Forum
Tipps
News
Frage stellen
search
Menu-Icon
search

Startseite abou_blank! Ich bekomm nen vogel!

Hallo...
Ich hab die Startseite about:blank... Hab jetzt auch schon ewig im internet nach tipps gesucht! bisher hat aber rein gar nix geklappt! hijackthis plus removal tool, adaware und spybot! es geht einfach gar nix! Bitte bitte helft mir...

Hijackthis sagt folgendes!

Logfile of HijackThis v1.99.1
Scan saved at 08:14:15, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O2 - BHO: AntiSpyware Class - {C6176B04-8896-4446-9939-E00EE94C420F} - C:\WINDOWS\System32\ash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://apperception.biz/server.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Unknown owner - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Moderator informieren  


Antworten zu Startseite abou_blank! Ich bekomm nen vogel!:

Guten Morgen, meipper !

Dein PC ist leider hochgradig verseucht durch
C:\WINDOWS\System32\ash.dll .
Dies ist der Troj/BankAsh-A und macht ua. folgendes:
# Stiehlt Kreditkarten-Daten
# Schaltet Antiviren-Anwendungen aus
# Löscht Dateien vom Computer
# Stiehlt Daten
# Legt Malware ab
# Lädt Code aus dem Internet herunter
Dieser wurde vor ein paar Wochen dadurch bekannter, daß er auch versucht Microsoft AntiSpyware zu deaktivieren oder zu beenden!

Schau hier unter:
http://www.sophos.de/virusinfo/analyses/trojbankasha.html
oder hier:
http://www.liutilities.com/products/wintaskspro/dlllibrary/ash/

Überprüfe auch mit http://virusscan.jotti.org die
C:\WINDOWS\system32\csrss.exe zur doppelten Sicherheit.

Bei so einem Befall ist fast besser Neuaufsetzung, sprich Format C angesagt. Falls du dennoch eine Reinigung per HJT versuchen willst, dann fixe/lösche
im abgesicherten Modus bei deaktivieren der Systemwiederherstellung
( http://www.bsi.bund.de/av/texte/wiederher.htm ) folgende:

1.)     R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar

2.) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)

3.) O2 - BHO: AntiSpyware Class - {C6176B04-8896-4446-9939-E00EE94C420F} - C:\WINDOWS\System32\ash.dll

4.) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)

5.)O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)

6.)O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://apperception.biz/server.exe

7.)O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)

8.) O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Unknown owner - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing

9.) O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton AntiVirus\SAVScan.exe (file missing)

Deine Entscheidung zu fixen oder gleich neu aufsetzen.
Auf jeden Fall sofort hinterher alle Passwörter ändern. Du weißt nicht, wer diese schon hat!!
Aber Troj/BankAsh-A war/ist extrem aggressiv mit Ausschalten von AV-Programmen (s.o.) usw, deswegen kannst du dich da im moment auch nicht zu 100% drauf verlassen, selbst wenn sie dir angebliche Virenfreiheit melden.


Moderator informieren  

Oh mann, das gibts doch nicht!!!!
Bisher hatte ich aber keine Probleme außer der Startseite...nix ist ausgefallen oder ähnliches...mein norton hat es halt zerschossen!
bist du dir sicher?

Moderator informieren  

na wenns dein norton zerschossen hat ist das halt schon eiin zeichen, das etwas nicht gerade rund läuft... :-\

Moderator informieren  

Hallo meipper,

leider bin ich mir da sehr sicher wg. dieser
ash.dll in deinem system32.  Das ist das typische
Anzeichen für einen Troj/BankAsh-A-Befall wie oben
beschrieben. Dazu wirst du mittlerweile im Internet auch viele Beschreibungen finden, ist gut dokumentiert.

Du kannst diese ash.dll auch gerne nochmals mit dem
og. Jottiscan (max 10 MB/Scan) kurz gegenchecken.

Alternativ auch nochmals die gesamte Festplatte auf mögliche weitere Schädlinge, die z.Z. wegen des Befalls nur eingeschränkt erkannt werden (können).
Immer gut, wenn man mehrere Meinungen dazu hat.

