nach trojaner, about:blank bug im IE, an alle experten!

nabend zusammen,

folgendes problem: habe mir gestern einen hartnäckigen trojaner eingefangen... kurze zeit später war die infizierte datei erkannt, und gelöscht.
das problem war, dass der IE die startseite geändert hatte, und alle versuche diese zu ändern scheiterten. nachdem ich die verseuchte datei gelöscht hatte (ppc.dll im ordner c:\programme\PPC Advertor\) war die startseite verschwunden, der IE zeigt nun aber Die Seite kann nicht angezeigt werden. an, wenn dieser gestartet ist UND about:blank als startseite eingestellt ist. eigentlich sollte aber eine weiße seite angezeigt werden. klicke ich nun auf das startseite symbol in der explorerleiste, so wird die about:blank seite auch angezeigt, sprich eine weiße seite.

die frage ist nun also was der trojaner geändert hat, dass dies so ist, was muss ich wieder abändern? in der reg. sind alle einträge gelöscht die auf die datei, oder programmpfad hinweisen. ausserdem sind die einstellungen für die startseite im IE in der reg. auch alle korrekt.

eines ist mir noch aufgefalen, wenn ich auf internetoptionen gehe, und dann auf aktuelle seite klicke, wird folgendes angezeigt res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm
rechtsklick auf die fehlerseite und eigenschaften zeigen dies: res://C:\WINDOWS\system32\shdoclc.dll/dnserror.htm#about:blank

wo liegt also nun das problem? alle tools wie adaware, spybot etc. finden natürlich nichts, da der trojaner selbst natürlich gelöscht ist.

ich hoffe es gibt einige wirkliche experten unter euch die mir helfen können 

schönen gruß...

[blue]verschoben von Windows XP[/blue]

lass mal hijackthis laufen und fixe die registry-einträge ... das log zusätzlich noch hier www.hijackthis.de auswerten lassen ...

greetz

hugo

alles schon geschehen... nützt alles nichts.

Dann ist womöglich die shdoclc.dll gegen eine böse ausgetauscht worden.
Mach mal eben ein sfc /scannow aus der Eingabeuafforderung heraus (Start -> Ausführen -> cmd).

Bye,
Freudi

hat leider auch nichts gebracht

SIcode schrieb:

hat leider auch nichts gebracht

Zum Vergrößern anklicken....

Hmpf, welche genaue Dateigröße, welche Dateiversion und welches Datum trägt die shdoclc.dll auf Deinem Rechner im \Windows\System32-Verzeichnis?

Ist das SP2 für Windows XP installiert?

Bye,
Freudi

an der datei kann es nicht liegen, die ist 100% i.o. und original...

ich habe das prob. auch mal hier gepostet: http://www.trojaner-board.de/showthread.php?t=12389

http://www.trojaner-board.de/showthread.php?p=104434 passt nicht zufällig auf den gefundenen Trojaner?

Bye,
Freudi

ja, stimmt, es ist der gleiche fehler, aber das problem dass about:blank nun nicht eine leere site ist, sondern eine fehlermeldung, bleibt bestehen. änderbar ist meine startseite auch, aber ich möchte about:blank drin haben, und das damit eine leere seite angezeigt wird, wenn ich den IE starte...

iexplore.exe /rereg
unter Ausführen im Startmenü eingeben, nachdem alle IE-Fenster geschlossen waren, hilft wahrscheinlich auch nicht, oder?

Was passiert eigentlich, wenn Du selbst about:blank in die Adresszeile des IE eingibst und [Enter]st? Wie genau sieht der Inhalt des Werts Start Page im Registry-Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main aus?

Ansonsten wäre womöglich auch ein HijackThis-Log ohne im Hintergrund laufenden IE interessant.

Bye,
Freudi

hey, du scheinst dich ja auszukennen
hast du icq? 104789417

der inhalt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Enable_Disk_Cache=yes
Cache_Percent_of_Disk=hex:0a,00,00,00
Delete_Temp_Files_On_Exit=yes
Local Page=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
62,00,6c,00,61,00,6e,00,6b,00,2e,00,68,00,74,00,6d,00,00,00
Anchor_Visitation_Horizon=hex:01,00,00,00
Use_Async_DNS=yes
Placeholder_Width=hex:1a,00,00,00
Placeholder_Height=hex:1a,00,00,00
Start Page=http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
CompanyName=Microsoft Corporation
Custom_Key=MICROSO
Wizard_Version=6.0.2600.0000
FullScreen=no
IEWatsonEnabled=dword:00000000
Use_DlgBox_Colors=yes

iexplore.exe /rereg bringt leider nichts...
wenn ich about:blank eingebe, dann gehts nicht, alsi Die Seite kann nicht angezeigt werden bleibt im IE stehen, ABER wenn ich auf den startseite button in der symbolleiste klicke, dann wird auch die leere about:blank seite angezeigt.

SIcode schrieb:

der inhalt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]

Zum Vergrößern anklicken....

Mir war so, als hätte ich nach HKEY_CURRENT_USER gefragt

Bye,
Freudi

sorry

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
NoUpdateCheck=dword:00000001
NoJITSetup=dword:00000001
Disable Script Debugger=yes
Show_ChannelBand=No
Anchor Underline=yes
Cache_Update_Frequency=Once_Per_Session
Display Inline Images=yes
Do404Search=hex:01,00,00,00
Local Page=C:\\WINDOWS\\system32\\blank.htm
Save_Session_History_On_Exit=no
Show_FullURL=no
Show_StatusBar=yes
Show_ToolBar=yes
Show_URLinStatusBar=yes
Show_URLToolBar=yes
Start Page=about:blank
Use_DlgBox_Colors=yes
FullScreen=no
Window_Placement=hex:2c,00,00,00,02,00,00,00,03,00,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,84,00,00,00,84,00,00,00,5c,04,00,00,d6,02,00,\
00
Use FormSuggest=no
StatusBarOther=dword:00000001
IEWatsonDisabled=dword:00000001
ShowedCheckBrowser=Yes
Check_Associations=Yes
ShowGoButton=no
Enable_MyPics_Hoverbar=no
NotifyDownloadComplete=no
Use Search Asst=no
Use Custom Search URL=yes
FormSuggest Passwords=no
FormSuggest PW Ask=yes
Force Offscreen Composition=dword:00000000
Enable Browser Extensions=yes
NoWebJITSetup=dword:00000000
Friendly http errors=yes
FavIntelliMenus=no
NscSingleExpand=dword:00000001
SmoothScroll=dword:00000001
Page_Transitions=dword:00000001
DisableScriptDebuggerIE=yes
Error Dlg Displayed On Every Error=no
AllowWindowReuse=dword:00000001
UseThemes=dword:00000001
Print_Background=no
Expand Alt Text=no
Move System Caret=no
Play_Animations=yes
Enable AutoImageResize=no
Show image placeholders=dword:00000000
Play_Background_Sounds=yes
Display Inline Videos=yes
AddToFavoritesExpanded=dword:00000001
Save Directory=C:\\_temp_01\\
HistoryViewType=hex:08,00,66,63,03,00,00,00,00,00
Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Bar=http://www.google.com/
AutoSearch=dword:00000005

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
iexplore.exe=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN\Settings]
LOCALMACHINE_CD_UNLOCK=dword:00000000

Sieht nicht wirklich auffällig aus. Schaust Du nochmal unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs nach, welchen Inhalt der Wert blank hat? Ja, dieses Mal wirklich unter HKLM ;D

Ein regsvr32 mshtml.dll unter Ausführen im Startmenü hilft wohl auch nicht, nee?

Bye,
Freudi

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
NavigationFailure=res://shdoclc.dll/navcancl.htm
DesktopItemNavigationFailure=res://shdoclc.dll/navcancl.htm
NavigationCanceled=res://shdoclc.dll/navcancl.htm
OfflineInformation=res://shdoclc.dll/offcancl.htm
Home=dword:0000010e
blank=res://mshtml.dll/blank.htm
PostNotCached=res://mshtml.dll/repost.htm
TuneUp=file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css

schaut ja auch normal aus, oder? ich mein ich hab das auch schon alles durch, es kann doch nicht sein. ich vermute mitlerweile dass es was mit winsocks zu tun hat, denn in dem quelltext der fehlerseite steht:
Fehler: Server oder DNS kann nicht gefunden werden

hm, wars wohl doch nicht, habe mit WinsockXPFix alles fixen lassen... auch kein erfolg.

SIcode schrieb:

schaut ja auch normal aus, oder?

Zum Vergrößern anklicken....

Yup. Was ist mit regsvr32 mshtml.dll?

Bye,
Freudi

oh, ich vergaß, klaopt leider auch nicht.
könnte es möglich sein dass eine IE datei abgeändert ist? ich habe zwar nichts gefunden, aber das würde vielleicht erklären, warum es NUR diese fehlerseite gibt, wenn der IE gestartet wird und about:blank als startseite festgelegt ist. ABER wenn man halt auf startseite klickt, wirds schön weiß

SIcode schrieb:

oh, ich vergaß, klaopt leider auch nicht.

Zum Vergrößern anklicken....

Die Registrierung als solche ist aber erfolgereich? Ich geh mal davon aus.

könnte es möglich sein dass eine IE datei abgeändert ist?

Zum Vergrößern anklicken....

Nun ja, die shdoclc.dll hast Du ja ausgeschlossen...

Womöglich ist es doch einfacher, das SP2 erst zu deinstallieren um es anschließend neu zu installieren. Jeweils vor diesen Aktionen möglichst alle Programme beenden, insbesondere Virenscanner, Personal Firewall Saftware (nicht die WindowsXP-Firewall!) und Proxy-Programme aller Art (z.B. WebWasher).

Bye,
Freudi

ja, war erfolgreich.

das sp2 deinstallieren? was soll das bringen? ich mein ich hab ja schon windows einmal drübergebügelt in der rep. funktion. hat nur zeit gekostet.

ausserdem kann ich das sp2 nicht deinstallieren, ich habs auf eine xp cd integriert und von dieser aus installiert.