about:blank, ich werde ihn nicht los

#16 1.Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

2.Lade:escann (mwav.exe)
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
3.
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
Lade AdAware (free)...updaten
Cwshredder
Spybot (Search&Destroy9
Sphjfix.exe

-----------------------------------------------------------------------------------------------------------
Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken)
und scann mit dem HijackThis, <dann hakst du an, was ich poste <und <fix<

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.search-1.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hjhkjl.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hjhkjl.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hjhkjl.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hjhkjl.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hjhkjl.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hjhkjl.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.search-1.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.search-1.net/search.html
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O2 - BHO: (no name) - {BB4E9177-D67B-4A49-A528-D5B1940FFA1B} - C:\WINDOWS\System32\hjhkjl.dll

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\system32\dllcache\IEXPLORE.EXE
O4 - HKCU\..\Run: [update] C:\WINDOWS\update\ess.bat
O4 - Startup: Trillian.lnk = ?

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy (HKCU)

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab


Dann scannst du, weiterhin im abgesicherten Modus :

#CWShredder
#AdAware
#Search&Destroy
#Sphjfix.exe

#und machst einen Vollscann mit e-scann (heisst mwav.exe)
#mache einen vollscann mit dem Antivir. (<alle Dateien scannen < einstellen
-------------------------------------------------------------------------------------------------
Normal neustarten


#hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.

Gehe in die Regisry
Start<Ausfuehren<regedit reinschreiben
In der Registry suchst du folgende Schluessel und loescht sie mit rechtsklick auf der rechten Seite.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{BB4E9177-D67B-4A49-A528-D5B1940FFA1B}]
[-HKEY_CLASSES_ROOT\CLSID\{5CA3D70E-1895-11CF-8E15-001234567890}]
[-HKEY_CLASSES_ROOT\CLSID\{71ED4FBA-4024-4bbe-91DC-9704C93F453E}]

schliesse die Registry

#suche C:\WINDOWS\System32\hjhkjl.dll und loesche
C:\WINDOWS\system32\dla\tfswshx.dll

#Loesche unter InternetOptionen die TemporaryInternetFiles und stelle die Startseite neu ein.

--------------------------------------------------------------------------------------------
Es kann sein, dass die Tools den Hijacker nicht beseitigen, deshalb poste das Log nach der Reinigung noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Es waere nett, wenn du den ganzen Inhalt dieses Ordners C:\WINDOWS\update packen und an virus@protecus.de schicken koenntest. Wenn es stimmt, was ich vermute, wirst du wohl um eine Neuinstallation deines Systems nicht umhin kommen. Alle deine Passwoerter und Zugangsdaten solltest du aendern, bzw aendern lassen.
__________
MfG Ralf
SEO-Spam Hunter

#18 Hallo alle,


erstmal Lob an PAFF, ich habe einige Deiner Beiträge gelesen -
sie sind sehr gut und präziese - leider sind die meisten nicht so engagiert.

So -
um bei AutoBlank / search for.. die verantwortliche dll zu finden kann man auch so vorgehen :

Bei geöfneten IE mit " Search for... " -Seite rechte Taste drücken und Quelltext anzeigen lassen.
Nach einer Zeichenkette suchen die so etwa aussieht:

%3d%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%70%67%62%6d%62%2e%64%6c%6c


- diese makieren
- dann mit Strg + C in die Zwischenablage kopieren

auf z.B. diese Seite gehen http://centricle.com/tools/ascii-hex/

- dort auf das leere Feld gehen und mit Strg + V einfügen

- dann noch " Hex to Ascii " und auf " Translate "

- raus kommt bei diesem Beispiel dann " =C:\WINDOWS\System32\pgbmb.dll "

höhrt sich schwieriger an als es ist - nur eins ist sicher die angezeigte dll ist mit sicherheit ein Problem dafür.
Das sichere entfernen usw. steht ja hier überall in den Foren.

Ich hoffe das vereinfacht die sache ein wenig?

Snot

#19 Wieso so umstaendlich, das "umrechnen" erledigt Hijackthis fuer einen. Oder was meinst du was "(obfuscated)" bedeutet?

Es reicht ja auch schon, wenn du http://[zeichenkette] eingibst. Dann wandelt der IE das automatisch fuer dich um.
__________
MfG Ralf
SEO-Spam Hunter

#20 http://www.diamondcs.com.au/index.php?page=apm
Das ist ebenfalls ein gutes Tool, um Dll aufzuspueren.
Und uebrigens, @Snot, danke fuer die Blumen..., da ja "die meisten nicht so engagiert sind"
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hi!

Vielen vielen Dank für die ausführliche antwort Sabina!!!
Mit den änderungen funktioniert jetzt wieder alles... :)

Meine neue HijackThis Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 19:17:52, on 31.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\bin\ktchnsnk.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe
C:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\Stardock\ObjectDock\ObjectDock.exe
F:\Programme\Babylon\Babylon.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Programme\Skype\Phone\Skype.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\L&H Shared\PCMM RealSpeak V1\RSSVR10.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andre Ganser\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [HP OfficeJet Series 700] "C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet Series 700\Install"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [VaCtrl] C:\Programme\VoiceAge\Common\VaCtrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\stardock\TrayServer.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ObjectDock] "F:\Programme\Stardock\ObjectDock\ObjectDock.exe"
O4 - HKLM\..\Run: [UIUCU] C:\DOKUME~1\ANDREG~1\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S
O4 - HKCU\..\Run: [Babylon Translator] F:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Preispiraten (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.de
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5D8844F9-1CB8-11D2-A0A0-00600859EB9F} (PatchCtl Class) - ftp://ftp.pt.ea.com/QA/pub/easports/patches/fifa2004/pc/DE/patchx2.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37291.093287037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://http.gamezone.tukati.com/tukati/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19670BC4-1AA7-4CF7-9AC2-647E75D5778D}: NameServer = 192.168.1.254


Nur zum weiterempfehlen diese Community!!!

Gruß andykater15