Forum
Tipps
News
Menu-Icon

about:blank-Startseite

Hallo, bei mir wird auch immer wieder aufs neue die Startseite auf "about:blank" gesetzt. Habe schon mehrmals Spybot (gefunden wird immer DSO Exploit), CWS-Shredder und Hijack drüber laufen lassen, Problem kommt aber immer wieder zurück. Weiß hier vielleicht jemand Rat?
Ach ja, seitdem kommt bei´m Runterfahren immer die Meldung, dass Mmtask in IPHLPAPI.DLL einen Fehler verursacht hat.

Logfile of HijackThis v1.97.7
Scan saved at 20:59:50, on 25.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ATRACK.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\BILLP STUDIOS\WINPATROL\WINPATROL.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAMME\MICROSOFT WORKS\MSWORKS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\EIGENE DATEIEN\DOWNLOADS\SCHUTZPROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38074.5599074074

Gruß
Curious



Antworten zu about:blank-Startseite:

Windows Hilfe, Re: Win ME: Datei IPHLPAPI.DLL  am: 17.05.04, 21:26:33 da steht es.
 http://support.microsoft.com/default.aspx? scid=kb;DE;263276

« Letzte Änderung: 25.05.04, 21:52:44 von coolopa »

Dein IE is auch nicht auf dem neusten Stand

Aif IE6 SP1 updaten und dann windows-update ausführen oder gleich von dort installieren

Dann suchst hier mal nach sysclean im Forum und besorgst dir das und scannst damit im abgesicherten Modus

Gruß

Danke für die Tips. Hat aber leider nur für einen Tag vorgehalten. Bei Sysclean kam u.a., dass C:Windows/Win386.swp nicht geprüft werden konnte.
WinPatrol meldet weiterhin, dass die Startseite geändert werden soll. Bin mit meinem Latein am Ende. Hat noch jemand eine Idee, wie die Spyware zu eliminieren ist?

Gruß
Curious

Also im LOG stehn mal keine veränderten Startseiten...oder sind schon wieder welche dazugekommen?

Poste doch nochmal ein Aktuelles Log ohne vorher was zu machen mit irgendwelchen Tools.

Vorher aber alle Programme schliessen auch die unter/neben der Uhr die sich beenden lassen.

Gruß

Hallo Nighty, im Moment kriege ich keine weiteren Warnmeldungen. Das Log schaut wie oben aus. Kann nur darauf warten, bis ich über WinPatrol wieder eine Meldung erhalte. Dann ist das Log denke ich auch aussagekräftiger.

Gruß
Curious

Hallo Nighty, Problem ist wieder aufgetaucht. Hier das aktuelle Log sowie weitere Infos/Fenster, die gelegentlich mal immer wieder auftauchen.

Logfile of HijackThis v1.97.7
Scan saved at 14:32:35, on 28.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\EIGENE DATEIEN\DOWNLOADS\SCHUTZPROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\LDCI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\LDCI.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\LDCI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\LDCI.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\LDCI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {934047DF-D154-4653-B742-0C5FC11D5E8F} - C:\WINDOWS\SYSTEM\LDCI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38074.5599074074

Was ist mit O14?

Zusätzlich kommt nach Befall nun noch die Meldung:
WARNING
Your computer has been exposed to parasites known as spyware.
Spyware monitors and transmits personal information about your online activities and is a serious violation of your privacy.
Spyware can be easily detected and removed with a free spyware scanner avaiable for download at the link below.
> > > CLICK HERE TO KILL SPYWARE NOW < < <

Site und URL lauten:

search.php?pin=1&ww=spyware+removal', '_blank');self.close();

javascript:window.open('http://search.morgen.cc/search.php?
 
Gruß
Curious

Das dürfte auch trojan-startpage.gv sein benutz mal den  SP-Cleaner und poste dann das Log des Cleaners(liegt dort wo die sphjfix.exe liegt.

Nach dem automatischen Neustart des Tools unbedingt wieder als Admin einloggen, sonst kann der Cleanvorgang nicht abgeschlossen werden.

