Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojan.StartPage - Bitte um Hilfe

Trojan.StartPage - Bitte um Hilfe


Log-Analyse und Auswertung: Trojan.StartPage - Bitte um Hilfe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.02.2005, 17:39   #1
Monschi
 
Trojan.StartPage - Bitte um Hilfe - Standard

Trojan.StartPage - Bitte um Hilfe


Hallo,
bin froh, dass ich dieses Forum gefunden habe und hoffe, dass mir jemand weiterhelfen kann.

Symantex Antivirus stellte Virus "Trojan.StartPage" , Datei: C://Windows/system32/fnab.dll, fest. Säubern und Isolierung fehlgeschlagen.

Ad-Aware, Spybot und CWShredder scheinen dem Ding auch nicht beizukommen.
Nachstehend das Logfile von HijackThis.

Was muss ich jetzt tun?

Im Voraus schon mal Danke für die Hilfe
Steffi


Logfile of HijackThis v1.97.7
Scan saved at 17:28:54, on 21.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Ulrich Maier\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {F4CC1FF2-15F0-4FB2-B830-D6B16E48A8FA} - C:\WINDOWS\System32\fnab.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Hot_Tarts_mc] C:\Program Files\Video1\Dialers\Hot_Tarts_mc\Hot_Tarts_mc.exe /dontdial
O4 - HKLM\..\Run: [PNTZUIWJ] c:\windows\system32\pntzuiwj.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ChkMail] èn‹
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...198.4205787037
O17 - HKLM\System\CCS\Services\Tcpip\..\{42EAC055-5792-4DA3-9A2C-FDBA9AC5D056}: NameServer = 196.200.57.6 196.200.57.5

Alt 21.02.2005, 19:07   #2
Lutz
 
Trojan.StartPage - Bitte um Hilfe - Standard

Trojan.StartPage - Bitte um Hilfe


In dem Log sieht einiges verdächtig aus.
Mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Außerdem lade Dir bitte die aktuelle Version von HijackThis herunter und poste ein neues Log.
__________________

__________________
Alt 22.02.2005, 11:39   #3
Monschi
 
Trojan.StartPage - Bitte um Hilfe - Standard

Trojan.StartPage - Bitte um Hilfe


Hallo Lutz,
zunächst mal danke für die sehr schnelle Antwort. Nachstehend die beiden Ergebnisse. Da scheint ja wirklich einiges im Argen zu liegen. Bin jetzt schon dankbar, für Hinweise zum weiteren Vorgehen.

Gruss Steffi

Zuerst die Meldungen von Escan (ich habe es allerdings nicht geschafft, nach c:/base zu entpacken, habe den scan auch nicht im abgesicherten Modus durchgeführt und habe im Anschluss an den scan nichts weiter gemacht, also auch keine Dateien gelöscht):

Tue Feb 22 10:13:50 2005 => File C:\WINDOWS\System32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:15:00 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:16:10 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\CFBBU4PH\evthtm[1].exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:16:11 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\CFBBU4PH\fastvideoplayer[1].cab infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:16:25 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\CFBBU4PH\safesearch[1].exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:16:27 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\CFBBU4PH\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:19:13 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\TNBBHDGE\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:19:30 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\U1XMBA14\CA3Y1OPT.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:06 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\00C40000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:06 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04080000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:06 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04D40000.VBN infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:06 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\06BC0000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:27:40 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:28:32 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\evthtm[1].exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:28:33 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\fastvideoplayer[1].cab infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:28:45 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\safesearch[1].exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:28:46 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:31:05 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNBBHDGE\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:31:19 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1XMBA14\CA3Y1OPT.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:49:24 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP44\A0001991.exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:49:28 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002038.exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:49:28 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002039.exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Feb 22 10:49:29 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002040.exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:58:33 2005 => File C:\Windows\system32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 10:19:02 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\TNBBHDGE\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 10:19:42 2005 => File C:\DOKUME~1\ULRICH~1\LOKALE~1\TEMPOR~1\Content.IE5\U1XMBA14\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 10:30:55 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNBBHDGE\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 10:31:30 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1XMBA14\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 10:49:28 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002037.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Und hier dann noch das log von HijackThis 1.99.1:

