Re: About:Blank wurde von einen Virus geändert
 

So, ich hab das System jetzt nochmal mit Norton durchscannen lassen und es wurden 90 risikobehaftete Dateien gefunden.
Ich vermute die MSHTML.DLL wurde vom Virus ausgetauscht. Es wurde unter anderem eine MSHTML.EXE gefunden.
Ich starte jetzt ertmal neu und dann gucke ich nochmal ...

Re: About:Blank wurde von einen Virus geändert
 

Mittlerweile habe ich es geschafft, dass der Browser wieder normal funktioniert, jetzt allerdings kann ich mit dem IE keine Seiten mehr aufrufen. Es kommt immer: "Host nicht gefunden". Ein weiteres Problem: In der Tray hält sich hartnäckig ein kleines TrayIcon, was von Zeit zu Zeit ein WerbeBalloonTip anzeigt. Komisch nur: Kein Fremdprozess wurde gestartet oder ist in den Autostarts. Ich vermute sowas wie ActiveX. Hat jemand Erfahrung mit sowas?

Florian

Re: About:Blank wurde von einen Virus geändert
 

dann entrümpel mal die BHOs.

Re: About:Blank wurde von einen Virus geändert
 

Sag ich ja.

BHOs sind ja DLLs, laufen also nicht in einem extra Prozeß. Putzigerweise sind die BHOs ja oft auch so konfiguriert, daß sie schon durch explorer.exe gestartet werden. Nicht zuletzt gibt es dann noch Winlogon Notification Packages (das sind keine BHOs), die sich in Winlogon.exe einnisten und deshalb besonders schwer zu entfernen sind ;)

Re: About:Blank wurde von einen Virus geändert
 

Bist du meinem Rat eigentlich gefolgt?

Re: About:Blank wurde von einen Virus geändert
 

Ja bin ich. Nach dem entfernen aller Vorgeschlagenen Werte funktionierte der Browser auch wieder normal ... Bis zum nächsten Neustart.

Wie kann man die BHOs generell entfernen. Ich hab schonmal alle unnötigen BrowserPlugins deaktiviert und HijackThis hat auch ein paar BHO Einträge aus der Registry entfernt.

Hab ich eventuell zuviel aus der Registry entfernen lassen, weil der IE jetzt nicht mehr geht, aber eine Internetverbindung zu stande kommt. ICQ z.B. geht normal, aber OnlineServer in UT2004 abrufen, oder SpyBot Updates downlaoden schlägt fehl ...

Florian

Re: About:Blank wurde von einen Virus geändert
 

Mittlerweile habe ich mal Opera installiert. Leider kann auch damit keine Internetseite aufgerufen werden. Es scheint, als ob das HTTP Protokoll komplett nicht mehr funktioniert. (Ich habe eine Datei namens "winres.dll" löschen müssen, da diese für die gefakte Blank Seite verantwortlich war.

@Oli: Winlogon Notification Packages könnte gut möglich sein. Ich kann mich erinnern, dass meine Firewall einen Zugriffsversuch von winlogon.exe auf das Internet gemeldet hat.

Florian

Re: About:Blank wurde von einen Virus geändert
 

Poste doch hier mal eine Liste der Notification Packages ...

Re: About:Blank wurde von einen Virus geändert
 

Dank des Programmes Spyware Doctor (was ich jedem, der ähnliche Probleme hat empfehlen kann) konnten sämtliche Adwareprogramme und DLLs (es war wirklich eine) entfernt werden.

Bleiben tut das Problem, dass ich keine HTTP Verbindungen mehr aufbauen kann, aber dafür mache ich lieber einen extra Thread auf ...

Vielen Dank für all eure Tips! :thumb:

Florian

Re: About:Blank wurde von einen Virus geändert
 

Ich denke du bist dir dem Problem nocht nicht bewusst. Zwar gibt es einige Programme welche Spyware entfernen (mehr oder weniger gut) aber wenn dir Spyware eine Ressource (zum Beispiel die Blank-Seite) ersetzt hat dann ist die original Ressource für immer weg und kein Programm kann die wieder herzaubern. Daher empfehle ich dir dein System lieber neu aufzusetzen und dafür zu sorgen das sowas gar nicht erst passieren kann, denn Rückgängig zu machen ist das ganze nicht wirklich zu 100%.