1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

About:blank verändert

Discussion in 'Browser' started by Elwood_Blues, Jun 28, 2004.

Thread Status:
Not open for further replies.
  1. Elwood_Blues

    Elwood_Blues Byte

    Hallo,
    hab heute morgen von einer Kollegin diese Logdatei von Hijackthis geschickt bekommen Ihre Startseite ist about:blank aber diese ist nicht leer sondern geht auf irgendeine suchseite.
    Könnt Ihr mir da weiterhelfen, da ich mich mit HijackThis nicht so gut auskenne
    :aua:

    Logfile of HijackThis v1.97.7
    Scan saved at 11:28:45, on 28.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\HP\KBD\KBD.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Programme\Winamp3\winampa.exe
    C:\WINDOWS\System32\install.exe
    C:\Programme\PestPatrol\PPControl.exe
    C:\Programme\PestPatrol\CookiePatrol.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\PROGRA~1\ICQ\ICQ.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
    C:\Dokumente und Einstellungen\Mellie\Eigene Dateien\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {AF4C8D14-7EFF-452D-ABE7-29D70624F7C1} - C:\WINDOWS\System32\ngmlh.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
    O4 - HKLM\..\Run: [mssyslanhelper] C:\Dokumente und Einstellungen\Mellie\MS1Multi.exe
    O4 - HKLM\..\Run: [Microsoft Update Client] comcrtl.exe
    O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
    O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
    O4 - HKLM\..\RunServices: [Microsoft Update Client] comcrtl.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    O4 - Global Startup: officejet 6100.lnk = ?
    O9 - Extra button: D-Info (HKLM)
    O9 - Extra 'Tools' menuitem: D-Info (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Recherchieren (HKLM)
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://www.privat.t-online.de/app/static/activex/msxml4.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38080.4488194444
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{26C54BED-9696-4C01-91FC-DED449ACBA76}: NameServer = 217.237.150.97 194.25.2.129

    Gruß Elwood
     
    Elwood_Blues, Jun 28, 2004
    #1
  2. Gast

    Gast Guest

    Hallo, Internetexplorer beenden, am besten im abgesicherten Modus starten, nur HJT laufen lassen und dann die gekennzeichneten Beiträge fixen:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mellie\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    Den ganzen Haufen (fett gedruckt) kannst Du fixen lassen.

    O2 - BHO: (no name) - {AF4C8D14-7EFF-452D-ABE7-29D70624F7C1} - C:\WINDOWS\System32\ngmlh.dll
    Diese dll kenne ich nicht. Google weiß auch nichts dazu.

    O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
    Du müßtest wissen, wofür Du das brauchst -- bzw. Deine Kollegin sollte es wissen.

    O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
    Dito. Nützt sie ein solches Tool?

    O17 - HKLM\System\CCS\Services\Tcpip\..\{26C54BED-9696-4C01-91FC-DED449ACBA76}: NameServer = 217.237.150.97 194.25.2.129
    Das sind wohl ihre DNS-Server?

    MfG
    Vimes

    Edit: You are on a mission from God, right? :)
     
    Gast, Jun 28, 2004
    #2
  3. radja

    radja Byte

    reicht wahrscheinlich nicht aus....

    die soundman.exe ist unter Umständen ein Wurm und zwar ein Win32 - Wurm
    (W32/Agobot-JS bzw. W32/Agobot-KH bzw. Backdoor.Agobot.KH) Backdoor.Agobot.KH beendet bzw. deaktiviert Antivirenprogramme.

    schau mal in der Registry nach folgenden Einträgen müssten in HKEY_LOCAL_MACHINE stehen:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
    soundman = soundman.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
    soundman = soundman.exe

    Wenn das so sein sollte, solltest Du diese beiden Einträge aus Deiner Reg löschen. (sicherheitshalber vorher Sicherung der Reg als Backup erstellen) und diese Datei in einen Quarantäne Ordner verschieben (bei beendeten Prozess)
    Eventuell die soundman.exe hier: http://www.kaspersky.com/de/scanforvirus prüfen lassen und ergebniss bitte posten


    Zum Ende wieder HJT Log erstellen und hier posten
     
    radja, Jun 28, 2004
    #3
  4. Denniss

    Denniss Megabyte

    C:\WINDOWS\System32\install.exe

    Was hat eine install.exe dort verloren ?
    -> Mal auf Viren scannen und versuchen die Dateieigenschaften aufzurufen was das sein könnte

    C:\Dokumente und Einstellungen\Mellie\MS1Multi.exe
    -> Was soll das sein ?

    O4 - HKLM\..\Run: [Microsoft Update Client] comcrtl.exe
    O4 - HKLM\..\RunServices: [Microsoft Update Client] comcrtl.exe
    -> Auch mal prüfen lassen
     
    Denniss, Jul 1, 2004
    #4
Thread Status:
Not open for further replies.

Share This Page