Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   "about:blank" so ne scheisse ^^ (https://www.trojaner-board.de/12654-about-blank-so-ne-scheisse.html)

KONYALI 23.01.2005 23:37

"about:blank" so ne scheisse ^^
 
hi leute bin neu hier und brauche dringend eure hilfe.

Also wie gesagt ich habe dieses "about:blank" shit auf meinem pc und hab schon fast alle tools verucht. (S&D, Ad-Aware, Hijack this) Aber keines hat funktioniert. Hab das sogar im abgesicherten modus versucht aber torzdem nichts.

Ich danke schonmal allen im vorraus die helfen.

MfG KONYALI

Chris14 23.01.2005 23:40

Hallo konyali.
bitte poste das hijackthis log bitte hier.

KONYALI 23.01.2005 23:41

achja hatte ich vergessen ^^

Logfile of HijackThis v1.99.0
Scan saved at 23:38:23, on 23.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PaSSrv.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PsImSvc.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTFMON.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme & Installatione\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TEMP\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TEMP\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {792A3E72-D34C-41FC-8AD0-727CF9761308} - C:\WINDOWS\System32\oobcbd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AE074FB-0AB6-495A-A42B-7A821B58D172}: NameServer = 62.72.64.237
O18 - Filter: text/html - {2DFB5D66-FEB0-426D-B2EE-4A018FEB23E4} - C:\WINDOWS\System32\oobcbd.dll
O18 - Filter: text/plain - {2DFB5D66-FEB0-426D-B2EE-4A018FEB23E4} - C:\WINDOWS\System32\oobcbd.dll
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Antispam Server Service - Unknown - C:\Programme\Panda Software\Panda Platinum Internet Security\PaSSrv.exe
O23 - Service: Panda Firewall Service - Unknown - C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Process Protection Service - Unknown - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service - Panda Software - C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Programme\Panda Software\Panda Platinum Internet Security\PsImSvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Chris14 23.01.2005 23:47

warscheinlich trojan-downloader und startpage

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TEMP\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TEMP\LOKALE~1\Temp\sp.dll/sp.html
O2 - BHO: (no name) - {792A3E72-D34C-41FC-8AD0-727CF9761308} - C:\WINDOWS\System32\oobcbd.dll
O18 - Filter: text/html - {2DFB5D66-FEB0-426D-B2EE-4A018FEB23E4} - C:\WINDOWS\System32\oobcbd.dll
O18 - Filter: text/plain - {2DFB5D66-FEB0-426D-B2EE-4A018FEB23E4} - C:\WINDOWS\System32\oobcbd.dll

3.dateien löschen
-lösche die Datei oobcbd.dll im Ordner c:\windows\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

KONYALI 24.01.2005 00:06

Zitat:

Zitat von Chris14
warscheinlich trojan-downloader und startpage

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TEMP\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TEMP\LOKALE~1\Temp\sp.dll/sp.html
O2 - BHO: (no name) - {792A3E72-D34C-41FC-8AD0-727CF9761308} - C:\WINDOWS\System32\oobcbd.dll
O18 - Filter: text/html - {2DFB5D66-FEB0-426D-B2EE-4A018FEB23E4} - C:\WINDOWS\System32\oobcbd.dll
O18 - Filter: text/plain - {2DFB5D66-FEB0-426D-B2EE-4A018FEB23E4} - C:\WINDOWS\System32\oobcbd.dll

3.dateien löschen
-lösche die Datei oobcbd.dll im Ordner c:\windows\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

Zuerst mal vielen dank für deine sehr schnelle hilfe. Ich werd alles nach der reihe versuchen wenns nicht klappt dann melde ich mich wieder :)

cronos 24.01.2005 00:55

Du solltest dich auf jeden Fall wieder melden und uns die Ergebnisse von Escan vorlegen.Gehe dazu wie folgt vor:

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

KONYALI 24.01.2005 15:00

JUUUUUUUUUHUUUUUUUHUHUHUHUHHUHUH danke chris 14 du bist der beste :aplaus: (wollte mehr applaus smylies machen, ging leider nicht ^^, weil ich nur acht stück machen darf)
Es hat nach 5 stunden intensiven arbeit geklappt ^^ ich hatte alle verschiedenen programme versucht aber nichts hatte geklappt. Vielen dank chris 14 und von mir kriegst du noch ein :knuddel: :D


also leute ich kann mich noch erinnern das folgende viren kamen:

Die oobcbd.dll datei die chris 14 genannt hatte.
Sun Jan 23 23:59:28 2005 => File C:\WINDOWS\System32\oobcbd.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

den hat der sogar 2 mal gefunden
Sun Jan 23 23:59:31 2005 => File C:\WINDOWS\System32\oobcbd.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

komischerweise 2mal das selbe ???

