Servus,

Ich hab ein Problem mit meiner Startseite die eigendlich leer sein sollte aber ich hab immer so ne dämliche Suchseite (s. Bild)



Ich hab HijackThis durchlaufen lassen und die betroffenen Keys gefixt aber die stehen nach kurzer Zeit schon wieder in der Registry. Hab mal ne Log
erstellt.

Hijackthis.log

Hab folgendes gefixt aber wie gesagt stehen die Einträge nach kurzer Zeit schon wieder drin:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
O2 - BHO: (no name) - {27BD8B28-7ED0-4879-B68D-97510D4A15CC} - C:\WINDOWS\System32\mgnilef.dll

Hab außerdem noch CWS Shredder und Spybot ausprobiert, hat aber leider nix genützt. Die Suchseite kommt immer wieder. Wenn ich Ad-aware (Ad-watch) laufen habe bekomm ich ständig eine Nachricht das die Registry modifizert wurde aber wenn ich auf "Blockieren" klicke nützt das nichts. Die Startseite wird trotzdem modifiert.

Mein Virenschutz (AntiVir) ist auf dem neuesten Stand aber er findet keinen Trojaner. Könnt ihr mir da irgendwie helfen diesen Mist wegzubekommen?

Hallo Sebastian und willkommen im Board,

zur besseren Übersicht (für uns Helfende) poste ich Deine Log-Datei mal direkt hierein:

</font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7
Scan saved at 15:08:57, on 14.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Dokumente und Einstellungen\Sebastian Richter\Eigene Dateien\hijackthis1977\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\MYIE2\MyIE.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {27BD8B28-7ED0-4879-B68D-97510D4A15CC} - C:\WINDOWS\System32\mgnilef.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - h**p://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38044.4679050926
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1007_1034_pack_XP.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF</font>[/QUOTE]Analyse folgt...
In der Zwischenzeit kannst Du mit dieser Hilfe http://www.trojaner-board.de/51130-a...ijackthis.html selber suchen, welche Einträge suspekt sind (Neben den R-Einträgen insbesondere O2, 04 und O16).

Gruß,
Lutz

O4 - HKLM\..\Run: [windows auto update] msblast.exe Der Blaster-Wurm(?) mach mal einen Online Virusscan
http://de.bitdefender.com/scan/licence.php
http://de.trendmicro-europe.com/ente...secall_pre.php
http://www.ravantivirus.com/scan/indexie.php

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll is auch nich okinal

//Edit Vergiß folgende kursive Zeilen
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install nwiz.exe ist eigentlich ein Nvidia-Programm, aber bin mir garnicht sicher ob es in dieser konstellation okay ist (mit dem /install). Suche die datei, Poste den Pfad und schau dir die Eigenschaften an (Klick mit rechter Maustaste) Hersteller, Version etc...
//Ist so okay auch mit dem /install, habe es dagelassen damit - wenn schon gelesen - Du nicht irritiert wirst!

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1007_1034_pack_XP.cab

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - h**p://install.serviceurl.de/StarInstall.ocx und diese Zeile natürlich! (Die Lutz leider nicht komplett reinkopiert hatte)

MyIE soll übrigens auch angeblich Spyware enthalten, war allerdings kein taufrischer Link der dies behauptete.

[ 14. April 2004, 17:38: Beitrag editiert von: Shadow ]

Ja, msblast.exe is noch drauf aber ich hab damals das Sicherheitsupdate draufgemacht und seid dem hat der Wurm nichts mehr gemacht. Mein Virenscanner spuckt da auch nichts mehr aus.

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll =&gt; War ein Trojan der sich irgendwie mal eingeschlichen hat. Hab nochmal mit AntiVir gescannt und der Trojaner wurde gelöscht. Für die Startseite war er allerdings nicht verantwortlich, die kommt immernoch. Weitere Viren wurden nicht gefunden.

Gut, die Einträge die du gepostet hast hau ich noch raus, aber die Suchseite hat mit sicherheit was mit den Einträgen zu tun die ich oben gepostet habe oder? Warum kommen die wieder? Mein AntiVir findet keinen Trojaner oder sowas.

Also ich nehm schon ne Weile MYIE2. Hab noch keine richtige Alternative gefunden. Der normale IE hat einige schwachstellen was die Übersicht und die Benutzerfreundlichkeit angeht. Mozilla, Firebird/fox, Opera und Netscape spinnen bei etlichen Seiten ziemlich rum. Die meisten Seite sind nun einmal für IE optimiert, da is ein Plugin nun einmal das idealste.

Aber zurück zum Thema was soll ich wegen der Startseite unternehmen...Spybot,Ad-aware,CWShredder,Hijack hab ich alle schon durch

[ 14. April 2004, 17:51: Beitrag editiert von: Sebastian84 ]

Ich denk ich habs. Bitdefender hat folgendes ausgespuckt. Allerdings kann er die nicht deinfizieren.

Memory unable to check
C:\WINDOWS\SYSTEM32\ini.dll infected: Trojan.StartPage.FO
C:\WINDOWS\SYSTEM32\ini.dll unable to disinfect
C:\WINDOWS\SYSTEM32\ifmd.dll infected: Trojan.StartPage.FO
C:\WINDOWS\SYSTEM32\ifmd.dll unable to disinfect

Wie bekomm ich den jetzt runter? AntiVir findet den jedenfalls nicht und TREND MICRO Anti Virus och nicht.

[ 14. April 2004, 18:26: Beitrag editiert von: Sebastian84 ]

Versuchs mal im abgesicherten Modus.
Beide Dateien sind aber keine original Windows-dateien, es kann also sein, dass sie selbst das Virus sind, muß aber nicht.

So, jetzt meckert Bitdefender nicht mehr rum aber die Startseite kommt trotzdem immer wieder von neuem. So ein hartnäckiger Mist.

So ich hab jetzt einfach die mgnilef.dll in einen anderen ordner verschoben. Er schreibt
die Einträge zwar noch immer in die Registry aber der Pfad stimmt nichtmehr und die Startseite ist wieder leer (hoffentlich bleibt das so). Die Datei gehört scheinbar nicht zur OS und ist nicht weiter wichtig, allerdings muss das mit dem verschieben reichen. Löschen lässt sich die Datei nicht (wäre mir vielleicht sowieso etwas zu riskant) und ein Virus wird in der Datei och net gefunden.

moin,

</font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {27BD8B28-7ED0-4879-B68D-97510D4A15CC} - C:\WINDOWS\System32\mgnilef.dll </font>[/QUOTE]den bitte auch fixen, via hijack.

bitte auch die angegebenen .dll auf deinem system suchen und erstx in den papierkorb verschieben. sollten keine weiteren probleme die tage auftauchen, dann kannst du diesen löschen.

--- edit ---

ach du hast die datei schon selbst gefunden. wenn keine probleme auftauchen, d.h. dein system keine fehlenden dateien anmeckert, dann solltest du diese .dll von deinem system hauen.

Habe das gleiche Problem. Mein AntiVir zeigt mir an,das er den Trojaner Win32.StartPage.fw gefunden hat. Kann aber diesen nicht desinfizieren o. in die Quarantäne verschieben.

Hallo Dortmunder und willkommen im Board,

wo (genauer Datei-Pfad!) wird der Trojaner gefunden??

Gruß,
Lutz

Hallo Dortmunder: Bitte such ein bisserl hier im Forum.
Dein Problem oder sehr ähnlich gelagerte sind in den letzten Stunden, Tagen , Wochen ständig hier abgehandelt worden. Lese Dich ein wenig hier ein, vielleicht hilft Dir dies schon, wenn nicht dann kannst ja noch mal Fragen, aber dann möchte ich etwas ausführlicher Angaben von Dir. Aber erst das Board + Suchfunktion benutzen! [img]graemlins/daumenhoch.gif[/img]

Dortmunder wird jetzt &gt;hier&lt; weiter behandelt

[ 16. April 2004, 13:33: Beitrag editiert von: Shadow ]

So jetzt hab ich die Startseite wieder diesmal kommts aus ner bkbbe.dll. Die gehört nicht zur OS und auch zu keinem Programm. Wurde gestern angelegt und hat weder beschreibung noch firma im Infofenster. Dann muss ich diesen Dreck wohl wieder verschieben. Löschen lässt dich dieser Mist ja nicht. Das muss man doch auf entgültig wegbekommen!?

PS: Das fixen mit Hijack nützt ja nix weil die Einträge ja immer wieder kommen. Nur fehlt dann die Datei in der die sp.html steht. Kann ich die DLL irgendwie editieren?

Hallo Sebastian,

löschen der dll wird Dir wenig nutzen, da die bei jedem Start offensichtlich anders heißt.

Versuch mal folgendes:
Starte deinen Rechner im abgesicherten Modus (siehe hierzu : http://www.trojaner-board.de/63335-w...s-starten.html )

Lass dann mal den CWShredder (Version 1.56.2) über deinen Rechner laufen und fixe die 'dll-Einträge' ebenfalls im abgesicherten Modus.

Danach stelle bitte eine aktuelle Log-Datei hier herein.

Das Wichtigste ist aber:
Alle 'wichtigen Updates' von Microsoft installieren (und zwar regelmäßig) und vielleicht mal über einen alternativen (und zumindest sichereren) Browser und nicht nur einen Aufsatz für den IE nachdenken!?!

Gruß,
Lutz

hmm also wie gesagt der CWShredder hilft hierbei recht wenig und ich glaub kaum das das im Abgesicherten anders ist. Aber ich werds nochmal probieren.

Zum Browser gibts eigendlich keine richtige Alternative:

- Netscape, Opera, Mozilla und was weiß ich nicht alles taugen nichts. Entweder die sind absolute Bugy oder es gibt Probleme mit der Darstellung mancher Webseiten. Das seh ich ja schon bei meinem Browsergame SpAss. Er einzige Browser der da nicht rumspinnt ist der IE. Die meisten Seiten sind nun einmal für IE optimiert. Ich hab se ja auch alle durch und ich war mit keinem zufrieden.

Das Auto Update lass ich von zeit zu zeit auch immer mal durchlaufen und mein AntiVirus (AntiVir) hat mich bis jetzt auch nicht im Stich gelassen. Allerdings bin ich mir dem nicht mehr so sicher da mit sicherheit irgendwo ein Trojaner sitzt den aber einfach kein Virenschutz findet.

[ 17. April 2004, 20:59: Beitrag editiert von: Sebastian84 ]