Trojaner-Board - About Blank erscheint immer

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - About Blank erscheint immer (https://www.trojaner-board.de/16602-about-blank-erscheint-immer.html)

About Blank erscheint immer

Hallo,
ich brauche Eure Hilfe.
Auch bei mir erscheint auf der Startseite immer About Blank und es springt immer Werbung auf.
Ich wollte Hijack This laufen lassen und dann posten. Allerdings ist das Testabo abgelaufen und ich habe keinen Zugriff mehr darauf.
Habe die Empfehlung von Eurer Seite Downgeloadet und es zeigte mir keine Verseuchung. Hier das Post.
Vielen Dank für Eure Mithilfe bin leider Computerlaie.
Ich hoffe das ist das richtige.
Viele Grüße

(13.4.05 18:00:29) SPSeHjFix started v1.1.2
(13.4.05 18:00:29) OS: Win2000 Service Pack 4 (5.0.2195)
(13.4.05 18:00:29) Language: deutsch
(13.4.05 18:00:29) Win-Path: C:\WINNT
(13.4.05 18:00:29) System-Path: C:\WINNT\system32
(13.4.05 18:00:29) Temp-Path: C:\DOKUME~1\AR\LOKALE~1\Temp\
(13.4.05 18:00:34) Disinfection started
(13.4.05 18:00:34) Bad-Dll(IEP): c:\winnt\system32\umlut.dll
(13.4.05 18:00:34) UBF: 7 - UBB: 3 - UBR: 16
(13.4.05 18:00:34) UBF: 7 - UBB: 3 - UBR: 16
(13.4.05 18:00:34) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\system32\umlut.dll/sp.html#69959
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\system32\umlut.dll/sp.html#69959
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\system32\umlut.dll/sp.html#69959
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\system32\umlut.dll/sp.html#69959
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\system32\umlut.dll/sp.html#69959
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\winnt\system32\umlut.dll/sp.html#69959
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\system32\umlut.dll/sp.html#69959
(13.4.05 18:00:34) Stealth-String not found
(13.4.05 18:00:34) No locked Files to delete. End without Reboot
(13.4.05 18:01:11) Disinfection started
(13.4.05 18:01:11) Bad-Dll(IEP): c:\winnt\system32\umlut.dll
(13.4.05 18:01:11) UBF: 7 - UBB: 3 - UBR: 16
(13.4.05 18:01:11) UBF: 7 - UBB: 3 - UBR: 16
(13.4.05 18:01:11) Bad IE-pages: (none)
(13.4.05 18:01:11) Stealth-String not found
(13.4.05 18:01:11) No locked Files to delete. End without Reboot

(13.4.05 18:01:23) SPSeHjFix started v1.1.2
(13.4.05 18:01:23) OS: Win2000 Service Pack 4 (5.0.2195)
(13.4.05 18:01:23) Language: deutsch
(13.4.05 18:01:23) Win-Path: C:\WINNT
(13.4.05 18:01:23) System-Path: C:\WINNT\system32
(13.4.05 18:01:23) Temp-Path: C:\DOKUME~1\AR\LOKALE~1\Temp\
(13.4.05 18:01:24) Disinfection started
(13.4.05 18:01:24) Bad-Dll(IEP): (not found)
(13.4.05 18:01:24) Bad-Dll(IEP) in BHO: (not found)
(13.4.05 18:01:24) UBF: 7 - UBB: 3 - UBR: 16
(13.4.05 18:01:24) UBF: 7 - UBB: 3 - UBR: 16
(13.4.05 18:01:24) Bad IE-pages: (none)
(13.4.05 18:01:24) Stealth-String not found
(13.4.05 18:01:24) Not infected->END

Hallo,

Zitat:

Ich wollte Hijack This laufen lassen und dann posten. Allerdings ist das Testabo abgelaufen und ich habe keinen Zugriff mehr darauf.

Ich weiss zwar nicht was du da ausgeführt hast, aber das Tool HiJackThis ist keine Testversion.

Führe dies nochmal aus:
Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Ebenso auch dies:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

@Unwissender1
Anscheint, hast du die sp.htm's gelöscht, aber das Problem besteht noch? Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.
EDIT: Abend Cidre ;)

Hallo,
hier nocheinmal ein anderer HijackThis
Hoffe das ist der richtige.
Logfile of HijackThis v1.99.1
Scan saved at 18:35:16, on 13.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\VTTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Palm\HOTSYNC.EXE
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\sysgz.exe
C:\WINNT\mfcyw32.exe
C:\WINNT\system32\wscript.exe
C:\Programme\Error Nuker\bin\ErrorNuker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\umlut.dll/sp.html#69959
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\umlut.dll/sp.html#69959
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\umlut.dll/sp.html#69959
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\umlut.dll/sp.html#69959
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\umlut.dll/sp.html#69959
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\umlut.dll/sp.html#69959
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\umlut.dll/sp.html#69959
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B62DD447-AC58-6492-6F81-34AA00C6CAA1} - C:\WINNT\system32\syskk.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\AR\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [mfcyw32.exe] C:\WINNT\mfcyw32.exe
O4 - HKLM\..\Run: [Error Nuker] C:\Programme\Error Nuker\bin\ErrorNuker.exe autostart
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: Meisterstueck Online - http://e-sign.meisterstueck.de/meisterstuecksigned.cab
O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} - http://www.errornuker.com/products/e...rInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6A96E54-8763-4D27-87D0-5073E109FCBD}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\sysgz.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo,
bitte um Antwort ob das so richtig war?
V.G.

Hallo Unwissender1,

Fast alles richtig.

Zitat:

C:\DOKUME~1\AR\LOKALE~1\Temp\mwavscan.com

Lt. Anleitung einen Ordner „C:\base“ erstellen, die „mwav.exe“ dorthin entpacken, mit „kavupd.exe“ updaten. Dann im Abgeischerten Modus scannen.

Zitat:

Zitat von Cidre

Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

dartus