habe mir diesen trojaner eigefangen:

"Troj/StartPg-BG alias:Trojan.Win32.StartPage.bg".

habe alles versucht ihn wegzubekommen (hijack this/cwshredder/
norton) , hat aber alles nichts genützt. nach wie vor erscheint beim
browseraufruf die seite "search the web".
wie krieg ich diesen dreck wieder weg???
wer ist so nett und erklärt mir was ich dagegen tun kann.
wenn möglich in einfachen schritten, bin nicht allzu bewandert
mit systemeinstellungen und ähnlichem.
vielen dank im voraus
gerd

p.s. wenn von mir keine antwort auf evtl. postings
von euch kommen sollte, bitte nicht als ignoranz
oder gar undankbarkeit auslegen.
bin erst ab ca. 23:00 uhr am pc.

Moin geebee und Willkommen im Board,

als erstes wäre es für uns ganz hilfreich, wenn DU uns sagen kannst, wer (welches Programm) wo (an welcher Stelle = Dateipfad) Dir den Trojaner angezeigt hat.

Ansonsten stelle doch bitte einmal die mittels HijackThis (hast Du ja nach Deiner Aussage schon installiert) erstellte Log-Datei hier in den Beitrag*1, damit wir uns die Sache mal anschauen können.

*1 Bei HijackThis nach 'Scan' auf 'Save log' klicken und die somit erstellte Datei mit Kopieren & Einfügen hierhin kopieren.

tschööö, DerBilk

Eventuell dieser hier ?
Dort ist alles näher beschrieben. [img]smile.gif[/img]

Ich lege Dir auch einen Browserwechsel nahe!

Empfohlen:
Mozilla
Mozilla Firefox
Opera
K Meleon

Matane
Ryuu

[ 11. März 2004, 20:11: Beitrag editiert von: Ryuu ]

Logfile of HijackThis v1.97.7
Scan saved at 10:15:14, on 12.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\SOINTGR.EXE
C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Kill Window 2.0\Kill Window 2.0.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\KMaestro\Key_g.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\mozilla.org\Firebird\MozillaFirebird.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Dokumente und Einstellungen\geebee\Eigene Dateien\hijackthis\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://list2004.com/sweb/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Kill Window] "C:\Programme\Kill Window 2.0\Kill Window 2.0.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: www.allmusic.com
O15 - Trusted Zone: www.arcor.de
O15 - Trusted Zone: www.home.arcor.de
O15 - Trusted Zone: www.biebesheim.de
O15 - Trusted Zone: www.freenet.de
O15 - Trusted Zone: www.people.freenet.de
O15 - Trusted Zone: www.gmx.de
O15 - Trusted Zone: www.google.de
O15 - Trusted Zone: www.microsoft.de
O15 - Trusted Zone: http://www.reichelt.de
O15 - Trusted Zone: www.swr.de
O15 - Trusted Zone: www.web.de
O15 - Trusted Zone: www.yahoo.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...?37904.6528125
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} (IEAnimBehaviorFactory Class) - http://download.microsoft.com/downlo...-US/msorun.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A753D26-C09E-4BC6-ABC0-A0260DF0FAB6}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}

@ ryuu

browser hab ich schon gewechselt.
bin jetzt nur noch mit opera und
mozilla firebird unterwegs.
outlook habe ich auch durch mozilla
thunderbird ersetzt.

gruß gerd

Moin geebee,

</font><blockquote>Zitat:</font><hr /> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://list2004.com/sweb/ &lt;- da steckt CoolWebSearch hinter!

O1 - Hosts: 213.159.117.235 auto.search.msn.com &lt;- hier wird jede Suchanfrage an search.msn auf 'Search the web' umgeleitet

O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe &lt;- gilt als Adware

O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}</font>[/QUOTE]Diese Einträge solltest Du mit HijackThis 'fix'en.
Also nach einem 'Scan' am Anfang der jeweiligen Zeilen durch klicken in das kleine Quadrat die Zeilen markieren und anschließend auf 'Fix checked' klicken.


</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Kill Window] "C:\Programme\Kill Window 2.0\Kill Window 2.0.exe"</font>[/QUOTE]Das ist mir unbekannt, aber ich kenne natürlich auch nicht alles... Du kannst die Datei mal bei Kaspersky online überprüfen:
http://www.kaspersky.com/de/remoteviruschk.html

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe</font>[/QUOTE]Hattest Du außer Norton auch mal einen Virenscanner von Bitdefender installiert? Es scheint sich hier um einen 'übriggebliebenen Aufruf zu handeln...

Ansonsten sehe ich nichts, was sonst noch auf den Trojaner-Befall hinweisen würde. Deswegen noch einmal meine Frage von gestern:
Wer (welches Programm) zeigt Dir wo (an welcher Stelle = Dateipfad) den Trojaner an?

tschööö, DerBilk

hallo bilk,

bei dem eintrag "kill window" handelt es sich um einen pop up killer. der ist sauber.
daß es sich um einen trojaner handelt ist nur eine vermutung von mir, da ich schon mal (vor ca. 3 wochen)mit "hijack this" gescannt habe. und nachdem
immer noch der browser umgeleitet wurde habe ich mit
ad aware, cw shredder und bitdefender versucht den
dreck wegzukriegen.
bestimmt war das alles falsch, was ich da gemacht habe.
ich weiß wirklich nicht, was ich noch machen soll.
[img]graemlins/heulen.gif[/img]
werd jetzt erst mal,wie von dir vorgeschlagen,
die einträge aus dem logfile mit hijack fixen.
meld mich dann wieder.

danke erstmal

gerd

@ bilk

juhuuuuu,
es hat geklappt.
seite wird nicht mehr umgeleitet.
werde aber trotzdem nur noch mit firebird und opera
unterwegs sein. ist mir sicherer und mittlerweile hab ich mich auch drangewöhnt,

vielen herzlichen dank
für deine hilfe

gerd

Hallo Gerd,

freut mich zu lesen, dass Du Dein Problem in den Griff bekommen hast! [img]graemlins/daumenhoch.gif[/img]

In diesem Fall war offensichtlich der HOST-Eintrag der Hauptschuldige. Das Fixen der anderen beiden Einträge war aber trotzdem richtig!!

Nur noch als ergänzende Info:
Firebird heißt jetzt (ab der Version 0.8) Firefox. Das hatte namensrechtliche Gründe. Das Prdukt ist das Gleiche (abgesehen von der Weiterentwicklung natürlich...).
Und wie Du gesehen hast, tut ein Umstieg auch gar nicht weh. [img]graemlins/lach.gif[/img]

Gruß,
Lutz