Trojan.StartPage - Bitte um Hilfe

Monschi · 21.02.2005, 17:39

Hallo,
bin froh, dass ich dieses Forum gefunden habe und hoffe, dass mir jemand weiterhelfen kann.

Symantex Antivirus stellte Virus "Trojan.StartPage" , Datei: C://Windows/system32/fnab.dll, fest. Säubern und Isolierung fehlgeschlagen.

Ad-Aware, Spybot und CWShredder scheinen dem Ding auch nicht beizukommen.
Nachstehend das Logfile von HijackThis.

Was muss ich jetzt tun?

Im Voraus schon mal Danke für die Hilfe
Steffi

Logfile of HijackThis v1.97.7
Scan saved at 17:28:54, on 21.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Ulrich Maier\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {F4CC1FF2-15F0-4FB2-B830-D6B16E48A8FA} - C:\WINDOWS\System32\fnab.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Hot_Tarts_mc] C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe /dontdial
O4 - HKLM\..\Run: [PNTZUIWJ] c:\windows\system32\pntzuiwj.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ChkMail] èn‹
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...198.4205787037
O17 - HKLM\System\CCS\Services\Tcpip\..\{42EAC055-5792-4DA3-9A2C-FDBA9AC5D056}: NameServer = 196.200.57.6 196.200.57.5

Lutz · 21.02.2005, 19:07

In dem Log sieht einiges verdächtig aus.
Mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Außerdem lade Dir bitte die aktuelle Version von HijackThis herunter und poste ein neues Log.

Monschi · 22.02.2005, 11:39

Hallo Lutz,
zunächst mal danke für die sehr schnelle Antwort. Nachstehend die beiden Ergebnisse. Da scheint ja wirklich einiges im Argen zu liegen. Bin jetzt schon dankbar, für Hinweise zum weiteren Vorgehen.

Gruss Steffi

Zuerst die Meldungen von Escan (ich habe es allerdings nicht geschafft, nach c:/base zu entpacken, habe den scan auch nicht im abgesicherten Modus durchgeführt und habe im Anschluss an den scan nichts weiter gemacht, also auch keine Dateien gelöscht):

Tue Feb 22 10:13:50 2005 => File C:\WINDOWS\System32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:15:00 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:16:10 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\CFBBU4PH\evthtm[1].exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:16:11 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\CFBBU4PH\fastvideoplayer[1].cab infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:16:25 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\CFBBU4PH\safesearch[1].exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:16:27 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\CFBBU4PH\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:19:13 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\TNBBHDGE\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:19:30 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\U1XMBA14\CA3Y1OPT.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:06 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\00C40000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:06 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04080000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:06 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04D40000.VBN infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:06 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\06BC0000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:40 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:28:32 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\evthtm[1].exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:28:33 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\fastvideoplayer[1].cab infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:28:45 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\safesearch[1].exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:28:46 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:31:05 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNBBHDGE\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:31:19 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1XMBA14\CA3Y1OPT.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:49:24 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP44\A0001991.exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:49:28 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002038.exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:49:28 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002039.exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Feb 22 10:49:29 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002040.exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:58:33 2005 => File C:\Windows\system32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:19:02 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\TNBBHDGE\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 10:19:42 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\U1XMBA14\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 10:30:55 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNBBHDGE\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 10:31:30 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1XMBA14\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 10:49:28 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002037.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Und hier dann noch das log von HijackThis 1.99.1:

Logfile of HijackThis v1.99.1
Scan saved at 11:33:10, on 22.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{42EAC055-5792-4DA3-9A2C-FDBA9AC5D056}: NameServer = 196.200.57.6 196.200.57.5
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

chaosman · 22.02.2005, 14:19

@Monschi
escan sagt dann nicht viel aus, da du dann nicht updaten kannst.
warum entpackst du nicht nach c:\bases?

warum läßt du escan nicht in den abgesicherten modus laufen?
anleitung

Mit Hilfe von Winzip, Winrar oder einem vergleichbaren Packprogramm muss der Inhalt der mwav.exe per Rechtsklick auf die Datei in das Verzeichniss c:\bases entpackt werden. Damit das Aktualisieren funktioniert, muss zwingend dieser Pfad verwendet werden! Nach dem Entpacken ist die Datei kavupd.exe bei einer bestehenden Internetverbindung per Doppelklick auszuführen. In einer DOS-Box laufend werden die neusten Virensignaturen heruntergeladen. So braucht man eScan nicht bei jedem Update komplett herunterladen.

