Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Habe eine Problemlösung für Search Web (about:blank - sp.html) gefunden! (https://www.trojaner-board.de/10348-habe-problemloesung-search-web-about-blank-sp-html-gefunden.html)

Klorix 02.12.2004 22:33

Habe eine Problemlösung für Search Web (about:blank - sp.html) gefunden!
 
Servus Leute,
möchte heute hier auch meinen Beitrag zu diesem Thema leisten.
Am heutigen Morgen habe ich bei meinem Schwiegervater das Problem mit der Search Web Startseite lösen können. Das hat zwar fast 4 Stunden gedauert, da kein Lösungsansatz im Internet helfen konnte, kein AdAware, noch das für sp.html angebotene FixTool.
Folgendermaßen bin ich vor gegangen: (Alle Löschvorgäng bitte vorher Sichern, übernehme kein Verantwortung!)
Internet Explorer schließen. Die Datei sp.html auf dem Rechner suchen und löschen.
Im Taskmanager nach einen Task mit dem Namen Tscash suchen. Fals vorhanden diesen Task beenden. (Das ist ein ehemaliger deutsche Dialer der wohl mit dem ganzen Problem zu tun hat.)
Dateien auf dem Rechner mit der Suchmaske Tscash suchen, also (Tscash.exe usw.). Diese Dateien löschen. In der Registry nach Tscash einträgen suchen und ebenfals löschen.
So jetzt wird es interessant. In der Systemsteuerung unter Software nach einem Software Eintrag wie etwa Search Assistant suchen. Dieser ließ sich bei mir z.B. nicht deinstallieren und gab nur eine Fehlermeldung aus.
Ist bei Euch ein solcher Eintrag nicht vorhanden weiß ich auch nicht weiter!!!
Ist ein solcher Eintrag da, dann gehts nun weiter.
In der Registry unter: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
nach diesem Search Asisstant suchen. Dieser enthält einen Link zu einer *.dll Datei. Den Namen weiß ich leider nicht mehr, ist aber sicher uninteressant, da diese Datei laut vielen anderen Postings, bei jedem anders heißen dürfte.
Diese *.dll Datei in der ganzen Registry suchen und alle Verweise darauf löschen.
Diese *.dll Datei auf dem Rechner suchen und löschen.
Ad-aware oder anderes Spyware Tool über den Rechner laufen lassen und alle gefundenen Einträge löschen. Internet Explorer starten. Dieser müsste jetzt versuchen die Seite msn.com zu öffen oder ähnliches, was natürlich fehlschlägt.
Nun unter Extras/Internetoptionen die gewünschte Startseite eintragen (zum Test am besten "Leere Seite". Internet Explorer schließen und wieder öffen und beim Schwiegervater war wieder alles OK. Keine sp.html mehr, keine Registry Einträge und kein Web Search Startseite.
Nun noch den aktuellen Kumulative Patch für IE6SP1 vom 01.12.2004 installiert, besser aufpassen und beten, das so was nicht noch mal passiert.
Ich hoffe ich kann damit jemandem helfen, uns hat's geholfen!!!
bye klorix

cronos 03.12.2004 01:48

Zitat:

Zitat von Klorix
Nun noch den aktuellen Kumulative Patch für IE6SP1 vom 01.12.2004 installiert, besser aufpassen und beten, das so was nicht noch mal passiert.
Ich hoffe ich kann damit jemandem helfen, uns hat's geholfen!!!
bye klorix

Wobei ,wie man wieder sieht, das SP2 für Windows XPzu empfehlen ist.
SP2 User sind quasi im Besitz des Kumulativen Sicherheitsupdate für Internet Explorer (889293):
Zitat:

Zitat Heise:
Betroffen sind alle Windows-Versionen mit Internet Explorer 6.0 außer Windows XP mit Service Pack 2. Wie Microsoft gegenüber heise Security erklärte, wurden im Rahmen von SP2 Teile des Internet Explorer komplett neu geschrieben. Dabei wurde der Fehler, der den Pufferüberlauf ermöglicht, beseitigt, ohne dass man es bemerkt habe.
Quelle:http://www.heise.de/newsticker/meldung/53841
Ist aber auch nicht ganz richtig:
Nicht betroffene Software:

Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Version 2003


Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
Quelle:http://www.microsoft.com/germany/tec.../ms04-040.mspx

Nichts desto trotz:

Ist doch auch mal was nettes, Microsoft patched unabsichtlich, aber patched!Sicher ist sicher.

Aber

HiHi

My 2 Cents

Cronos

Mit SP2


:crazy:

Klorix 03.12.2004 21:07

Wobei ich sagen muss, ob der aktuelle Service Patch wirklich eine Lücke schließt durch die der ganze Schlamassel auf den Rechner kam oder ob es ein unbedachter OK Klick war weiß ich nicht. Hoffe jedoch das das alles zusammen des Problemes Lösung war.

bye klorix

pizzooid 14.01.2005 16:47

hmm... service pack 2 ist nicht betroffen?

komisch, mein vater hat den auf seinem PC mit sp2 drauf:

hjt log:

Logfile of HijackThis v1.99.0
Scan saved at 16:15:24, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\devldr32.exe
C:\Dokumente und Einstellungen\Mario.MARRUSS\Desktop\hjt\HijackThis.exe
C:\WINDOWS\system32\ntvdm.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MARIO~1.MAR\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MARIO~1.MAR\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {710EC46F-B760-43BB-85EA-DC14F7DA69B7} - C:\WINDOWS\system32\pknbc.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter: text/html - {6C64A3C4-00D8-43E1-8D0D-21740AFFC594} - C:\WINDOWS\system32\pknbc.dll
O18 - Filter: text/plain - {6C64A3C4-00D8-43E1-8D0D-21740AFFC594} - C:\WINDOWS\system32\pknbc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe


danke für hilfe ^^

Shadowdance 14.01.2005 17:02

@ pizzooid

--> boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MARIO~1.MAR\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MARIO~1.MAR\LOKALE~1\Temp\sp.dll/sp.html

--> Boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu.

--> überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\system32\pknbc.dll

--> teile uns das Ergebnis der Überprüfung mit.

pizzooid 16.01.2005 14:58

ich war jetzt im Abgesicherten Modus und habe die einträge gelöscht,

nach einem neustart trat die Ad-Seite aber wieder auf....


der scan der Datei ergab folgendes:

File: pknbc.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.59 seconds taken)
Avast Win32:Startpage-006 (3.14 seconds taken)
BitDefender No viruses found (0.68 seconds taken)
ClamAV Trojan.Startpage-134 (0.37 seconds taken)
Dr.Web Trojan.StartPage.420 (0.52 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.qr (0.63 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.37 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)

vielen Dank für eure Hilfe

*Christian* 17.01.2005 00:39

Sende die Datei C:\WINDOWS\system32\pknbc.dll an partytime-germany.ice@web.de

Anschließend lösche sie im abg. Modus und fixe erneut die Einträge, die von SD genannt wurden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131