Erst einmal Hallo,

ich lese immer wieder auf dieser Seite, das ich nicht der einzige bin, der sich mit diesem Plagegeist abgeben muss.

Ich kämpfe seit gut vier Wochen gegen Startpage und habe inzwischen ein paar Teilerfolge gehabt.

Wie alle anderen auch habe ich mit HijackThis und mit escan und mit.... und mit... und mit ... (und so weiter) alles ausprobiert.

Ich habe zum BSI geschrieben und das Internet durchforstet. Bisher habe ich angenommen nicht zu den dümsten Usern zu gehören doch der Tag der FORMATIERUNG meiner Festplatte nähert sich, wenn sich nicht noch jemand mit ein paar Ideen meldet.

Zu erst mein aktueller HiJackThis-Log:

Logfile of HijackThis v1.99.0
Scan saved at 23:17:29, on 23.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe
C:\APPLI\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\APPLI\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\APPLI\AVPersonal\AVGUARD.EXE
C:\APPLI\AVPersonal\AVWIN.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe

O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Ich finde da nichts mehr. Vielleicht jemand von Euch?

Weiteres Problem ich habe in den Eigenen Dateien einen Ordner "backups" gefunden, wo dieser Trojaner sich verewigt. (Die Systemwiederherstellung ist deaktiviert). Sobald man den Trojaner wie bei Euch beschrieben löscht, tauchen neue Files in diesem Ordner auf.

Nächstes Problem: Die Datei Explorer.exe versucht jedesmal die IP 239.255.255.250 im Internet zu kontaktieren. (Meldet die Firewall - ich hab's gesperrt). Zum Trotz habe ich die IP mal im Browser eingegeben und siehe da ich lande auf bekannte startseiten des ie, wenn der trojaner sich eingetragen hat. Was sagt der Fachmann dazu? Wie kriege ich das Problem los?

Anbei noch ein Logfile von meinem VirenScanner:
Start des Suchlaufs: Mittwoch, 23. Februar 2005 21:27

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk F: OK
Bootsektor von Laufwerk G: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Harald
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\SoftwareDistribution\EventCache
{6636807F-D146-4F03-BA78-F153F37EBF31}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\SYSTEM32\CONFIG
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temp
Perflib_Perfdata_590.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ZLT0194d.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information


G:\Battlefield 1942
forgottenhope-065-pass.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
G:\downloads
Stress.exe
[FUND!] Enthält Signatur des Scherzprogrammes Joke/Stressreducer
Nach Rückfrage nicht gelöscht!
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Mittwoch, 23. Februar 2005 22:09
Benötigte Zeit: 42:16 min


2089 Verzeichnisse wurden durchsucht
62642 Dateien wurden geprüft
27 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden


Der Virus Startpage, zum hundertsten mal gelöscht! Mich Interessieren die Warnmeldungen, denn dahinter vermute ich noch Einträge von StartPage. Ich habe den Eindruck das diese sich auch vermehren.

Da ich langsam vor Wut und mit meinem Rechner , möchte ich nicht das ich meine Festplatte zu den Engeln schicke .

Viele Grüße

AL-ADIN

PS: Registry-Einträge sind zum löschen da - war nur ein Spass!

@AL-ADIN
mit escan in abgesicherten modus gescannt?
dann poste mal folgendes

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

und
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:

chaosman

Hallo chaosman,

habe die Anweisungen befolgt. (UN??-)Glücklicherweise kein Virus gefunden

Trotzdem nach Infected gesucht - hier die Ergebnisse:

früherer SCAN:
Wed Feb 16 00:27:23 2005 => Scanning File C:\APPLI\AVPersonal\INFECTED\M[1].BIN.VIR

SCAN von heute:
Thu Feb 24 19:58:03 2005 => Scanning Folder: C:\APPLI\AVPersonal\INFECTED\*.*

Thu Feb 24 21:22:11 2005 => ***** Scanning complete. *****

Thu Feb 24 21:22:11 2005 => Total Files Scanned: 77286
Thu Feb 24 21:22:11 2005 => Total Virus(es) Found: 0
Thu Feb 24 21:22:11 2005 => Total Disinfected Files: 0
Thu Feb 24 21:22:11 2005 => Total Files Renamed: 0
Thu Feb 24 21:22:12 2005 => Total Deleted Files: 0
Thu Feb 24 21:22:12 2005 => Total Errors: 12
Thu Feb 24 21:22:12 2005 => Time Elapsed: 01:27:02
Thu Feb 24 21:22:12 2005 => Virus Database Date: 2005/02/24
Thu Feb 24 21:22:12 2005 => Virus Database Count: 119346

Was ist jetzt noch zu tun? Ich habe mit Registry-Cleaner und Registry-Optimizer aufgeräumt und mit Ad-Aware nochmals gescannt und die angezeigten "Fehler" gelöscht. (Alles im abgesicherten Modus!)

Nach dem ich mein System wieder normal hochgefahren habe, ist in meinen EIGENE DATEIEN wieder der Ordner "backup" aufgetaucht, mit einem Eintrag (siehe Doc), obwohl ich den Ordner "backup" entfernt hatte im abgesicherten Modus.

Was bedeuten die Einträge in den HKEY_USERS (sieh Doc)?. Ich habe den Eindruck die vermehren sich auch. Es gibt nur einen USER und der bin ich auf diesem Rechner.

Was hat es mit der Explorer.exe auf sich, die auf die IP239.255.255.250 Kontakt aufnehmen will?

Das sind nun wohl alle meine offenen Punkte - bis jetzt.

Ich jedenfalls schon auf die Antworten gespannt.

Gruß

AL-ADIN

(P.S. Der backup-Ordner ist schon wieder da!!!!!)

Nach dem nun der backup Ordner wieder da ist, hat es nicht lange gedauert und der StartPage hat sich wieder gemeldet.

Langsam hasse ich dieses "Holzpferd in mittelalterlicher Stadt"-Problem.

Wo kann sich das Ding noch verstecken?
Die Systemwiederherstellung habe ich seit Tagen ausgeschaltet.
Den Internet-Temp und den Temp Ordner habe ich auch im abgesicherten Modus gelöscht.
Den Papierkorb auch.

Kann es sein, weil Windows XP im Hintergrund nochmal parallel läuft, das der Trojaner eine Möglichkeit kennt, sich wieder zu kopieren.

Wenn ich den backups-Ordner lösche und sämtliche StartPage.DLL auch mit AntiVir, so habe ich jeden Tag bis ca. 3 bis 4 Stunden Ruhe, bevor der AntiVir-Guard einen neuen StartPage.DLL meldet.

Mir gehen die Ideen aus? - Brauche Inspiration und Hilfe!

Gruß

AL-ADIN