hartnäckigster hijacker

[caddi3000]

hallo zusammen,

habe bereits etliche eurer beiträge zum thema "hijacker" gelesen, wie man diese ekelhafte tools vom rechner bekommt. aber ich weiß mittlerweile nicht mehr weiter.
habe also ad-aware, stinger, cwshredder, antivir usw drüberlaufen lassen und nachdem ich ein paar zeilen im hijackthis gefixt hatte (vielleicht hatte ich etwas übersehen?), auch nochmal alles im abgesicherter modus gescannt.
eigentlich dürfte nichts mehr da sein ... aber ... das hijacker-logfile sah ein paar stunden nach der ganzen (mehrmals wiederholten) aktion wieder so aus wie vorher.
bin zwar ein laie in betriebssystem-dingen, aber eure beiträge haben mir bereits schon einmal geholfen, den rechner sauber zu bekommen. nur in diesem fall ....
könnte vielleicht jemand drüber schauen und mir helfen?

super großes danke im voraus .... hier das hijackthis log-file:

Logfile of HijackThis v1.98.0
Scan saved at 00:20:58, on 29.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
c:\programme\Epson Statusmonitor\SAgentNT.exe
C:\WINNT\system32\stisvc.exe
c:\programme\Epson Statusmonitor\EBRR.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\runwin32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\malware scanner\hijack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MacLicense] "C:\Programme\Conversions Plus\MacLic.exe"
O4 - HKLM\..\Run: [MatrixScreenSaver] C:\DOKUME~1\CARSTE~1.P43\LOKALE~1\Temp\mss.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [CJDL] C:\WINNT\CJDL.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [BirthdayReminder] C:\Programme\reminder\BirthdayReminder.exe /remind
O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\Programme\Epson Statusmonitor\Stms.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINNT\chp.dll
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll

[Computerdirk]

Hallöchen,

also fixe mal folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
O4 - HKLM\..\Run: [MatrixScreenSaver] C:\DOKUME~1\CARSTE~1.P43\LOKALE~1\Temp\mss.exe
O4 - HKLM\..\Run: [CJDL] C:\WINNT\CJDL.exe
O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe

Dann im abgesicherten Modus starten und die gefixten Dateien löschen.

[Nikita]

caddi3000

fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz

O4 - HKLM\..\Run: [MatrixScreenSaver] C:\DOKUME~1\CARSTE~1.P43\LOKALE~1\Temp\mss.exe
O4 - HKLM\..\Run: [CJDL] C:\WINNT\CJDL.exe
O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe

O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINNT\chp.dll
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll



neustarten und
#Geh in den abgesicherten Modus...das ist wichtig !
http://www.bsi.de/av/texte/winsave.htm


Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

und mache einen Vollscann mit dem Antivirus.


..............................................................................................................

#normal neustarten


#Lade AdAware free...updaten vor dem Scannen !!!
http://www.lavasoft.de/support/download/
und Spybot von dieser Site
http://www.safer-networking.org/de/download/index.html


#lade Spysweeper free
http://www.spysweeper.com/

#Lade mwav.exe...scanne alle Dateien (30 Tage free)
http://www.mwti.net/antivirus/free_utilities.asp

#Lade CWShredder
http://www.chip.de/downloads/c_downloads_11353799.html


Loesch mit ClearProg
http://www.clearprog.de/
# die TemporaryInternetFiles !!!
und stelle unter Internetoptionen eine neu Startseite ein

Dann poste das Log noch einmal, vor allem wichtig, um zu sehen, ob
C:\WINNT\chp.dll weg ist.

mfg
Nikita

[caddi3000]

hallo,

habe eure vorschläge befolgt und das ergebnis sieht bislang ganz gut aus. jedenfalls ist die startseite vom ie auch nach dem neustart des rechners immer noch die, die ich haben möchte.

die chp.dll ist aber immer noch am platz. jedenfalls im "filter hijack"
was macht diese chp.dll?

darüber hinaus würde ich noch gern wissen, ob die prozesse: C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
schadhafte programme sind?

hier das log-file:


