Startseite mit about:blank

#1 Hallo,

ich dachte er wäre weg. Jetzt steht schon wieder ständig about:blank in der Startseite. Ich hab das Log-File nochmals unten angegeben. Vielleicht könnt ihr mir noch einmal helfen.

Logfile of HijackThis v1.97.7
Scan saved at 16:05:56, on 27.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\MSDE\binn\sqlservr.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\Winampa.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\uwe\Desktop\Virenprogramme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.yahoo.de"); (C:\Programme\Netscape\Communicator\Users\freenet_30\prefs.js)
O2 - BHO: (no name) - {0DF6ACBB-A19A-4EC2-8DF5-2F3076FC8C78} - C:\WINDOWS\System32\inolea.dll (file missing)
O2 - BHO: (no name) - {5B665599-EBEA-4FB1-B106-506ECF2E1D6B} - C:\WINDOWS\System32\ngghc.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de/
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#2 Fix mal:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0DF6ACBB-A19A-4EC2-8DF5-2F3076FC8C78} - C:\WINDOWS\System32\inolea.dll (file missing)
O2 - BHO: (no name) - {5B665599-EBEA-4FB1-B106-506ECF2E1D6B} - C:\WINDOWS\System32\ngghc.dll (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de/


MFG
DAFRA



###########################EDIT######################
Ich war um max. 59 Sekunden schneller

#3 Fixe:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de/
O2 - BHO: (no name) - {0DF6ACBB-A19A-4EC2-8DF5-2F3076FC8C78} - C:\WINDOWS\System32\inolea.dll (file missing)
O2 - BHO: (no name) - {5B665599-EBEA-4FB1-B106-506ECF2E1D6B} - C:\WINDOWS\System32\ngghc.dll (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Lade http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
und scanne

und scanne mit AdAware ...aktualisieren !
http://download.com.com/3000-8022-10214379.html?tag=lst-3-8
und CWShredder http://board.protecus.de/t9373.htm
im abgesicherten Modus.
und lade ClearProg, scanne http://www.clearprog.de/ und stelle die StartPage neu ein.
--------------------------------------------------------------------------

Lade den Firefox als Zweitbrowser...ist viel sicherer .
http://www.firebird-browser.de/

MfG
Sabina-----.@Dafra...waren zeitgleich....
__________
MfG Sabina

rund um die PC-Sicherheit

#4 @fillerich

Teste bitte folgendes

WICHTIG:
regedt32, nicht regedit, starten. ( start/ausführen)

unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows
NT\CurrentVersion\Windows]
Den Wert für "AppInit_DLLs überprüfen

Den Eintrag "AppInit_dlls" markieren
Dann ins Menu "Ansicht"/"Binäre Daten anzeigen"
Wenn dann dort nur 0 angezeigt werden ists OK.
Wenn nicht, haben wirs gefunden.

Poste bitte was dort steht

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Hallo,

mit der Datei: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows
NT\CurrentVersion\Windows]
kann ich leider nichts anfangen, habe XP.

Die Datei: http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

lässt sich ebenfalls nicht runterladen, versuche es aber weiter!

Ich hab jetzt alles fixiert, hier nochmal das Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 10:48:32, on 28.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\MSDE\binn\sqlservr.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\Winampa.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\uwe\Desktop\Virenprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://svr2/startpage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.yahoo.de"); (C:\Programme\Netscape\Communicator\Users\freenet_30\prefs.js)
O2 - BHO: (no name) - {F54D5F35-AA6F-4228-B582-F6C9ED517A8D} - C:\WINDOWS\System32\cncgda.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#6

Zitat

mit der Datei: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows
NT\CurrentVersion\Windows]
kann ich leider nichts anfangen, habe XP.

Laß dich nicht von dem "WindowsNT" irritieren
Diesen Eintrag hat dein WinXP trotzdem

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Die Datei: http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm


Du musst die Version waehlen <save disc<
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Ich finde die Datei aber nicht!

Ist das ein Verzeichnis?

Gruß
Fillerich

#9 suche die Datei unter Dokumente---Downloads mwav.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Keine Spur von der Datei!
Es gibt auch kein Verzeichnis Downloads bei mir! :o(


Was mich auch verwundert, das ist das die Auslagerungsdatei bei 1,09GB liegt und alleine die explorer.exe alleine schon 332.000 kb angegeben wird. Die Rechnergeschwindigkeit geht ganz schön in die Knie!

#11 Hast du schon ueber die Suchfunktion nachgesehen ???
Sonst musst du sie eben noch einmal laden und dir den Pfad merken.Du musst die Version waehlen <save disc<, dann ist die Datei mwav.exe auch auf der Festplatte.

Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen"

Ansonsten mache mal einen Online-Virenscannn...wenn es klappt...
http://housecall.trendmicro.com/

Unabhaengig von diesem Antivirentool musst du den Comp. mit AdAware , CWShredder im abgesicherten Modus scannen.
Das ist gegen die Spyware, die auf dem Comp. ist.
Und dann die TemporaryInternetfiles unter InternetOptionen loeschen(oder mit dem Tool ClearProg) und die Startseite neu einstellen.

Die hohe Auslastung kann damit zusammenhaengen, dass du neben dem AveGuard-Antivirus wahrscheinlich noch einen zweiten , den Norman -Antivirus(?) oder ist es nur die Firewall(????) installiert hast.
Der Aveguard "vertraegt" sich nicht mit anderen Virenscannern.

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Das mit der Startseite scheint zu klappen.

Aber ich konnte die Datei überhaupt noch nicht runterladen! Der öffnet das Download-Fenster erst gar nicht. Scheint irgenwo hängen zu bleiben. Ich versuch das aber weiter!

Benötigst Du noch irgendwelche Infos?

Danke erst einmal

Fillerich

#13 Das Problem mit der IE Startseite......

Hier ist die Lösung:

Das die Startseite sich ändert liegt an einem Trojaner!!!

Das Problem ist das nicht jeder Antivirus diesen findet.z.B. Norton Antivirus findet diesen Trojaner nicht(!)

Downloadet euch den Antivir (freeware)!
Lasst ihn dann 3 x laufen. Nach jedem Scannen PC neu starten...


Das war alles..

#14 @Notoriousbig
Quatsch nicht so einen Mist, der würde doch im Hijackthis Log angezeigt werden. Außerdem würde selbst Norton den nach 2 Tagen erkennen.
Der hat einfach nur sich einen Hijacker eingefangen.
MFG
DAFRA

#15 @ Ihr Zwei

Nicht streiten

Zur beruhigung das lesen
http://board.protecus.de/t9537.htm
ab hier
27.04.2004, 13:55

Viel Spass
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware