Trojan.Win32.StartPage.tr

neuwerkhof · 07.02.2005, 20:15

Hilfe,
hab das System neu aufgespielt, schon wieder was entdeckt.
Die Startseite bei Firefox ist immer MSN.

escan log:

Mon Feb 07 19:30:30 2005 => File F:\System Volume Information\_restore{55C683F0-1B62-45F9-812C-EF35AD40C063}\RP323\A0057791.exe infected by "Trojan.Win32.StartPage.tr" Virus. Action Taken: No Action Taken.

Wie bekomme ich den wieder los?

Gruß

Cidre · 07.02.2005, 20:23

Hallo,

wie bist du beim Neuaufspielen deines Systems vorgegangen?
So wie es aussieht, hast du nur das OS darüber gebügelt.

Ansonsten
Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren

neuwerkhof · 07.02.2005, 21:10

Also ich hab die Windows-Partition formatiert und alles neu aufgespielt.
Ansonsten alles wie in der Empfehlung durchgeführt, außer die 2 anderen Partitionen, die hab ich gelassen, dort wurde aber mit escan nix gefunden, erst jetzt 1 Tag danach findet escan plötzlich auf einer anderen Partition was. s.h
1.Posting.
Meine Tochter hat icq-Lite benutzt, hat das dmit zu tun?

Also das Problem ist, dass immer MSN als Startseite kommt, egal was ich einstelle.
Ich werd doch nicht das System wieder neu aufspieln müssen, und dalle Partitionen formattieren?
Gruß

Cidre · 07.02.2005, 21:28

Ich gehe mal davon aus, dass deine Systempartition auf C: ist. Der Trojaner befindet sich aber auf F: (das du nicht gelöscht hast!) und ist über die aktivierte Systemwiederherstellung mitgesichert worden. Auf dieser Partition hast du die Systemwiederherstellung deaktiviert, oder?

Zitat:

Meine Tochter hat icq-Lite benutzt, hat das dmit zu tun?

Möglicherweise.
Poste nochmal ein aktuelles Log-File.

Zitat:

Ich werd doch nicht das System wieder neu aufspieln müssen, und dalle Partitionen formattieren?

Darum halte ich es auch nicht für sinnvoll, dass man nur die Systempartition formatiert. Wenn schon neu aufsetzen, dann auch vernünftig.

neuwerkhof · 08.02.2005, 16:42

Hallo,
so, hier nun das aktuelle log-file, sieht alles in Ordnung aus.
Hab aber immer noch das Problem mit der MSN-Startseite.

Gruß

neuwerkhof · 08.02.2005, 16:43

Hier die Datei
sorry

Haui45 · 08.02.2005, 16:45

Ein aktuelles HijackThis-Logfile (mittels copy&paste)

neuwerkhof · 08.02.2005, 16:55

Und das hijack-prot.

Haui45 · 08.02.2005, 16:57

Bitte das Log in den Thread kopieren....

neuwerkhof · 08.02.2005, 17:00

Logfile of HijackThis v1.99.0
Scan saved at 16:53:56, on 08.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Steganos Trace Destructor 6.5\itd.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\LEXWARE\LXOFFICE\bin\Lxoffice.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\hijackthis199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ITD65_ITD] "C:\Programme\Steganos Trace Destructor 6.5\itd.exe" /booting
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2B996EF0-8036-45A8-82BF-A806F4E90ADD} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2B996EF0-8036-45A8-82BF-A806F4E90ADD} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Haui45 · 08.02.2005, 17:07

So wie ich das verstanden habe, ist dein Problem, dass du die Startseite nicht mehr wechseln kannst. Der Auslöser dafür dürfte der folgende Eintrag sein

Zitat:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

-> den O6 Eintrag fixen, dann müsste es wieder funktionieren.

Zitat:

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2B996EF0-8036-45A8-82BF-A806F4E90ADD} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2B996EF0-8036-45A8-82BF-A806F4E90ADD} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

Falls du das nicht kennst/willst, bitte auch fixen und löschen.

edit: Ich lese gerade, dass du die Startseite von Firefox meinst. Der O6_Eintrag gilt aber für den IE. ->Das Problem dürfte nach dem fixen weiterhin bestehen.

neuwerkhof · 08.02.2005, 17:10

Dumme Frage- wie mach ich das?

Haui45 · 08.02.2005, 17:16

fixen? -> mit HijackThis scannen-> Haken setzen-> "fix checked" anklicken.

Beachte aber mein "edit" im anderen Post.

Andere Frage: hast du evtl. mit Spybot Search&Destroy oder Sypwareblaster die Option "Lock homepage from changes" o.ä. aktiviert?

neuwerkhof · 08.02.2005, 17:54

Hab alles gefixt, immer noch MSN als Startseite.
In Spybot ist nur die hosts gesperrt.

neuwerkhof · 09.02.2005, 11:55

Hallo,
hab alles platt gemacht, alle Partitionen, und das System neu aufgespielt und abgesichert.
Nun läuft alles wieder normal.
escan, adware, spybot melden keinerlei Verunreinigungen.
Danke für die Hilfe.
Gruß

07.02.2005, 20:23	#2
Cidre Administrator, a.D.	Trojan.Win32.StartPage.tr Hallo, wie bist du beim Neuaufspielen deines Systems vorgegangen? So wie es aussieht, hast du nur das OS darüber gebügelt. Ansonsten Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren __________________ __________________

Trojan.Win32.StartPage.tr

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.StartPage.tr