Logfile of HijackThis v1.98.0
Scan saved at 21:42:26, on 29.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
c:\programme\Epson Statusmonitor\SAgentNT.exe
C:\WINNT\system32\stisvc.exe
c:\programme\Epson Statusmonitor\EBRR.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\NoPopUp 2001\nopopup.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\malware scanner\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.le-petit-prince.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CloantoSoftwareManager] "C:\Programme\Gemeinsame Dateien\Cloanto\Software Manager\softmngr.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [BirthdayReminder] C:\Programme\reminder\BirthdayReminder.exe /remind
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2001\nopopup.exe /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\Programme\Epson Statusmonitor\Stms.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll

[GrayGhost]

darüber hinaus würde ich noch gern wissen, ob die prozesse: C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
schadhafte programme sind?

Nein,
smss.exe = Session Manager SubSystem
winlogon = Der Prozess "winlogon.exe" ermöglicht das An- und Abmelden von Benutzer und läuft deswegen ständig im Hintergrund mit.
lsass.exe = LSASS ist der lokale Security Authentication Server.
svchost.exe = SVCHOST ist ein übergeordneter Prozess welcher als Host für andere, durch DLL's gestartete, Prozesse agiert.

[caddi3000]

ok, danke.
dann lasse ich mal lieber die finger von den prozessen

ist laut dem letzten log.file mein rechner wieder clean?

gruss


caddi

[Nikita]

caddi3000

#Lade CWShredder und scanne (schliesse vorher alle Browserfenster)
http://www.chip.de/downloads/c_downloads_11353799.html


Suche C:\WINNT\chp.dll , oeffne mit dem Editor ( notepad)
Was steht da ?

Benenne die chp.dll um , z.B. in chp.dl und loesche.


suche und loesche ebenfalls
application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999}
in der Registry
Start<Ausfuehren<regedit

MfG
Nikita

[caddi3000]

hi nikita,

alos die dll lässt sich nur kryptisch im editor darstellen. in weiteren verlauf der datei taucht folgender "lesbarer" eintrag auf:
{
Chp.CustomHomePage.1 = s 'CustomHomePage Class'
{
CLSID = s '{A771FB97-B13E-46E2-973A-1CF0B693D1BC}'
}
Chp.CustomHomePage = s 'CustomHomePage Class'
{
CLSID = s '{A771FB97-B13E-46E2-973A-1CF0B693D1BC}'
}
NoRemove CLSID
{
ForceRemove {A771FB97-B13E-46E2-973A-1CF0B693D1BC} = s 'CustomHomePage Class'
{
ProgID = s 'Chp.CustomHomePage.1'
VersionIndependentProgID = s 'Chp.CustomHomePage'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'both'
}
}
}
}
ä HKCR
{
Chp.CBlank.1 = s 'CBlank Class'
{
CLSID = s '{D962EF38-5FB0-4761-8638-C86F085E25E6}'
}
Chp.CBlank = s 'CBlank Class'
{
CLSID = s '{D962EF38-5FB0-4761-8638-C86F085E25E6}'
CurVer = s 'Chp.CBlank.1'
}
NoRemove CLSID
{
ForceRemove {D962EF38-5FB0-4761-8638-C86F085E25E6} = s 'CBlank Class'
{
ProgID = s 'Chp.CBlank.1'
VersionIndependentProgID = s 'Chp.CBlank'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Apartment'
}
'TypeLib' = s '{8427BD70-5444-46CE-B15D-19E9CB49DF64}'
}
}
}
@æ HKCR
{
Chp.CallThrough.1 = s 'CallThrough Class'
{
CLSID = s '{6585E5B4-4D2A-4A1D-A219-4102C64BA999}'
}
Chp.CallThrough = s 'CallThrough Class'
{
CLSID = s '{6585E5B4-4D2A-4A1D-A219-4102C64BA999}'
}
NoRemove CLSID
{
ForceRemove {6585E5B4-4D2A-4A1D-A219-4102C64BA999} = s 'CallThrough Class'
{
ProgID = s 'Chp.CallThrough.1'
VersionIndependentProgID = s 'Chp.CallThrough'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'both'
}
}
}
}



sieht verdächtig aus. werde die datei umbennen und weglegen - falls sich diese aktion negativ auf das system auswirkt. nach einer prüfung lösche ich die datei dann.

den reg eintrag werde ich dann gleich löschen.

meld mich dann gleich nochmal.



caddi

[caddi3000]

übrigens, der scan mit CWShredder ist negativ ausgefallen - also soweit alles sauber.

gruss

[Nikita]

BEVOR SICH DIE DLL DAUERHAFT LOESCHE LAESST, MUSST DU SIE IN DER REGISTRY UNSCHAEDLICH MACHEN.

CLSID = s '{6585E5B4-4D2A-4A1D-A219-4102C64BA999}'
ForceRemove {6585E5B4-4D2A-4A1D-A219-4102C64BA999} = s 'CallThrough Class'

das stimmt ja ueberein
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll
............................................................................................................
CLSID = s '{A771FB97-B13E-46E2-973A-1CF0B693D1BC}l
TypeLib' = s '{8427BD70-5444-46CE-B15D-19E9CB49DF64}
ForceRemove {D962EF38-5FB0-4761-8638-C86F085E25E6}

mfg
Nikita

[caddi3000]

hallo nikita,

ich habe bislang immer die regedit in ruhe gelassen, da man dort ja so einiges zerstören kann. nun weiss ich leider nicht wie ich die einräge, die du genannt hast "löschen" kann.
also "ausführen" -> regedit und dann suchte ich mit der suchfunktion die reg nach den einzelnen bezeichnungen durch (zahlenkolonne und die wörter davor) - ohne ergebnis.

über regCleaner fand ich ebenfalls keine der einträge, die der dll-bezeichnung/pfad entsprachen.

denke, ich mach dabei etwas grundlegend verkehrt.

gruss


caddi

[Nikita]

caddi3000
versuche die dll umzubenennen und zu loeschen, ohne in die Registry zu gehen.

dann poste noch mal, ob die dll wieder im HijackThisLog auftaucht.

Gruss
nikita

[caddi3000]

umbenannt und gelöscht habe ich die dll bereits.

das log-file stelle ich gleich heut abend hier rein, bin nur grad im büro

[caddi3000]

hallo nikita,

also die chp.dll ist vollständig vom rechner gelöscht. dennoch ist im hijack.log in der letzten zeile die datei aufgeührt. denke die liegt noch irgendwo versteckt in der registry...

hier das log-file:

Logfile of HijackThis v1.98.0
Scan saved at 20:21:44, on 30.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
c:\programme\Epson Statusmonitor\SAgentNT.exe
C:\WINNT\system32\stisvc.exe
c:\programme\Epson Statusmonitor\EBRR.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\NoPopUp 2001\nopopup.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\malware scanner\hijack this\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.le-petit-prince.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [BirthdayReminder] C:\Programme\reminder\BirthdayReminder.exe /remind
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2001\nopopup.exe /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\Programme\Epson Statusmonitor\Stms.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll

gruss


caddi

[Nikita]

I too had about:blank. I ran Avg and Adaware and still had it. Searched out files that had been modified or created at the time I knew 'about' got in. I found chp.dll,opened it with notepad, it was full of gibberish. I tried to delete it, but couldn't. I renamed it zzz.dll and rebooted, my homepage went blank, so I reset my page, went back to zzz.dll opened it with notepad and deleted all of the contents, then deleted the file. Rebooted again. That was three days ago, an still no sign of 'about' coming back.

http://www.computing.net/windowsme/wwwb ... 42481.html
............................................................................................................
Kann für eine angeforderte Datei kein MIME-Typ bestimmt werden, so gibt die Webserver-Software den allgemeinen 8-Bit-Typ "application/octet-stream" aus.

versuche noch mal folgendes:
# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

# rechts doppelclick :
"AppInit_DLLs"
WAS STEHT DA in der Value Data box:????????????????
%System%\<DLL filename>.dll


.........................................................................................................
Das ist leider alles, was ich ueber diese vermaledeite dll gefunden habe.

mfg
Nikita