chaosman

Monschi · 22.02.2005, 21:59

Nochmal hallo,

bekam escan zunächst einfach nicht in c:bases entpackt. Mittlerweile habe ich es aber geschafft und nach update ESCAN im abgesicherten Modus durchgeführt. Nachstehend die Ergebnisse. Danach habe ich nochmal HijackThis gemacht. Das Log füge ich ebenfalls noch mal bei. Sonst habe ich nichts gemacht.
Jetzt hoffe ich, dass ihr mir helfen könnt.
Beste Grüsse
Steffi

Tue Feb 22 19:59:09 2005 => File C:\WINDOWS\System32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\00C40000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04080000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04080001.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04D40000.VBN infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\06BC0000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:14:37 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:15:29 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7MKJ7DWH\pussyslot[1].htm infected by "Trojan-Clicker.JS.Linker.h" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:15:59 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\evthtm[1].exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:15:59 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\fastvideoplayer[1].cab infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:16:14 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\safesearch[1].exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:16:16 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:19:01 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNBBHDGE\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:19:17 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1XMBA14\CA3Y1OPT.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:54:27 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP44\A0001991.exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:54:36 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002038.exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:54:36 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002039.exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:54:37 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002040.exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 21:12:20 2005 => File C:\Windows\system32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:18:49 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNBBHDGE\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 20:19:30 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1XMBA14\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 20:54:35 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002037.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Logfile of HijackThis v1.99.1
Scan saved at 21:35:24, on 22.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\freescan\freescan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

Lutz · 22.02.2005, 22:27

Hallo Monschi,

ist das eigentlich ein privater PC oder ein Firmenrechner?
Ich wundere mich etwas über die Version des Virenscanners...

Zitat:

..Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\..

Ich 'unterstelle' jetzt mal, dass es ein privater PC ist, oder Du Admin des Firmenrechners bist. Ansonsten solltest Du nicht selbst hand anlegen...

Kommen wir zuerst zur Auswertung von eScan:

Gehe zunächst bitte in den abgesicherten Modus.

Alle Einträge dieser Art

Zitat:

File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\

wirst Du los, in dem Du den Quarantäne-Ordner von Norton AV leerst.

Leere (nicht löschen!) diesen Ordner:
C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\

Lösche die Temporary Internet Files, entweder so -> http://www.icra.org/_de/icraplus/hel...thecacheie.htm oder mit dem Tool Clearprog. Mit diesem Tool kannst Du auch komfortabel den/die Temp-Ordner leeren...

Diese Funde C:\System Volume Information\_restore wirst Du los, indem Du die Systemwiederherstellung deaktivierst.

Diese Datei musst Du manuell von Hand löschen:

Zitat:

C:\Windows\system32\fastvideoplayer.dll

Nun zum HijackThis-Log:
Bleibe im abgesicherten Modus und fixe mit HijackThis folgende Einträge:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

Boote anschließend im normalen Modus und poste ein neu erstelltes Log von HijackThis.

Feierfox · 23.02.2005, 01:26

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Update dann noch Dein System und den IE.

Zitat:

Symantec\Norton AntiVirus Corporate Edition

Ich gehe mal davon aus, dass dieses nicht von einer Apzz-Seite stammt, das wäre bei einem AV-Programm "tötlich", da dieses "verändert" worden sein kann.

Monschi · 23.02.2005, 21:13

Hallo Lutz und Feierfox,

zuerst mal: es handelt sich um einen privaten PC eines Bekannten. Der Virenscanner ist allerdings Firmensoftware.

Habe die Anweisungen ausgeführt und nach Neustart Hijack-Log erstellt. Danach habe ich noch das SP2 ausgeführt (nach dem update vom IE werde ich noch schauen) und vorsichtshalber danach ebenfalls noch mal Hijack-Log erstellt. Beide Logs siehe unten.
Ich hoffe mal, dass jetzt alles in Ordnung ist.

