Startseite
Hilfe-ForumFrageSuchenKontakt/Impressum

ForenForum
Startseite abou_blank! Ich bekomm nen vogel!
Von: meipper *
am 02.03.2005
Hallo...
Ich hab die Startseite about:blank... Hab jetzt auch schon ewig im internet nach tipps gesucht! bisher hat aber rein gar nix geklappt! hijackthis plus removal tool, adaware und spybot! es geht einfach gar nix! Bitte bitte helft mir...

Hijackthis sagt folgendes!

Logfile of HijackThis v1.99.1
Scan saved at 08:14:15, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O2 - BHO: AntiSpyware Class - {C6176B04-8896-4446-9939-E00EE94C420F} - C:\WINDOWS\System32\ash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT http://apperception.biz/server.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Unknown owner - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Antwort 1 von Gescher
am 02.03.2005
Guten Morgen, meipper !

Dein PC ist leider hochgradig verseucht durch
C:\WINDOWS\System32\ash.dll .
Dies ist der Troj/BankAsh-A und macht ua. folgendes:
# Stiehlt Kreditkarten-Daten
# Schaltet Antiviren-Anwendungen aus
# Löscht Dateien vom Computer
# Stiehlt Daten
# Legt Malware ab
# Lädt Code aus dem Internet herunter
Dieser wurde vor ein paar Wochen dadurch bekannter, daß er auch versucht Microsoft AntiSpyware zu deaktivieren oder zu beenden!

Schau hier unter:
http://www.sophos.de/virusinfo/analyses/trojbankasha.html
oder hier:
http://www.liutilities.com/products/wintaskspro/dlllibrary/ash/

Überprüfe auch mit http://virusscan.jotti.org die
C:\WINDOWS\system32\csrss.exe zur doppelten Sicherheit.

Bei so einem Befall ist fast besser Neuaufsetzung, sprich Format C angesagt. Falls du dennoch eine Reinigung per HJT versuchen willst, dann fixe/lösche
im abgesicherten Modus bei deaktivieren der Systemwiederherstellung
( http://www.bsi.bund.de/av/texte/wiederher.htm ) folgende:

1.)     R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar

2.) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)

3.) O2 - BHO: AntiSpyware Class - {C6176B04-8896-4446-9939-E00EE94C420F} - C:\WINDOWS\System32\ash.dll

4.) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)

5.)O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)

6.)O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT http://apperception.biz/server.exe

7.)O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)

8.) O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Unknown owner - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe (file missing

9.) O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton AntiVirus\SAVScan.exe (file missing)

Deine Entscheidung zu fixen oder gleich neu aufsetzen.
Auf jeden Fall sofort hinterher alle Passwörter ändern. Du weißt nicht, wer diese schon hat!!
Aber Troj/BankAsh-A war/ist extrem aggressiv mit Ausschalten von AV-Programmen (s.o.) usw, deswegen kannst du dich da im moment auch nicht zu 100% drauf verlassen, selbst wenn sie dir angebliche Virenfreiheit melden.




Antwort 2 von meipper *
am 02.03.2005
Oh mann, das gibts doch nicht!!!!
Bisher hatte ich aber keine Probleme außer der Startseite...nix ist ausgefallen oder ähnliches...mein norton hat es halt zerschossen!
bist du dir sicher?

Antwort 3 von Schnibu *****
am 02.03.2005
na wenns dein norton zerschossen hat ist das halt schon eiin zeichen, das etwas nicht gerade rund läuft... Undecided

Antwort 4 von Gescher
am 02.03.2005
Hallo meipper,

leider bin ich mir da sehr sicher wg. dieser
ash.dll in deinem system32.  Das ist das typische
Anzeichen für einen Troj/BankAsh-A-Befall wie oben
beschrieben. Dazu wirst du mittlerweile im Internet auch viele Beschreibungen finden, ist gut dokumentiert.

Du kannst diese ash.dll auch gerne nochmals mit dem
og. Jottiscan (max 10 MB/Scan) kurz gegenchecken.

Alternativ auch nochmals die gesamte Festplatte auf mögliche weitere Schädlinge, die z.Z. wegen des Befalls nur eingeschränkt erkannt werden (können).
Immer gut, wenn man mehrere Meinungen dazu hat.

Einer der besten speziell im Trojaner-Bereich ist Kaspersky. Diesen bekommst du gratis als sog. eScan (= Kaspersky-Engine inkl. der sog. Extended Database).
Lade dir dieses freie eScan-Tool von http://www.mwti.net/antivirus/free_utilities.asp herunter.
Dazu vorher auf C einen Ordner namens bases
(also C:\bases) erstellen und dort downloaden. Ist wichtig,sondern funktioniert das Updaten nicht richtig.
Leider entfernt das Tool nicht mehr,sondern zeigt nur an. Im Falle eines Fundes ist also manuelle Entfernung angesagt.
Und auch mit eScan dann gleich im abgesicherten Modus scannen.

Antwort 5 von meipper *
am 02.03.2005
Hallo!

Vielen Dank für deine Tipps! Echt klasse...ICh werd das heute abend gleich mal versuchen, Not-OP sozusagen!
Noch eine Frage: An was erkenne ich, dass ich den Virus vollständig eliminiert habe?

Gruß,
meipper!

Antwort 6 von Gescher
am 02.03.2005
Hallo meipper !

Als erstes solltest du heute abend nochmals diese
ash.dll  mit dem o.g. Jottiscan prüfen.
Anschliessend alles fixen/löschen, was ich oben sagte.
Sind alles böse/schlechte Einträge, die du garantiert nicht brauchst bzw. nicht haben sollst.

Nach Ende dieser Prozedur dann erst den eScan/Kaspersky laufen lassen (kann durchaus 1 Stunde und mehr dauern!). Kaspersky ist ein sehr guter Trojanerjäger und hat Erkennungsraten von knapp 100% in diesem Sektor. Wenn er nichts mehr findet, dann bist du wieder auf der sicheren Seite. Aber erst am Schluß, vorher macht es weniger Sinn. Falls er noch was findet, muss es manuell entfernt werden wie gesagt. eScan cleant leider nicht mehr automatisch.

Alternativ kannst du auch mit einigen Online-AV-Scannern dagegen prüfen. Hier eine Auswahl von 13 kostenlosen AV-Scannern:
 http://malware.bul-online.de/av_onlinescan.php
Einige wie Bitdefender, TrendMirco, RAV, F-Secure (scannt mit der Kaspersky-Engine) oder Panda (löscht nur gefundene Viren je nach Fall, Malware zeigt er nur an) sind keine schlechten AV-Scanner und immer ok für eine 2.Gegenmeinung.
Speziell im Trojanerbereich kommt aber bis jetzt keiner an Escan/Kaspersky heran und wenn dieser nichts mehr meldet, dann bist du wieder sauber.

Viel Erfolg.





« zurück Antworten