Einer der besten speziell im Trojaner-Bereich ist Kaspersky. Diesen bekommst du gratis als sog. eScan (= Kaspersky-Engine inkl. der sog. Extended Database).
Lade dir dieses freie eScan-Tool von http://www.mwti.net/antivirus/free_utilities.asp herunter.
Dazu vorher auf C einen Ordner namens bases
(also C:\bases) erstellen und dort downloaden. Ist wichtig,sondern funktioniert das Updaten nicht richtig.
Leider entfernt das Tool nicht mehr,sondern zeigt nur an. Im Falle eines Fundes ist also manuelle Entfernung angesagt.
Und auch mit eScan dann gleich im abgesicherten Modus scannen.

Moderator informieren  

Hallo!

Vielen Dank für deine Tipps! Echt klasse...ICh werd das heute abend gleich mal versuchen, Not-OP sozusagen!
Noch eine Frage: An was erkenne ich, dass ich den Virus vollständig eliminiert habe?

Gruß,
meipper!

Moderator informieren  

Hallo meipper !

Als erstes solltest du heute abend nochmals diese
ash.dll  mit dem o.g. Jottiscan prüfen.
Anschliessend alles fixen/löschen, was ich oben sagte.
Sind alles böse/schlechte Einträge, die du garantiert nicht brauchst bzw. nicht haben sollst.

Nach Ende dieser Prozedur dann erst den eScan/Kaspersky laufen lassen (kann durchaus 1 Stunde und mehr dauern!). Kaspersky ist ein sehr guter Trojanerjäger und hat Erkennungsraten von knapp 100% in diesem Sektor. Wenn er nichts mehr findet, dann bist du wieder auf der sicheren Seite. Aber erst am Schluß, vorher macht es weniger Sinn. Falls er noch was findet, muss es manuell entfernt werden wie gesagt. eScan cleant leider nicht mehr automatisch.

Alternativ kannst du auch mit einigen Online-AV-Scannern dagegen prüfen. Hier eine Auswahl von 13 kostenlosen AV-Scannern:
 http://malware.bul-online.de/av_onlinescan.php
Einige wie Bitdefender, TrendMirco, RAV, F-Secure (scannt mit der Kaspersky-Engine) oder Panda (löscht nur gefundene Viren je nach Fall, Malware zeigt er nur an) sind keine schlechten AV-Scanner und immer ok für eine 2.Gegenmeinung.
Speziell im Trojanerbereich kommt aber bis jetzt keiner an Escan/Kaspersky heran und wenn dieser nichts mehr meldet, dann bist du wieder sauber.

Viel Erfolg.



Moderator informieren  

Seiten: [1]
« Win XP: VirusPlanet DSL »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Gescher Gast

Datum: 02.03.05, 08:19:13

2506x gelesen, 6 Antworten.

Seiten: [1]

0 und 1 Gast betrachten dieses Thema.
Fremdwörter? Erklärungen im Lexikon!
HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...


Mehr zu Startseite abou_blank! Ich bekomm nen vogel!

Als Startseite setzen

Der Internet-Explorer ermöglicht es den Besuchern, die aktu...

Camino browserStartseite im Browser festlegen und ändern

Der Webbrowser startet meist mit einer leeren oder vor-eingestellten Startseite. Um die Startseite z...

Die 2 Vögel

2 Vögel sahen einen Düsenjet an ihnen vorbeifliegen. Der e...


Ähnliche Fragen:
  • Tanzender Vogel

    http://www.myvideo.de/watch/3473698/Snowball_is_backDas ende ist geil :D...

  • Sonstiges: Vogel

    Hi @all.Während der großen Kälte saß hinter dem Haus ein Vogel im Geäst, den ich in natura noch...

  • Ein Vogel mit 2,30 m Durchmesser :-)

    Ich war heute in einem kleineren Zoo in meiner Nähe.Dort läuft seit Jahren ein Pfau (abgekürzt = ...

  • unchristlicher Vogel

    Der Kölner Kardinal stirbt. Er vermacht seinen Papagei dem Papst. Dieser Papagei hatte die Angewohn...

  • ein Heißer Vogel

    Ein Mann fragt seinen Papagei: "Was ist mit dir los? Du bist so unglaublich zappelig! Das kann ...

  • Kleiner Vogel (Meise)

    Mal ein bisschen die Kamera aus dem Fenster gehalten, und wie ich finde, ganz glücklich getroffen.....

  • Sonstiges: Welche Vögel?

    Seit einiger Zeit versammeln sich vor unserem Haus abends in der Dämmerung immer Scharen von Piepse...

  • ein seltsamer roter Vogel

    Hi,das habe ich vor ca. 2h direkt bei uns vorm Fenster fotografiert. Hat schonmal jemand von euch so...