falsche Startseite "about:blank"

Dieses Thema im Forum "Browser" wurde erstellt von timmy007, 13. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. timmy007

    timmy007 ROM

    Registriert seit:
    12. Mai 2004
    Beiträge:
    3
    Hallo,

    ich bin neu im Forum und benötige ein wenig Hilfe. Seit heute Nachmittag startet mein IE6 mit der Startseite "about:blank" , merkwürdigerweise erscheint eine mir unbekannte Suchmaschine. Alle Versuche die Startseite über die Internetoptionen zu ändern führten zu keinem Ergebnis.

    Nach drei Stunden Suche im Forum fand ich raus, das ich mir eine Mal-/Spyware eingefangen habe. Spybot und Hijackthis habe ich schon runtergeladen. Meine Frage ist nur welche Einträge kann ich gefahrlos ändern bzw. löschen. Bei Spybot sind auch zwei Einträge aus MS-Works dabei und bei Hijackthis steig ich durch die Logfile gar nicht durch.

    Hier ist die Logfile:

    Logfile of HijackThis v1.97.7
    Scan saved at 00:16:56, on 13.05.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\carpserv.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\System32\bcmwltry.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\windows\winlogon.exe
    C:\Programme\Webshots\WebshotsTray.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tchibo.de.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {9FBD131A-4AB8-4301-B398-54443FE5D5CB} - C:\WINDOWS\mrhop.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Removecpl] removecpl.exe
    O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
    O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://www.tchibo.de.com/
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37991.1886111111
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C15ACF59-EA75-496D-A6F0-676A0945A0C8}: NameServer = 217.237.151.33 194.25.2.129


    Ich weiß, ich bin der "435." der mit diesem Thema "nervt". Danke im voraus.
     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ timmy007

    Wichtig:

    Du hast dich mit dem W32.Netsky.D infiziert.

    O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe

    Fixen, dahin hat sich der Wurm kopiert, denn dies ist eine gefakte Winlogon.exe.

    Die richtige Winlogon.exe befindet sich WINDOWS\system32\winlogon.exe.

    Du kannst das nachlesen unter
    http://www.reger24.de/prozesse/WINLOGON.EXE.php
    http://www.antivir.de/vireninfo/netskyd.htm

    Ps
    Sorry, hatte das zweite Post von Moby Duck überlesen, der das schon erwähnte.
     
  3. Gast

    Gast Guest

    Ein wenig OT: Es sollte zwar selbstverständlich sein, dass ein User sich erst mal unter den bestehenden Themen umschaut, ist es aber leider nicht. Umso mehr finde ich, dass Dir ein gebührender Applaus :bet: :bet: für deine Eigeninitiative gebührt ! Klasse !! :spitze:
     
  4. timmy007

    timmy007 ROM

    Registriert seit:
    12. Mai 2004
    Beiträge:
    3
    @MobyDuck

    danke für den Hinweis mit AntiVir. Das Programm fand noch eine ganze Menge Dateien die mit W32/Parite belastet waren.

    @mr.b.
    die Einträge mit der mrhop.dll hab ich alle schon gefixt. Bei der Suchmaschine konnte ich einfach keinen Namen finden. Keine Ahnung was das für eine war.
    bcmwltry.exe ist mein W-LAN Treiber. Aber danke für den Hinweis.

    Danke an alle Helfer
    Gruß
    timmy007
     
  5. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    Wie hieß die dir unbekannte Suchmaschine? (wichtig).
    Diese können auch gefixt werden:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

    Anschließend überprüfen, ob mrhop.dll auf dem System vorhanden ist.
    Verdächtig ist das:
    C:\WINDOWS\System32\bcmwltry.exe
    Überprüfen lassen.

    Damit: O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe

    Wenn du die üble CWS-Variante 38 oder 39 erwischst hast, kann dein Problem u.U. wieder auftreten. Dann geht's richtig zur Sache.

    Gruß
     
  6. Gast

    Gast Guest

    Gerald hat recht.

    C:\windows\winlogon.exe

    deutet auf Netsky hin.

    Hier werden Sie geholfen:

    http://www.antivir.de/vireninfo/netskyd.htm

    Laß mal das kostenlose Antivir drüberlaufen.

    http://www.free-av.de/

    Dann ist er weg, wenn er denn da war. Sei dir aber darüber im klaren, dass bei einem Wurm-Fund dein System verseucht sein kann. Vorsichtige Menschen setzen bei einer solchen Diagnose ihr System neu auf.
     
  7. timmy007

    timmy007 ROM

    Registriert seit:
    12. Mai 2004
    Beiträge:
    3
    @MobyDuck

    danke, Deine Fixhilfen führten erstmal zum Erfolg. Ich hoffe das bleibt auch so.

    Danke !!!


    @gerald_b

    du hast recht, es sind tatsächlich zwei winlogon.exe vorhanden. Aber welche von den beiden ist die falsche? Ich hab eine ca. 600kb und eine mit etwas mehr als 6000kb. Welcher Scanner ist am geeignesten um den Müll runter zu bekommen?


    @alle anderen

    danke für Eure Tips!!!
     
  8. gerald_b

    gerald_b Kbyte

    Registriert seit:
    15. Januar 2003
    Beiträge:
    259
    Hi,

    schau mal in Deiner Prozeßliste - da werden ZWEI winlogon.exe aufgeführt. Ich denke, Du hast da u.U. einen VIRUS und weißt nichts davon.


    In der Hoffnung, daß dem nicht so ist...

    Gerald
     
  9. Gast

    Gast Guest

    Das hier kannste mE auch knicken:

    O14 - IERESET.INF: START_PAGE_URL=http://www.tchibo.de.com/

    MfG
    Vimes
     
  10. Gast

    Gast Guest

    Hallo,

    Zunächst mal Anleitung zur Selbsthilfe:
    Unser "Experte für HijackThis-Logs" ist im Augenblick irgendwie verschollen. Also mache es doch einfach so, wie die meisten hier, die sich mit Hijackthis beschäftigen, das kannst du auch. Eine Erläuterung des Log Files bekommst du hier:

    http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html#r

    Wenn dir Einträge unbekannt sind, hilft google.de. Vor dem fixen solltest du den IE vollständig schließen und vorsorglich die Systemwiederherstellung abstellen.

    Auf die Schnelle, es ist schon spät (oder früh, wie man's sieht) ist mir mrhop.dll aufgefallen. Also:

    Alle R0/R1 fixen

    Ebenso im folgenden, alles in dem mrhop.dll vorkommt.

    Neustart. Wenn's wieder kommt, könnte es sein, dass du dir die "real-yellow-page" eingefangen hast. Ist hartnäckig, das Teil. Eine Anleitung zur Entfernung findest du hier:

    http://www.trojaner-info.de/anleitungen/hijackthis/yellow_page.html

    Sobald du das Ding glücklich weg hast, solltest du dafür sorgen, dass du dir nicht gleich wieder den nächsten Hijacker einfängst. Am einfachsten ist es, auf einen alternativen Browser wie Oper, Mozilla oder Firefox umzusteigen. Wenn du auf den IE nicht verzichten willst, dann stelle zumindest Active X und Scripting ab.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen