About:blank verändert

Dieses Thema im Forum "Browser" wurde erstellt von Elwood_Blues, 28. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Elwood_Blues

    Elwood_Blues Byte

    Registriert seit:
    19. August 2002
    Beiträge:
    28
    Hallo,
    hab heute morgen von einer Kollegin diese Logdatei von Hijackthis geschickt bekommen Ihre Startseite ist about:blank aber diese ist nicht leer sondern geht auf irgendeine suchseite.
    Könnt Ihr mir da weiterhelfen, da ich mich mit HijackThis nicht so gut auskenne
    :aua:

    Logfile of HijackThis v1.97.7
    Scan saved at 11:28:45, on 28.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\HP\KBD\KBD.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Programme\Winamp3\winampa.exe
    C:\WINDOWS\System32\install.exe
    C:\Programme\PestPatrol\PPControl.exe
    C:\Programme\PestPatrol\CookiePatrol.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\PROGRA~1\ICQ\ICQ.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
    C:\Dokumente und Einstellungen\Mellie\Eigene Dateien\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {AF4C8D14-7EFF-452D-ABE7-29D70624F7C1} - C:\WINDOWS\System32\ngmlh.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
    O4 - HKLM\..\Run: [mssyslanhelper] C:\Dokumente und Einstellungen\Mellie\MS1Multi.exe
    O4 - HKLM\..\Run: [Microsoft Update Client] comcrtl.exe
    O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
    O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
    O4 - HKLM\..\RunServices: [Microsoft Update Client] comcrtl.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    O4 - Global Startup: officejet 6100.lnk = ?
    O9 - Extra button: D-Info (HKLM)
    O9 - Extra 'Tools' menuitem: D-Info (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Recherchieren (HKLM)
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://www.privat.t-online.de/app/static/activex/msxml4.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38080.4488194444
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{26C54BED-9696-4C01-91FC-DED449ACBA76}: NameServer = 217.237.150.97 194.25.2.129

    Gruß Elwood
     
  2. Gast

    Gast Guest

    Hallo, Internetexplorer beenden, am besten im abgesicherten Modus starten, nur HJT laufen lassen und dann die gekennzeichneten Beiträge fixen:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank


    Den ganzen Haufen (fett gedruckt) kannst Du fixen lassen.

    O2 - BHO: (no name) - {AF4C8D14-7EFF-452D-ABE7-29D70624F7C1} - C:\WINDOWS\System32\ngmlh.dll
    Diese dll kenne ich nicht. Google weiß auch nichts dazu.

    O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
    Du müßtest wissen, wofür Du das brauchst -- bzw. Deine Kollegin sollte es wissen.

    O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
    Dito. Nützt sie ein solches Tool?

    O17 - HKLM\System\CCS\Services\Tcpip\..\{26C54BED-9696-4C01-91FC-DED449ACBA76}: NameServer = 217.237.150.97 194.25.2.129
    Das sind wohl ihre DNS-Server?

    MfG
    Vimes

    Edit: You are on a mission from God, right? :)
     
  3. radja

    radja Byte

    Registriert seit:
    9. Juli 2003
    Beiträge:
    44
    reicht wahrscheinlich nicht aus....

    die soundman.exe ist unter Umständen ein Wurm und zwar ein Win32 - Wurm
    (W32/Agobot-JS bzw. W32/Agobot-KH bzw. Backdoor.Agobot.KH) Backdoor.Agobot.KH beendet bzw. deaktiviert Antivirenprogramme.

    schau mal in der Registry nach folgenden Einträgen müssten in HKEY_LOCAL_MACHINE stehen:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
    soundman = soundman.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
    soundman = soundman.exe

    Wenn das so sein sollte, solltest Du diese beiden Einträge aus Deiner Reg löschen. (sicherheitshalber vorher Sicherung der Reg als Backup erstellen) und diese Datei in einen Quarantäne Ordner verschieben (bei beendeten Prozess)
    Eventuell die soundman.exe hier: http://www.kaspersky.com/de/scanforvirus prüfen lassen und ergebniss bitte posten


    Zum Ende wieder HJT Log erstellen und hier posten
     
  4. Denniss

    Denniss Megabyte

    Registriert seit:
    23. Juli 2000
    Beiträge:
    1.289
    C:\WINDOWS\System32\install.exe

    Was hat eine install.exe dort verloren ?
    -> Mal auf Viren scannen und versuchen die Dateieigenschaften aufzurufen was das sein könnte

    C:\Dokumente und Einstellungen\Mellie\MS1Multi.exe
    -> Was soll das sein ?

    O4 - HKLM\..\Run: [Microsoft Update Client] comcrtl.exe
    O4 - HKLM\..\RunServices: [Microsoft Update Client] comcrtl.exe
    -> Auch mal prüfen lassen
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen