Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

[pegasus]

Hallo!
Ich habe festgestellt, daß Ad-Aware seit geraumer Zeit die eigentlich als harmlos eingestufte IE-Startseite ( about:blank) als "möglichen Browser-Hijack Versuch" klassifiziert! Wahrscheinlich ist das euch beim Scannvorgang ebenfalls aufgefallen! Oder?
Warum schlägt ausgerechnet an dieser besagten Stelle Ad-Aware eigentlich Alarm?? Zum Vergleich meldet Spybot Search & Destroy 1.3 an dieser bestimmten Stelle keinen Hinweis!

Was meint Ihr, sollte man also aus Sicherheitsgründen die "about:blank" Start-Einstellung in Zukunft vermeiden???

Mit freundlichen Grüßen
Pegasus

[Editiert am 4/7/2004 von pegasus]

[Editiert am 4/7/2004 von pegasus]

 

[Walter-Buergin]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Es gibt aber einen Troyaner der "about:blank" heisst.

Please, Anmelden or Registrieren to view URLs content!

mfg. Walter

 

[anonymum2]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hi Walter-Buergin

Hast Du prima erfasst, nur hat es mal bei mir mit dem CW-Shredder nicht geklappt und danach habe ich mich sowieso von IE,MSN, getrennt.

MfG rolfpower

 

[pegasus]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Vielen Danke Walter für den sehr hilfreichen "trojaner-info"-Link!!!!

Mfg
Pegasus

[Editiert am 4/7/2004 von pegasus]

 

[Anni]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Pegasus....
about:blank ist möglicherweise ein Hijacker. Noch dazu mit "ablegern". Wenn du ganz sichergehen willst, lade Dir

Please, Anmelden or Registrieren to view URLs content!

runter, scannen, den Log speichern, und das Ergebnis hier zwischen [ code] und [ /code] posten. (Ohne leerzeichen nach den ersten [ ) dann können wir sehen, ob der hijacker bei dir bereits ableger gelassen hat.

LG
Anni

 

[pegasus]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Anni!
Danke auch Dir für deinen Tip!

Ich habe nochmals die Programme AntiVir, Ad-aware, Spybot 1.3, HijackThis, CWShredder und das eigens nur für dieses Problem entwickelte Programm SpHjfix auf (

Please, Anmelden or Registrieren to view URLs content!

) laufen lassen!
Es gab soweit ich überschauen konnte keine Auffälligkeiten.

Ich gehe davon aus, daß Ad-aware wohl standardmäßig die about:blank Seite als Gefahr klassifiziert, also unabhängig davon, ob nun eine Gefahr besteht oder nicht!
Wo anders habe ich gelesen, daß es sich in diesem Fall bei Ad-aware um einen Bug handelt; das aber halte ich für unwahrscheinlich!

Mfg
Pegasus

 

[Anni]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hi Pegasus...

du kannst aber sicherheitshalber trotzdem deinen log hier posten, dann weisst du es genau, ob oder ob nicht..

LG
anni

 

[pegasus]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Anni!
Hier hast du vorsichtshalber die HijackThis-Logliste!

Logfile of HijackThis v1.98.0
Scan saved at 23:35:35, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\GetRight\GETRIGHT.EXE
C:\Programme\GetRight\GETRIGHT.EXE
E:\Downloads\Temp\Downloads\HijackThis.exe


F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.3\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .MID: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/253f736cbe94e2050902/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
Danke Anni für deine Aufmerksamkeit!
Mfg
Pegasus

[Editiert am 5/7/2004 von pegasus]

 

[Anni]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Pegasus....

wie ich sehen kann, ist dein Log ziemlich sauber....

den hier:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

Please, Anmelden or Registrieren to view URLs content!

e.cab

wenn du den nicht brauchst, oder nicht kennst vielleicht fixen. Wenn du es kennst und brauchst dann kannst du es lassen. Konnte dazu leider nix finden.
Hast du beim Messenger Plus das Sponsorprogramm angenommen? Wenn ja, musst du Messi Plus deinstallieren,

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"

den hier fixen, und ohne sponsoring installieren. Funtzt auch und du hast kein Müll auf dem Rechner.. (auch wenn messi plus zu malware gehört, und als Böse eingestuft wird)

der rest ist sauber

LG
Anni

 

[pegasus]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Anni!

Danke für deine schnelle Analyse der Log-Liste!!!!

Das Messenger Plus-Sponsorenprogramm hatte ich damals während des Installationsvorgangs auf jedenfall abgelehnt! Denn dieses merkwürdige Angebot viel mir bei diesem Programm besonders auf, als ich danach gefragt wurde.

Die Zeile:
O 16 - DPF (......u.s.w) (RDxIE Class)
hatte ich vor einiger Zeit vom "erweiterten Spybot-Modus" überprüfen lassen. Auch Spybot konnte hier keine näheren Angaben über diesen Eintrag machen! Dort an dieser Stelle wurde vom Programm nur ein Fragezeichen gesetzt, aber die restlichen anderen Elemente wurden von Spybot als "vertrauenswürdig" eingestuft.
Du hast recht, sicher ist sicher! Ich werde aber wohl diesen Eintrag fixen lassen.

Meinst du nicht auch, daß Ad-aware die about:blank Startseite nur vorsichtshalber als potenzielle Gefahr einstuft?

Viele Grüße auch an das Windowspower-Team!
Pegasus

 

[Anni]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Pegasus....

ob vorsichtshalber oder nicht... es gibt einen oder mehreren Hijacker, die die Startseite des IE zum About:blank machen. An Deiner Stelle würde ich eine schnell ladende Website als Startseite einstellen, so merkst du wenigstens, ob du "entführt" worden bist. Z.b.: Google.

