Trojaner-Board - about:blank plus komische tollbar !

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - about:blank plus komische tollbar ! (https://www.trojaner-board.de/11907-about-blank-plus-komische-tollbar.html)

about:blank plus komische tollbar !

Hallo, hab seit einer stunde immer die selbe startseite "about:blank" ! Und eine tollbar + link tollbar.
Hier meine hijack log.

Scan saved at 17:48:45, on 10.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\gqfnxq.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\Spyware Doctor\spydoctor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\unlodctl.exe
C:\WINDOWS\system32\nlsfuncs.exe
C:\WINDOWS\system32\pentxpl.exe
C:\WINDOWS\system32\openconf.exe
C:\WINDOWS\system32\rundll32.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\snnpapi.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\snnpapi.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\snnpapi.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\snnpapi.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\snnpapi.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\snnpapi.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {76E8B3FC-8F2E-459B-856B-2C8B3708209E} - C:\WINDOWS\system32\snnpapi.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iecust.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [dialer] C:\WINDOWS\System32\ShellExt\SYSCNTR.EXE -n
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [yurwnplyusn] C:\WINDOWS\System32\gqfnxq.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [rundll32] C:\MP 3 Lieder\Die Toten Hosen - Ein kleines bisschen Horrorshow\rundll32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\System32\something.dll (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\c_10230.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Messenger\AOL Messenger\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\System32\something.dll (file missing) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\c_10230.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: ConferenceRoom Java Client - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt3_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/game...ts/y/ht1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt1_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/game...s/y/mat3_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/game...ts/y/pt0_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potb_x.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://zalmancrave.ud-dial.biz/1/dexDE586.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{970F938C-CB8F-4EB4-956E-01112ABF80B1}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5346866-5519-4FAD-9497-1D6160A92292}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.150.97 217.237.149.161
O18 - Filter: text/html - {3EE9536D-1D41-487F-938D-B9F9FB2D1EAA} - C:\WINDOWS\system32\snnpapi.dll
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Das schaut ja gar nicht gut aus :(
Mach mal bitte folgendes:
Scanne dein System mit eScan im abgesicherten Modus (Anleitung genau befolgen!)
und poste was gefunden wird . Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren)
und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das
Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei
dann einfach ins Forum kopieren.

werd ich gleich mal ausprobieren. Also in abgesicherten mit F8 und dort dann e ausführen.

Ich kann mit escan gar nichts löschen.

1.) Diese Version von eScan kann nicht löschen und dient in deinem Fall nur der Feststellung, ob sich eine Reparatur überhaupt noch lohnt.
2.) Ich hoffe du bist mit einem "Zweit-PC" unterwegs (eScan muss im abgesicherten Modus laufen!!!)

edit: Du hast eScan nicht gemäß der Anleitung ausgeführt ("all local drives" muss aktiviert sein!!!). Wechsle erneut in den abgesicherten Modus und führe eScan korrekt aus!

Lies bitte mein "edit" aus Post #6

nochmal eScan ausgeführt mit all drives

File C:\WINDOWS\System32\c_10230.dll infected by "TrojanDownloader.Win32.Small.hr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iecust.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\iexplore.exe infected by "Backdoor.Win32.Small.cj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\snnpapi.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\snnpapi.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\iexplore.exe infected by "Backdoor.Win32.Small.cj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\load.exe infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msxmidi.exe infected by "TrojanDownloader.Win32.WinShow.p" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\preInMPP.exe infected by "not-a-virus:AdWare.BiSpy.q" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\rundll32.exe infected by "Trojan.Win32.StartPage.aq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\something.dll infected by "Trojan.Win32.StartPage.ld" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sysdll.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ZServ.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\c_10230.dll infected by "TrojanDownloader.Win32.Small.hr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iecust.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iecust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\q78kdov0.dll infected by "not-a-virus:AdWare.CoolWeb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\q8k0fsv0.exe infected by "TrojanDropper.Win32.Small.cu" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\qggktqv0.exe infected by "Trojan.Win32.Small.bm" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\setvers.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\surte.exe infected by "TrojanDropper.Win32.Small.dv" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\something.dll infected by "Trojan.Win32.StartPage.ld" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\THI6B1.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\THI6B1.tmp\ZServ.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MARKUS~1\LOKALE~1\TEMPOR~1\Content.IE5\033NQC1T\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MARKUS~1\LOKALE~1\TEMPOR~1\Content.IE5\NVX3R1SG\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Eigene Dateien\Eigene Dokumente\PsMauMau.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\\Eigene Dateien\Eigene Downloads\backups\backup-20050110-172938-274.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Eigene Dateien\Eigene Downloads\backups\backup-20050110-173206-777.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Eigene Dateien\Eigene Downloads\backups\backup-20050110-175802-585.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\something.dll infected by "Trojan.Win32.StartPage.ld" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\THI6B1.tmp\zserv.cab infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\THI6B1.tmp\ZServ.dll infected by "not-a-virus:AdWare.BiSpy.t" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\033NQC1T\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NVX3R1SG\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken.
File C:\Nero\Ahead.Nero.Burning.Rom.6.3.1.15.Ultra.Edition.+.PlugIns + Handbücher + Keygen\Nero Burning rom v6.3.1.10 ultra Edition - ORiON - Keygen.exe infected by "Trojan.Win32.StartPage.sr" Virus. Action Taken: No Action Taken.

eScan dauert länger als 10 Minuten!!
Aber wenn du drauf bestehst, poste mal folgende Infos aus der mwav.log (im Ordner C:\bases):

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:

weiß nicht wo das sein soll !?

Zitat:

weiß nicht wo das sein soll !?

Im Ordner C:\bases, wie bereits von mir gepostet!

Finde C:\bases nicht. So einen ordner gibt es nicht bei mir.

Dann hast du die Anleitung nicht gelesen! Dort steht wortwörtlich:

Zitat:

Mit Hilfe von Winzip, Winrar oder einem vergleichbaren Packprogramm muss der Inhalt der mwav.exe per Rechtsklick auf die Datei in das Verzeichniss c:\bases entpackt werden. Damit das Aktualisieren funktioniert, muss zwingend dieser Pfad verwendet werden!

btw: den Ordner musst du selbst erstellen.

ich kenne mich kaum mit pcs aus. wie soll das denn gehen. ich verstehe das gar nicht