Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: StartPage

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.01.2005, 21:51   #1
mikkel
 
StartPage - Standard

StartPage



Hi,
habe ein Problem mit StartPage auf einem meiner rechner (derzeit offline).
Anbei der log.
Bitte Hilfe!!!

p.s.
Spybot, Ad-Aware, e-Scan (im abgesicherten Modus bzw. unter Bart-PE) und Norton AV versagen (Jeweils mit der neusten Definition von heute, 20.01.05,)

Logfile of HijackThis v1.99.0
Scan saved at 21:24:53, on 20.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\explorer.exe
C:\WINNT\explorer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\Navnt\navapw32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D0429523-9063-4229-9B2D-51CDF5E136F0} - C:\WINNT\system32\linloo.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1630ea0d04ee8ee...dxIE601_de.cab
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F6AA122-EC1F-49D6-B7DD-EF5AD1D4D174}: NameServer = 192.168.123.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{A105ED35-B959-4D3E-9EFB-4074C6DD0421}: NameServer = 192.168.123.254
O18 - Filter: text/html - {7E44BC70-0C73-494E-9A78-8C6544C9D86F} - C:\WINNT\system32\linloo.dll
O18 - Filter: text/plain - {7E44BC70-0C73-494E-9A78-8C6544C9D86F} - C:\WINNT\system32\linloo.dll
O21 - SSODL: System - {BC389649-4C44-453E-9851-C42F90970128} - C:\WINNT\system32\system32.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server - Unknown - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Geändert von mikkel (20.01.2005 um 22:01 Uhr)

Alt 20.01.2005, 22:00   #2
chaosman
 
StartPage - Standard

StartPage



@mikkel
lasse diese dateien
C:\WINNT\system32\linloo.dll
C:\WINNT\system32\system32.dll
hier online http://www.kaspersky.com/de/scanforvirus
überprüfen und poste das ergebnis
chaosman
__________________

__________________

Alt 20.01.2005, 22:24   #3
mikkel
 
StartPage - Standard

StartPage



@chaosman

Zu überprüfende Datei: linloo.dll

linloo.dll Infiziert: Trojan.Win32.StartPage.ix


Statistiken:
Bekannte Viren: 115178 Updated: 20-01-2005
Größe der Datei (Kb): 36 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Kommentar von mikkel:
"system32.dll ist ohne Befund !!!"

thx für die schnelle Antwort
mikkel
__________________

Alt 20.01.2005, 22:36   #4
chaosman
 
StartPage - Standard

StartPage



@mikkel
zur info
http://www.sophos.com/virusinfo/anal...startpacn.html
wechsle in den abgesicherten modus http://www.trojaner-board.de/63335-w...s-starten.html
und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
O2 - BHO: (no name) - {D0429523-9063-4229-9B2D-51CDF5E136F0} - C:\WINNT\system32\linloo.dll
wenn du diesen einträge nicht kennst, dann fixen
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1630ea0d04ee8e...RdxIE601_de.cab
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) -
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global...er/PROFILER.CAB
fixen
O18 - Filter: text/html - {7E44BC70-0C73-494E-9A78-8C6544C9D86F} - C:\WINNT\system32\linloo.dll
O18 - Filter: text/plain - {7E44BC70-0C73-494E-9A78-8C6544C9D86F} - C:\WINNT\system32\linloo.dll
O21 - SSODL: System - {BC389649-4C44-453E-9851-C42F90970128} - C:\WINNT\system32\system32.dll
lösche danach manuell
C:\WINNT\system32\system32.dll
C:\WINNT\system32\linloo.dll
neu booten, neues HJT logfile posten
chaosman
__________________
Bonus vir semper tiro

Alt 20.01.2005, 23:45   #5
mikkel
 
StartPage - Standard

StartPage



@chaosman

wie man den protected mode startet weiß ich schon, nur ich mag ihn nicht und arbeite lieber von CD mit Bart-PE. Hat aber nicht geklappt, also doch protected mode.
Fixes ausgeführt und dll's gelöscht, scheint geklappt zu haben da NAV keine fehlermeldung beim start von IE und WE bringt.
Anbei neuer HJT logfile.

THX mikkel

Logfile of HijackThis v1.99.0
Scan saved at 23:35:08, on 20.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\Navnt\navapw32.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F6AA122-EC1F-49D6-B7DD-EF5AD1D4D174}: NameServer = 192.168.123.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{A105ED35-B959-4D3E-9EFB-4074C6DD0421}: NameServer = 192.168.123.254
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server - Unknown - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe


Alt 20.01.2005, 23:51   #6
cronos
 
StartPage - Standard

StartPage



Dein Log sieht sauber aus.
Hier anbei noch ein paar Links:
http://www.mathematik.uni-marburg.de...ompromise.html
http://www.ntsvcfg.de/
__________________
--> StartPage

Alt 21.01.2005, 00:01   #7
mikkel
 
StartPage - Standard

StartPage



@cronos
thx für die bestätigung und die tollen links. Werde sie mir bei nächster gelegenheit intensiv durchlesen. Siehst Du aus dem log eine konkrete gefahr?

@chaosman
uff, vielen Dank für die Hilfe. Jetzt kann ich ruhig offline gehen.

greetz
mikkel

Antwort

Themen zu StartPage
abgesicherten modus, ad-aware, administrator, adobe, antivirus, bho, browser, download, einstellungen, explorer, ftp, hijack, hijackthis, hilfe!!, internet, internet explorer, monitor, nvidia, problem, programme, software, sun java, symantec, system, tcpip, temp, windows, wlan




Ähnliche Themen: StartPage


  1. win32/startpage.oie Trojaner + win32/startpage.oph Trojaner gefunden
    Log-Analyse und Auswertung - 19.02.2013 (22)
  2. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 08.10.2005 (3)
  3. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (3)
  4. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 06.08.2005 (1)
  5. TR\StartPage
    Log-Analyse und Auswertung - 25.02.2005 (8)
  6. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 23.02.2005 (4)
  7. StartPage.qr.dll
    Log-Analyse und Auswertung - 18.02.2005 (3)
  8. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 18.02.2005 (0)
  9. TR\startpage.qr.dll Was tun???
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (1)
  10. TR/StartPage.TJ
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (1)
  11. startpage
    Log-Analyse und Auswertung - 09.02.2005 (4)
  12. TR StartPage.IX
    Log-Analyse und Auswertung - 30.01.2005 (3)
  13. startpage.nk.3
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (11)
  14. TR/StartPage.NK.2 :(
    Log-Analyse und Auswertung - 28.10.2004 (9)
  15. tr/startpage.nk.3
    Log-Analyse und Auswertung - 19.10.2004 (5)
  16. Dldr.startpage Startpage/is
    Log-Analyse und Auswertung - 19.08.2004 (8)
  17. TR/StartPage.IG.1
    Log-Analyse und Auswertung - 23.07.2004 (3)

Zum Thema StartPage - Hi, habe ein Problem mit StartPage auf einem meiner rechner (derzeit offline). Anbei der log. Bitte Hilfe!!! p.s. Spybot, Ad-Aware, e-Scan (im abgesicherten Modus bzw. unter Bart-PE) und Norton AV - StartPage...
Archiv
Du betrachtest: StartPage auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.