about:blank-Virus bleibt hartnäckig

Ne wunderbare Alternative Nutzen, die diese Probleme überhaupt nicht kennt

http://www.firefox-browser.de stammt vom OpenSource-Projekt (Freeware) Mozilla und läuft wie ne 1. Bedienung und Aussehen fast wie der IE und ziemlich sicher.

Der Eintrag

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/

Wenn ich den Browser wechsel, werde ich denn dann auch automatisch den Virus los??

Der scan-Eintrag mit "yahoo" erscheint dann, wenn ich die about:blank-Seite über Internetoptionen wieder zu meiner normalen yahoo-Startseite ändere (nachdem ich alles gelöscht habe). Daran kann es also nicht liegen.

Vielleicht hat auch das was damit zu tun: Im gesicherten Modus findet und entfernt CWS Shredder nicht nur CWS.Searchx, sondern auch CWS.Msconfig.
Trotzdem, wie gesagt, nach kurzer Zeit alles wieder beim alten.

Ich will dieses lästige Ding endlich loswerden!!

Danke für weitere Hilfe
Henri      

nee der wäre weiter drauf. Nur neu einfangen würdest du ihn nicht mehr. Hm ich seh sonst nichts an der Datei was auffällig wäre. Mal gucken was Nighty noch daszu sagt...

So, hier noch mal ein aktueller scan, nachdem der Virus wieder aufgetaucht ist.

Logfile of HijackThis v1.97.7
Scan saved at 15:04:20, on 04.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\D-Link AirPlus\AIRPLUS.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jngme.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jngme.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jngme.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jngme.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jngme.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jngme.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {16DFF6A6-46F5-4EEF-B263-EA7E3D3E36EF} - C:\WINDOWS\System32\jngme.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38100.0333912037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Bislang habe ich brav die R1's und RO's sowie "O2 - BHO: (no name) - {16DFF6A6-46F5-4EEF-B263-EA7E3D3E36EF} - C:\WINDOWS\System32\jngme.dll" gefixt, mit adaware die infizierten Reg.Schlüsse bzw. Datein gelöscht etc. Nur bislang ohne dauerhaften Erfolg. Die Endungen (aktuell: jngme.dll) variieren auch jedes Mal. Ansonsten immer die gleichen Befunde der Antiviren-Programme.

Auch die Datei C:\WINDOWS\System32\jngme.dll finde ich nicht, trotz erweiterter Ordneroptionen (versteckte Ordner sichtbar etc.)    

Was mache ich bloss falsch? Die anderen im Forum kriegen ihren Startseiten-Störenfried doch auch los.

PS: In der Registry sind trotz Löschen des Virus noch folgende Einträge

Unter HKEY_CURRENT_USER ... Internet Explorer/Main
Local Page  C:\WINDOWS\System32\blank.htm

Unter HKEY_LOCAL_MACHINE ... Internet Explorer/Main
Local Page  %SystemRoot%\system32\blank.htm
Start Page  about:blank

Das ist doch auch nicht ganz koscher, oder??

Geh mal in den abgesicherten Modus, dort machste Hijackthis auf und löschst die Einträge und suchst dort die Datei.

Und kannste auch gleich noch mit dem Virenscanner drübergehn

Gruß

Hab ich doch alles schon versucht. Leider vergeblich.
Im ersten Eintrag kannst Du das Ergebnis des scans (nach fixen) sehen. Leider kommt der Virus immer wieder. Und ich weiß nicht, woher.

Den kannste mal online Prüfen
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

http://www.kaspersky.com/de/remoteviruschk.html

Den + alle R1 löschen
O2 - BHO: (no name) - {16DFF6A6-46F5-4EEF-B263-EA7E3D3E36EF} - C:\WINDOWS\System32\jngme.dll

Und schau dir mal hier unter Magazin->spyware den Punkt Internet-Explorer anpassen, Ms-Jave deinstallieren + SUN Jave installieren und Spywareblaster an.

Vielleicht fängst es dir nur jedesmmal wieder sofort ein

Gruß

schau dir das mal an :
http://www.akadia.com/services/about_blank_virus.html

gruzz
www.doctordre.ch

ps: mfg aus der sonnigen schweiz :]

 este virus es complicado pero ya lo elimine
 es mas fasil que lo que piensan no toquen el   registro. paso1 propiedades de internet
          paso2 delante de about:blank ponemos
          www.google.com.ar/about:blank
          aceptar paso3 luego intentamos navegar
          hasta que aparesca un error de google y
          serramos el buscador
          paso4 propiedades de internet
          y   colocamos el buscador que quieran
          y listo
     
        megaservice pergamino
         

  ???

hi leute!!!

könnt ihr mir vielleicht auch helfen??
aber wenns geht auf deutsch und sogar für mich verstandlich  
hab den selben misst auf dem pc und bekomm ihn net los!
aber des hört sich hier alles so kompliziert an  ???

hab doch eigentlich voll kein plan von so nem misst!!!

wäre cool wenn ihr helfen könntet
mfg sven

Hallo zusammen,

jetzt hat es mich auch mit dem About:Blank Mist erwischt.
Wie kann ich es wieder loswerden?

Hier das Logfile von hijackthis:
Logfile of HijackThis v1.98.0
Scan saved at 14:39:12, on 26.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ADDYW32.EXE
C:\WINDOWS\ADDZK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TRUST\AMI MOUSE 250S WIRELESS OPTICAL\1.0\LWBWHEEL.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\SLYSOFT\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM32\XPSP2FW.EXE
C:\WINDOWS\SYSTEM\MSVG.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\WINDOWS\SYSTEM\ADDYW32.EXE
C:\WINDOWS\ADDZK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\DOWNLOAD\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\jwbmf.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\jwbmf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\jwbmf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\jwbmf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\jwbmf.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\jwbmf.dll/sp.html#12345
R3 - Default URLSearchHook is missing
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.gmx.de"); (C:\Programme\Netscape\Users\thomas_kilian\prefs.js)
O2 - BHO: Class - {FF6E0C0C-36CF-1F22-6C7E-77DCAD27C083} - C:\WINDOWS\SYSTEM\MFCPR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Trust\AMI MOUSE 250S WIRELESS OPTICAL\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [MSVG.EXE] C:\WINDOWS\SYSTEM\MSVG.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ADDYW32.EXE] C:\WINDOWS\SYSTEM\ADDYW32.EXE
O4 - HKLM\..\RunServices: [ADDZK.EXE] C:\WINDOWS\ADDZK.EXE
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -turbo
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
O4 - Startup: Microsoft Office-Indexerstellung.lnk = C:\WINDOWS\MSOffice\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = dialin.rrze.uni-erlangen.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = rrze.uni-erlangen.de,uni-erlangen.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 131.188.3.72,131.188.3.73,131.188.3.2


Vielen Dank für die Hilfe,

Thomas.