Alternativ kann ich jeden dazu raten einen anderen Browser zu verwenden. IE-ähnlichsten ist (meine persönliche Meinung) Mozilla Firefox. Dieser Browser bietet alles, was IE auch bieten kann, doch er ist um einiges sicherer...

zum herunterladen, kannst du mal

Please, Anmelden or Registrieren to view URLs content!

klicken

Liebe Grüsse
Anni

 

[pegasus]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Anni!
Ich habe schon lange mit dem Gedanken gespielt einen Browser Wechsel zu Firefox zu planen oder ihn zumindest Anfangs parallel zu nutzen, um Erfahrungen im vergleich zum IE zu sammeln!
Der Mozilla Firefox soll ja wirklich gut sein und rank und schlank ist er zudem auch noch!

Beim großen Browser-Test vor einigen Wochen bei "Planetopia" war der Firefox von Mozilla sogar Testsieger

!

Ich habe gestern auf diesem fogenden Link von "Heise-Security":

Please, Anmelden or Registrieren to view URLs content!

,was den Mozilla Firefox anbetrifft, aber etwas überraschendes herrausgelesen!
Wird nun dort etwa eine bewußte Anti-Stimmung gegen Mozilla-Firefox beabsichtigt!
Ich bin mir nicht sicher was ich von diesem Bericht dort halten soll! Was würdest du dazu sagen?

Viele Grüße!
Pegasus

[Editiert am 4/7/2004 von pegasus]

 

[joerg12]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Anni & pegasus,

hab Euer "Gefecht" interessiert gelesen und ein paar Fragen dazu:
1. Was bedeutet, einen Eintrag "fixen" lassen und wie geht das ?
2. Woran erkenne ich z.b. in meinem log, ob das etwas Unsauberes drin ist ? Gibt es da ein festes Merkmal, mittels welchem man das erkennt ? :question: :question: :question:

LG
Jörg

 

[Anni]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Joerg,
Wenn man Ahnung hat von dem Inhalt eines Logs, erkennt man fast auf dem ersten Blick was nicht stimmt. Wenn nich auf den ersten Blick, dann auf den zweiten oder dritten....hat man wenig Ahnung, oder gar keinen, ist es besser den Log hier im Forum zwischen [ code] [ /code] zu posten, und ich helfe demjenigen seinen Rechner sauber zu bekommen.
Die ganze Prozedur zu erklären wäre etwas langwierig. Was gefixt werden muss, wird im HjT angehakt (fix checked) und dadurch unwirksam gemacht. Damit der Rechner aber richtig Sauber wird, muss man hinterher noch einige Programme scannen lassen, die dann den Rest erledigen. (Registry aufräumen, Prozesse beenden [meist geschieht dies aber von hand], Dateien löschen usw)

Es besteht mittlerweile die Möglichkeit, seinen Log automatisch auswerten zu lassen, das Problem ist nur, das ja damit noch nicht alles getan ist. Für Anfänger oder "Ahnungslosen" (ist keine Negative Anmerkung) ist es jedoch besser, und sicherer den Log hier zu posten, und dann wird jedem genau gesagt, was er machen soll, und wie und in welcher Reihenfolge...

LG
Anni

 

[Anni]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Pegasus...
mit Interesse habe ich gerade den Artikel gelesen. Und muss zugeben, ich bin etwas überrascht. Ich benutze Firefox UND IE. Und ich muss sagen, ich habe bisher noch nie etwas über diesen beiden Browser eingefangen. Vorsicht ist bei allen beiden geboten. Nicht einfach alles wahllos downloaden, und installieren.

Toolbars z.b.: wenn man unbedingt einen braucht, dann nehme man den von Google. Manche Dialer installieren sich schon unbemerkt, sobald man auf die Seite zugreift. Wenn man etwas Erfahrung im Internet hat, merkt man mit der Zeit ohne zu klicken, welche Seite Dialer enthalten könnte. z.b. Seiten, die gifs zum kostenlosen Download anbieten. Nicht alle, aber ich sage mal gute 95% sind mit Dialer versehen. Oder eben so Smilie generatoren für Messenger usw. Ich habe sogar eine Gartenseite gefunden, die mit einem Dialer versehen ist

Mit etwas Vorsicht und Umsicht, geht man solchen Gefahren aus dem Weg. Voraussetzung ist natürlich auch immer, dass man ein Antivirusprogramm und eine Firewall auf dem Rechner installiert ist und was noch wichtiger ist: bitte immer brav nach Updates suchen. Viele Softwarehersteller bieten schon automatisches Update an, wenn auch nicht alle.

Und die, die Trojaner, Würmer, Viren entwickeln, die werden immer dreister... Sie machen vor nix halt. Man muss sich selbst schützen, und nicht sich auf Browserhersteller verlassen

LG
Anni

 

[pegasus]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Anni!

Hier noch nachträglich eine Information zur Zeile:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/253f736cbe94e2050902/netzip/RdxIE601_d
e.cab

---

---

Dieser Eintrag stammt vom " Real Player"!

Mfg
pegasus

 

[Anni]

Re: Ad-aware enttarnt beim IE die Leer-Seite (about:blank)!!

Hallo Pegasus....
wenn du real Player verwendest, ist s ok. Wobei ich das Teil nie auf dem rechner haben will. Wozu denn auch? Habe Winamp, und der ist klasse. Den RealPlayer findet man nachher überall... :exclam:

aber es freut mich, dass es schon mal nix bösartiges ist..

LG
Anni