\WINNT\system32\ghhzg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:39:02 2005 => File C:\WINNT\system32\ieiv32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:39:08 2005 => File C:\WINNT\system32\ipkr32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:39:10 2005 => File C:\WINNT\system32\javacd.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:39:42 2005 => File C:\WINNT\system32\netsm.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:40:16 2005 => File C:\WINNT\system32\sdkir32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:40:16 2005 => File C:\WINNT\system32\sdkuz32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Wed Feb 16 14:41:08 2005 => File C:\WINNT\system32\winlog.exe infected by "Backdoor.Win32.Xoremal.a" Virus. Action Taken: No Action Taken.

Wed Feb 16 14:41:34 2005 => ***** Scanning complete. *****

Wed Feb 16 14:41:34 2005 => Total Files Scanned: 39937
Wed Feb 16 14:41:34 2005 => Total Virus(es) Found: 44
Wed Feb 16 14:41:34 2005 => Total Disinfected Files: 0
Wed Feb 16 14:41:34 2005 => Total Files Renamed: 0

kann ich nun diese Dateien problemlos manuell löschen?

thx, thomas

Dein System ist kompromittiert; es ist nicht mehr vertrauenswürdig.
installiere windows neu und beachte diese Anleitung

muss das sein? ist mir nicht geholfen, wenn ich die Dateien einfach lösche?

mfg

leider solltest du das tun, wenn du deinem system wieder trauen willst

du hast sehr viele backdoors auf deiner Festplatte.
es kann sein dass du nicht alle gelöscht werden, weil es vielleicht noch mehr drauf hat als nur die, die eScan gefunden hat.

also neuaufsetzen