Geheimnisvolle "blank.htm"

[alfbonn]

Bei jedem Neustartvon Windows XP SP2 erhalte ich von TeaTimer die Meldung: Registrierungseintrag geändert.
Kategorie: Browser Page
Änderung: Wert gelöscht
Eintrag: Local page
%systemroot%\system32\blank.htm

In den erlaubten Änderungen unter Einstellungen steht dann folgende Zeile:
HK_L_M\Software\Microsoft\InternetExplorer\Main\LocalPage:%systemroot%\system32\blank.htm

Ich habe diese Zeile dort schon mehrfach gelöscht (Irgendwann müsste der Eintrag ja weg sein), sie entsteht aber immer wieder neu. D. h. für mich: Beim Herunterfahren wird der Wert wieder eingetragen, so dass er beim nächsten Start wieder gelöscht werden muss. :scratch: Denn schließlich habe ich im IE natürlich die Standardstartseite "msn.de" eingestellt und keinesfalls about:blank. Und eine Seite "blank.htm" gibt/gab es bei mir nur in c:\windows\pchealth\helpctr\system\panels. Die hab ich mal sicherheitshalber gelöscht.

Meine Frage ist also: Wer oder was könnte dafür verantwortlich sein, dass der Wert beim Herunterfahren immer wieder eingetragen wird?

 

[raman]

Der Eintrag (%systemroot%\system32\blank.htm)ist eigentlich ein Stadardeintrag. Wenn allerdings deine Startseite immer auf about:blank geaendert wird, ist es nicht normal. Findet Spybot beim Ueberpruefen deines Rechners etwas? Wenn ja, poste bitte ein Spybotlog. Ein Hijackthislog waere auch hilfreich: http://www.cidres-security.de/hijackthis.html

Ist dir sonst etwas besonderes an deinem Rechner aufgefallen? Seit wann tritt dieses Phaenomen denn auf?

 

[alfbonn]

Das ist ja das Sonderbare: Die Startseite von IE wird gar nicht geändert (und kann ja auch nicht, weil der Wert beim Systemstart gelöscht wird).

Auch scheint mit meinem Rechner alles zu stimmen. Er funktioniert einwandfrei, besonders seit ich a²-Antitrojan installiert habe. (Davor muss ich mir trotz Kaspersky irgendeine Malware gefangen haben.)

Aber jedenfalls mal das HiJack-Log (Anführungszeichen von mir):

"Logfile of HijackThis v1.99.1
Scan saved at 15:19:31, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\sokscmnt.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Linksts.exe
C:\Programme\CHIPDRIVE\Smartcard Manager\SCMgr.exe
C:\WINDOWS\system32\sokscmpn.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iolo\System Mechanic 6\SMSystemAnalyzer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\a-squared\a2guard.exe
C:\Programme\Lavasoft\Ad-Aware SE Plus\Ad-Watch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FireTrust\MailWasher Pro\MailWasher.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\INST\Sicherheit\HiJackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -

C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CHIPDRIVESmartcardManager] C:\Programme\CHIPDRIVE\Smartcard

Manager\SCMgr.exe
O4 - HKLM\..\Run: [CHIPDRIVEPinManager] C:\WINDOWS\system32\sokscmpn.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal

Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ad-Aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe" +c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SMSystemAnalyzer] "C:\Programme\iolo\System Mechanic

6\SMSystemAnalyzer.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe

boot
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Plus\Ad-Watch.exe"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} -

C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen -

{9EF56766-E4B2-4D15-A050-F9088B1A6218} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html

(HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy -

{9EF56766-E4B2-4D15-A050-F9088B1A6218} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html

(HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142835

426687
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC7D58B9-95C1-4401-A7EE-C43F2D9CD0DD}: NameServer =

213.168.112.60 194.8.194.60
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - blank
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -

C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus

Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München -

C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: CHIPDRIVE Smartcard Office Kernel (SCM_Smart_Card_Office_Kernel) - SCM

Microsystems - C:\WINDOWS\system32\sokscmnt.exe"

Jedenfalls schon mal Dank für die Hilfe!

 

[raman]

Du solltest ein paar deiner Hintergrundwaechter deaktivieren, die stoeren sich gegenseitig nur. Wenn du mit A2 zufrieden bist, deaktiviere den von Adaware und von Spybot.

Diesen Eintrag solltest du mit Hilfew von Hijackthis "fixen":

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file)
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - blank

 

[alfbonn]

Danke dir für deine Hilfe!

Alf

 

[NoNameNeeded]

Ad Aware's Adwatch verhindert übrigens gekonnt so ziemlich jede Registry Änderung, d.h. wenn du bei Hijack This was löscht kannst du dir sicher sein daß es Adwatch wieder reinschreibt.

Lösung: Adwatch deinstallieren und ein anderes Programm verwenden.