Vorrausgesetz er schreibt nicht gleich: Nicht infiziert

Gruß

Hallo, hier ist das Log aus dem SP Cleaner.

28.05.2004 21:53:53 SPhjFix started v1.07
28.05.2004 21:53:53 Stealth-String found: C:\WINDOWS\SYSTEM\KBD.DLL
28.05.2004 21:54:04 Restart
28.05.2004 21:55:39 2nd Step
28.05.2004 21:55:40 Hijack-DLL: C:\WINDOWS\SYSTEM\KBD.DLL (deleted)
28.05.2004 21:55:40 BHO-DLL: (not found)
28.05.2004 21:55:40 Bad IE-pages found:
28.05.2004 21:55:53 Cleaned

Gruß
Curious

Jupp dann bist es jetzt auch los, die versteckte(KBD.DLL) hat er gelöscht, und die 2te (C:\WINDOWS\SYSTEM\LDCI.DLL) musste selber löschen, die konnte er nicht finden weil du vorher mit Hijackthis die Einträge gefixt hast.

Jetzt kannste nochmal mit dem CWSshredder scannen der sollte noch einen verweisten Registry-Eintrag finden und löschen.

Gruß

CWS hat keinen weiteren Eintrag gefunden. Hoffe dennoch, dass das ganze erfolgreich war. Jedenfalls vielen Dank, für die bisherige Unterstützung.
Wenn das noch mal auftaucht werde ich den Computer einfach komplett neu installieren. Wahrscheinlich sogar der geringste Aufwand.

Gruß
Curious

Der Frager  >:( Erst mal nachlesen  ;)

Hallo, wollte nur Bescheid geben. Der Tip mit SP-Cleaner war Gold wert. Vier Tage sorgenloses Surfen, wann gab es das zuletzt. Vielen, vielen Dank.

Hallo Curious,

solltest Du weiterhin ein Problem haben, verwende folgenden Link. Bei mir hat das reibungslos funktioniert. Zuerst den Cleaner "CWShredder" verwenden, anschließend mit "SpHjfix.exe" die Datei desinfizieren.

Nun noch der Link:

http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Gruß
Rainer

Hallo Leute! Also hier ist wohl ein Problem aufgetreten das ich auch habe! Kann mir jemand sagen, wie ich das Problem DSO Exploit los werde und was es damit auf sich hat? ALso Spy Bot habe ich schon öfter drüber laufen lassen und das Problem DSO Exploit beheben lassen...es taucht aber immer wieder auf!! Ist das gefährlich? Brauche Hilfe
Gruß

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wenn du den Internetexplorer noch nutzt, wirst du dir sowas imemr wieder holen. Der ist einfach zu unsicher und hat zig Lücken. Musst du entweder auf einen sicherern umsteigen oder damit leben. Z.B. http://www.opera.com oder http://www.firefox-browser.de

Ja, ich kann natürlich damit leben, weil ich ja praktisch nicht merke was dieses ding macht! Allerdings wüsste ich gerne ob das gefährlich ist und was für eine Funktion das hat, denn falls das irgendwas dummes bei mir anstellen kann muss ich wohl wirklich umsteigen auf einen anderen Browser!
Danke trotzdem für die Hilfe!
Gruß

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

da sollte man grundsätzlcih vorsichtig mit sein. Über solche Exploits sind schon mal Programm ausführbar über den IE auf deinem Rechner. Microsoft hälts nicht für nötig die wichtigsten Lücken zu schließen. Normal kann man das Ding eigentlich nicht mehr guten Gewissens nutzen. Ich nehms nur noch wenn ich Windows-Updates prüfe.

HI!

Hatte auch das Problem. Mit Adaware,Norton etc. bekommt Ihr es nicht weg. Mit Adware Away hat es
endlich geklappt. Könnt es euch auf dieser  Seite :www.adwareaway.com
kostenlos runterladen.(5-Day Trail Vers.)
Habs mir letztendlich gekauft denn das Programm
konnte noch wesentlich mehr finden wie mit Adaware etc.

Viele Grüsse

Marcus Tautorus


« Win XP: hilfe *WURM* *WURM* *WURM*Adware,Spyware »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...