Nun noch eine Frage: Habe ja in dem Zusammenhang mit diesem Problem hier, einiges an Programmen kennengelernt. Ist es empfehlenswert (nun rede ich von meinem eigenen Laptop) CWShredder, Ad-Aware, Spybot und HijackThis dort zu installieren? Ist es sinnvoll, auch ohne dass Probleme auffallen, das Hijack-Log einfach mal zur Überprüfung zu posten?

Möchte mich schon jetzt herzlich für eure Hilfe bedanken und auch anfragen, ob man sich in irgendeiner Form erkenntlich zeigen kann.

Steffi

1. Log nach Ausführung der Anweisungen

Logfile of HijackThis v1.99.1
Scan saved at 19:54:30, on 23.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\freescan\freescan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\Rar$EX00.715\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

2. Log nach Installation von SP2:

Logfile of HijackThis v1.99.1
Scan saved at 20:58:15, on 23.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\freescan\freescan.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\Rar$EX00.464\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

cronos · 23.02.2005, 21:44

Log 2 sieht sauber aus.
Wichtig ist es zuallererst einmal sein Surfverhalten zu überdenken.
Dazu:
http://www.mathematik.uni-marburg.de...ompromise.html

Natürlich sind Adaware und spybot vernünftige Programme.Sie ersetzen aber nie den eigenen Kopf.Der hat ja auch noch andere Funktionen als nur Haare wachsen zu lassen

Lutz · 23.02.2005, 22:09

Hallo Monschi,

das Dein Log 'sauber' aussieht, hat cronos ja schon geantwortet. Dem schließe ich mich an...

Zitat:

Ist es empfehlenswert (nun rede ich von meinem eigenen Laptop) CWShredder, Ad-Aware, Spybot und HijackThis dort zu installieren?

Ad-Aware und Spybot sind Tools, die grundsätzlich zu empfehlen sind. Du kannst auch bedenkenlos beide installieren. Du solltest nur -aus naheliegenden Gründen- nicht beide gleichzeitig scannen lassen.

Wenn Du -ein sauberes System vorausgesetzt- auf den InternetExplorer in Zukunft verzichtest (außer für Updates bei Microsoft) und bspw. auf Opera, Mozilla oder Firefox als Browser umsteigst, kannst Du Dir CWShredder und HijackThis im Grunde sparen, da diese alternativen Browser nach heutigem Stand nahezu unberührt bleiben von der ganzen Hijacking-Geschichte, es sei denn Du lässt Dich auf 'dubiosen' Seiten bewusst dazu verleiten ein genauso dubioses Plugin zu installieren.

Zitat:

Ist es sinnvoll, auch ohne dass Probleme auffallen, das Hijack-Log einfach mal zur Überprüfung zu posten?

Das kannst Du gerne machen.

Zitat:

...ob man sich in irgendeiner Form erkenntlich zeigen kann.

Wenn Dir unser 'Service' gefallen hat, kannst Du dies gerne im Freundes-/Bekanntenkreis kundtun...

Monschi · 24.02.2005, 00:03

Rehi,

na, dann ein großes DANKE an euch für die Hilfe. Werde eure Seite auf jeden Fall weiterempfehlen.
Und jetzt noch mit der Bitte um Durchsicht das Log meines PC's - in der Hoffnung, dass es sauber ist.

Liebe Grüße aus Bamako/Mali
Steffi

Logfile of HijackThis v1.99.1
Scan saved at 00:01:12, on 24.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
C:\WINDOWS\System32\ezSP_PxEngine.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\PDF-XChange 2.5\pdfSaver.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Griem\LOKALE~1\Temp\Rar$EX00.740\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rhein-zeitung.de/tick/index.html?km&A
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.afribone.net.ml:8080
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: onlineTV - {63CCAACE-9D54-4149-9085-1B3BA48D0FE2} - C:\PROGRA~1\ONLINE~4\OTVTOO~1.DLL
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Navigator\JogServ2.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_PxEngine.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMMOU~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PDF-XChange Capture.lnk = C:\Programme\PDF-XChange 2.5\pdfSaver.exe
O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt3_x.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/230f413dd26e80d...dxIE601_de.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{636F4851-5B7D-4173-BD3C-4ABE543A8A2C}: NameServer = 196.200.57.6 196.200.57.5
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Trojan.StartPage - Bitte um Hilfe

Log-Analyse und Auswertung: Trojan.StartPage - Bitte um Hilfe