Forum
Tipps
News
Menu-Icon

about:blank w32.beagle@mm

Hi! Auf Wunsch von Dr. Nope hab einmal ein neuen Thread erstellt.

Habe auch den hilfe thread schon durchgelesen mit spy-ware ect. aber nu brau ich haltdoch ein klein wenig hilfe

Problem:
Norton hat bei mit den w32.Beagle@mm gefunden und die jeweiligen Dateien gelöscht, jedoch blieb mir diese about:blank startseite erhalten??  
Der sp-cleaner funktioniert auch nicht, denn der sagt mir das ich nicht infiziert bin, bin ich aber... wie man an einigen hijackeinträgen sieht, kann mir bitte wer helfen wie ich nun vorgehen soll?
Erst etwas fixen und danach?
zum fixen: die mrhop + f1.dll bei kaspersky kam hier ein positvies ergebniss das diese files verseucht seien. was muss ich noch fixen? udn wie gehts danach weiter? wäre über eine ffiziente antwort erfreut :P

mfg,

Logfile of HijackThis v1.97.7
Scan saved at 12:40:28, on 31.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WININAK\System32\smss.exe
C:\WININAK\system32\winlogon.exe
C:\WININAK\system32\services.exe
C:\WININAK\system32\lsass.exe
C:\WININAK\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WININAK\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WININAK\system32\CTSVCCDA.EXE
C:\Programme\DriveCrypt\DcrServ.exe
C:\WININAK\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WININAK\System32\nvsvc32.exe
C:\WININAK\system32\regsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\WININAK\Explorer.EXE
C:\WININAK\system32\MSTask.exe
C:\WININAK\System32\SLEE503.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WININAK\system32\stisvc.exe
C:\WININAK\System32\WBEM\WinMgmt.exe
C:\WININAK\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WININAK\system32\ctfmon.exe
C:\Programme\Steganos Security Suite 6\sss.exe
C:\DerbWin\Fertsch\HijackThis.exe
C:\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\T-Online\T-Online_Software_5\Browser\browser.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank



Antworten zu about:blank w32.beagle@mm:

O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~1\Toolbar\cnbabe.dll
O2 - BHO: (no name) - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WININAK\System32\F1.dll
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {28E7D25C-2D2A-44B2-9CDA-E397B19E44C4} - C:\WININAK\mrhop.dll
O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - c:\Program Files\Flt\Flt.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - c:\wininak\sr.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WININAK\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] REM C:\WININAK\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] REM "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] REM "C:\Program Files\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [winnet] REM C:\PROGRA~1\COMMON~1\Toolbar\winnet.exe
O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup
O4 - HKLM\..\Run: [cFosDNT] REM C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~4\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Realtime Audio Engine] REM mmrtkrnl.exe
O4 - HKLM\..\Run: [DCPPaid] C:\WININAK\system32\DCPPaid.exe /P
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Unilex2k] REM
O4 - HKCU\..\Run: [WeatherCast] REM C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [DriveCrypt Startup] REM C:\Programme\DriveCrypt\DriveCrypt.exe /WS
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download the &current page with Offline Explorer - file://C:\Programme\Offline Explorer\Add_AllO.htm
O8 - Extra context menu item: Download using Offline &Explorer - file://C:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: Download with NetPumper - C:\Program Files\NetPumper\AddUrl.htm
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by CommonName
O10 - Hijacked Internet access by CommonName
O10 - Hijacked Internet access by CommonName
O10 - Broken Internet access because of LSP provider '??' missing
O11 - Options group: [CommonName] CommonName
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU-newOCX/ocx/12110/CTSUEng.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38137.1458680556
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU-newOCX/ocx/12110/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17925E1F-6F20-4347-80B3-15759D629EF1}: NameServer = 217.237.149.225 194.25.2.129

sry hat ni alles in ein post gepasst

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

hast du den SP-Cleaner auch im abgesicherten Modus gestartet? Wenn nicht, das erst probieren.

Alos alle R0+R1 fixen,

hier uach jeweils die Dateien (abgesicherter Modus)
O2 - BHO: (no name) - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WININAK\System32\F1.dll
O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - c:\Program Files\Flt\Flt.dll


prüfen
und ggfls. auch fixen und löschen:
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {28E7D25C-2D2A-44B2-9CDA-E397B19E44C4} - C:\WININAK\mrhop.dll
O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - c:\wininak\sr.dll

fixen
O10+O11+O16

dann mal neu starten und möglichst viele Programme beenden und nur dann wenns nicht weg ist nochmal log erstellen.

Der sp-cleaner funktioniert bei der mrhop.dll nicht weil der Infektionsweg ein anderer ist.

Besorg dir folgendes Tool:
http://www.diamondcs.com.au/index.php?page=apm

Installieren->starten

Im oberen fenster explorer.exe auswählen
Im unteren Fenster mrhop.dll suchen, rechtsklick drauf->Unload-DLL

Dann alle Programme schliesen die offen sind ausser Hijackthis

Und mit Hijacktis dann alle zur mrhop.dll gehörenden Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {28E7D25C-2D2A-44B2-9CDA-E397B19E44C4} - C:\WININAK\mrhop.dll

Danach den Rechner neustarten und mit den andern tools drübergehn Spybot/Adaware/CWSshredder

Dann sollte er weg sein

Gruß

k thx ihr beiden

nighty hab mit variante 1 alles wegbekommen per hijackthis, super, die files tauchen auch nach neustart nimmer auf. und IE funktz wieder super und schnell :)

thx leute super forum :)
hoffe nu, dass das prob beseitigt ist.

hatte 3 Teile drof:

w32.beagle@mm
sp.html hijacker
bloodhound 6 exploit

iss jetzt aber alles eg platt gemacht :P

mfg,


« startseite :|Weiß nicht mehr weiter - trojaner, hijacker.... »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Dateiendungen
Die Dateiendung, auch Dateinamenerweiterung, Dateierweiterung oder einfach "Endung" genannt, besteht aus meistens drei oder vier Buchstaben und wird mit einem Punkt an de...

Dateiendung
Die Dateiendung ist ein Teil des Dateinamen und zeigt das Dateiformat an. Klassisch war die "8.3" Regelung, nach der der Dateiname under MS DOS 8 Zeichen lang sein durfte...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...