--------------------------------------------------------------------------

und das hier

Mon Jan 24 00:02:00 2005 => File C:\DOKUME~1\TEMP\LOKALE~1\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

hier ist das auch komisch, eigentlich haben wir keinen account das TEMP heisst. Aber jetzt ist das ja wech ^^.

--------------------------------------------------------------------------

das hier

Mon Jan 24 00:03:32 2005 => File C:\Dokumente und Einstellungen\XXXXXX\Lokale Einstellungen\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

--------------------------------------------------------------------------

schon wieder die sp.dll datei ^^.


Mon Jan 24 00:04:31 2005 => File C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.


bei dem obigen wurde ich ja schon vorgewarnt das das vllcht nichts schlimmes ist, da dort aber was mit search page, und mein problem auch daran lag hab ich das auch gelöscht.

--------------------------------------------------------------------------
Ja hier wars auch wieder komisch ^^ ( wird langsam alles komisch :D )

Mon Jan 24 00:13:57 2005 => File C:\WINDOWS\Downloaded Program Files\on-line.exe infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken.
ich hab erst mit hijack alles gefixt was chris 14 mir gesagt hat, da muss ich die wohl mitgelöscht haben, also brauchte ich die obige datei nicht manuell zu löschen.

Joah das wars dann auch.

Ich hoffe ich konnte es übersichtlich machen für euch.
Ich bin euch allen wirklich sehr dankbar ich habe dank euch wieder sehr viel gelernt und auch meine probleme gelöst.

Aber was mich am schwersten bei euch beeindruckt hat ist, dass ihr so schnell geantwortet habt.

Vielen dank nochmal :daumenhoc :daumenhoc macht nur weiterso

MfG KONYALI

PS: Wenn ich wieder probleme habe dann komm ich zu euch und bereite euch wieder kopfschmerzen :teufel3: :D

Focus 24.01.2005 16:03

eScan dient dem Aufspüren von Malware, entfernt sie bei der kostenlosen Version nicht.
Zitat:

Dies aus der mwav.log (oder mwXface.log) [im Ordner c:\bases] angeben:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

zuzüglich die Namen aller Viren: -> bearbeiten -> suchen -> infected eingeben -> weitersuchen -> Treffer markieren/kopieren -> ins Forum übertragen.

Tanjamaus 07.02.2005 17:26

Hallo, ich habe dieses Problem mit der doffen "about:blank" Starseite auch. Leider bin ich nicht die große PC-Expertin. (na ja, Frau eben :lach: ) Das mit diesem "hijack" hab ich ja schon mal verstanden, bin ganz stolz aucf mich :D . Da kam folgendes dabei heraus. Wie gehts weiter. Wäre ganz lieb, wenn mir jemand helfen könnte (vielleicht sogar für Frauen verstänlich). Vielen Dank.

Logfile of HijackThis v1.99.0
Scan saved at 17:21:11, on 07.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AIM95\aim.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Keinen\LOKALE~1\Temp\Rar$EX00.263\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {60F5EE65-F5BD-4219-B09C-B96CCC209F9C} - C:\WINDOWS\system32\qwsxp.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp2.dll
O4 - HKLM\..\Run: [hp Update 3300C] c:\sj650\hpupdate.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8F74C68-AF73-40BE-A38E-07D26F3316F8}: NameServer = 69.50.176.156,195.225.176.31
O18 - Filter: text/html - {A066C265-3B8E-4B28-85ED-845D3F49E47E} - C:\WINDOWS\system32\qwsxp.dll
O18 - Filter: tœ†5òÏTÆR - {A066C265-3B8E-4B28-85ED-845D3F49E47E} - C:\WINDOWS\system32\qwsxp.dll


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131