Logfile of HijackThis v1.99.1
Scan saved at 11:33:10, on 22.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{42EAC055-5792-4DA3-9A2C-FDBA9AC5D056}: NameServer = 196.200.57.6 196.200.57.5
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
__________________
Alt 22.02.2005, 14:19   #4
chaosman
 
Trojan.StartPage - Bitte um Hilfe - Standard

Trojan.StartPage - Bitte um Hilfe


@Monschi
escan sagt dann nicht viel aus, da du dann nicht updaten kannst.
warum entpackst du nicht nach c:\bases?

warum läßt du escan nicht in den abgesicherten modus laufen?
anleitung

Mit Hilfe von Winzip, Winrar oder einem vergleichbaren Packprogramm muss der Inhalt der mwav.exe per Rechtsklick auf die Datei in das Verzeichniss c:\bases entpackt werden. Damit das Aktualisieren funktioniert, muss zwingend dieser Pfad verwendet werden! Nach dem Entpacken ist die Datei kavupd.exe bei einer bestehenden Internetverbindung per Doppelklick auszuführen. In einer DOS-Box laufend werden die neusten Virensignaturen heruntergeladen. So braucht man eScan nicht bei jedem Update komplett herunterladen.

chaosman
__________________
Bonus vir semper tiro

Alt 22.02.2005, 21:59   #5
Monschi
 
Trojan.StartPage - Bitte um Hilfe - Standard

Trojan.StartPage - Bitte um Hilfe


Nochmal hallo,

bekam escan zunächst einfach nicht in c:bases entpackt. Mittlerweile habe ich es aber geschafft und nach update ESCAN im abgesicherten Modus durchgeführt. Nachstehend die Ergebnisse. Danach habe ich nochmal HijackThis gemacht. Das Log füge ich ebenfalls noch mal bei. Sonst habe ich nichts gemacht.
Jetzt hoffe ich, dass ihr mir helfen könnt.
Beste Grüsse
Steffi


Tue Feb 22 19:59:09 2005 => File C:\WINDOWS\System32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\00C40000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04080000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04080001.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04D40000.VBN infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:13:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\06BC0000.VBN infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:14:37 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temp\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:15:29 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7MKJ7DWH\pussyslot[1].htm infected by "Trojan-Clicker.JS.Linker.h" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:15:59 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\evthtm[1].exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:15:59 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\fastvideoplayer[1].cab infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:16:14 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\safesearch[1].exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:16:16 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFBBU4PH\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:19:01 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNBBHDGE\sp2ctr[1].exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:19:17 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1XMBA14\CA3Y1OPT.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:54:27 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP44\A0001991.exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:54:36 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002038.exe infected by "Trojan-Downloader.Win32.Dluca.ai" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:54:36 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002039.exe infected by "Trojan-Downloader.Win32.Agent.ej" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:54:37 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002040.exe infected by "Trojan-Downloader.Win32.Dluca.gen" Virus. Action Taken: No Action Taken.

Tue Feb 22 21:12:20 2005 => File C:\Windows\system32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

Tue Feb 22 20:18:49 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNBBHDGE\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 20:19:30 2005 => File C:\Dokumente und Einstellungen\Ulrich Maier\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1XMBA14\hot_tarts_mc[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Tue Feb 22 20:54:35 2005 => File C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F}\RP45\A0002037.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.


Logfile of HijackThis v1.99.1
Scan saved at 21:35:24, on 22.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\freescan\freescan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe


Alt 22.02.2005, 22:27   #6
Lutz
 
Trojan.StartPage - Bitte um Hilfe - Standard

Trojan.StartPage - Bitte um Hilfe


Hallo Monschi,

ist das eigentlich ein privater PC oder ein Firmenrechner?
Ich wundere mich etwas über die Version des Virenscanners...
Zitat:
..Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\..
Ich 'unterstelle' jetzt mal, dass es ein privater PC ist, oder Du Admin des Firmenrechners bist. Ansonsten solltest Du nicht selbst hand anlegen...

Kommen wir zuerst zur Auswertung von eScan:

Gehe zunächst bitte in den abgesicherten Modus.

Alle Einträge dieser Art
Zitat:
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\
wirst Du los, in dem Du den Quarantäne-Ordner von Norton AV leerst.

Leere (nicht löschen!) diesen Ordner:
C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\

Lösche die Temporary Internet Files, entweder so -> http://www.icra.org/_de/icraplus/hel...thecacheie.htm oder mit dem Tool Clearprog. Mit diesem Tool kannst Du auch komfortabel den/die Temp-Ordner leeren...

Diese Funde C:\System Volume Information\_restore wirst Du los, indem Du die Systemwiederherstellung deaktivierst.

Diese Datei musst Du manuell von Hand löschen:
Zitat:
C:\Windows\system32\fastvideoplayer.dll

Nun zum HijackThis-Log:
Bleibe im abgesicherten Modus und fixe mit HijackThis folgende Einträge:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
Boote anschließend im normalen Modus und poste ein neu erstelltes Log von HijackThis.
__________________
--> Trojan.StartPage - Bitte um Hilfe

Antwort

Themen zu Trojan.StartPage - Bitte um Hilfe
antivirus, bho, bitte um hilfe, bla, danke, datei, dateien, desktop, einstellungen, explorer, forum, hijack, ics, internet, internet explorer, launch, logfile, messenger, microsoft, programme, security, software, spybot, spyware, symantec, temp, trojan.startpage, windows xp


« HILFE!!! An alle Experten | Bitte mal anschauen »


Ähnliche Themen: Trojan.StartPage - Bitte um Hilfe


  1. habe Mind. 2 Trojaner Trojan.StartPage.bfa + Trojan.Win32.Jaludle!
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (1)
  2. Hilfe BITTE (TR/StartPage)
    Log-Analyse und Auswertung - 07.11.2005 (2)
  3. Hilfe, wer kann mir helfen (Trojan.StartPage)
    Log-Analyse und Auswertung - 18.09.2005 (1)
  4. Bitte um schnelle Hilfe (Trojan.StartPage)
    Log-Analyse und Auswertung - 18.09.2005 (1)
  5. Bitte Dringende Hilfe - Trojan.StartPage
    Plagegeister aller Art und deren Bekämpfung - 25.04.2005 (5)
  6. Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...
    Log-Analyse und Auswertung - 13.04.2005 (21)
  7. Trojan Win32.Startpage.gn, gr, ix,ti uh, HILFE
    Plagegeister aller Art und deren Bekämpfung - 09.03.2005 (3)
  8. Trojan.Startpage. HILFE bin totaler Laie!!!
    Plagegeister aller Art und deren Bekämpfung - 28.02.2005 (1)
  9. "Trojan.Win32.StartPage.qr" HILFE!!
    Plagegeister aller Art und deren Bekämpfung - 27.02.2005 (36)
  10. schnelle HILFE !? Trojan.Win32.StartPage.uz
    Log-Analyse und Auswertung - 27.02.2005 (2)
  11. schnelle HILFE !? Trojan.Win32.StartPage.uz
    Plagegeister aller Art und deren Bekämpfung - 27.02.2005 (3)
  12. Virus Arlet : Trojan.StartPage !Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (13)
  13. Brauche Hilfe, habe Trojan.StartPage
    Log-Analyse und Auswertung - 05.02.2005 (4)
  14. Trojaner Startpage bitte um Hilfe
    Log-Analyse und Auswertung - 03.02.2005 (7)
  15. Bitte dringend um Hilfe - Startpage/Trojaner
    Log-Analyse und Auswertung - 28.01.2005 (2)
  16. Trojan.win32.startpage.qh Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 10.01.2005 (3)
  17. Bitte um Hilfe/ie Startpage
    Log-Analyse und Auswertung - 06.12.2004 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan.StartPage - Bitte um Hilfe - Hallo, bin froh, dass ich dieses Forum gefunden habe und hoffe, dass mir jemand weiterhelfen kann. Symantex Antivirus stellte Virus "Trojan.StartPage" , Datei: C://Windows/system32/fnab.dll, fest. Säubern und Isolierung fehlgeschlagen. Ad-Aware, - Trojan.StartPage - Bitte um Hilfe...
Archiv
Du betrachtest: Trojan.StartPage - Bitte um Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131