Einen wunderschönen Samstag.

Ich hatte vor 2 Stunden kurz (!!!) den InternetExplorer in Benutzung, und seitdem piept mein PC fröhlich vor sich her. Witzigerweise ist es der gleiche Trojaner (TR/StartPage.IG) den ich vor 1_1/2 Jahren schon einmal hatte (damals entnervt formatiert). Ich hoffe es gibt eine etwas klügere Alternative (BITTEBITTEBITTE). Hab schon ein wenig in den Foren gelesen, und hab im abgesicherten Modus (mit ausgeschalteter Systemwiederherstellung) den HijackThis laufen lassen. Das ist das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:52:02, on 05.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HTDP Class - {9E6EC32A-7C19-4409-99E8-FC980BCDAF26} - C:\WINDOWS\htass.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{49538968-7B14-4326-A2A5-05347F71950B}: NameServer = 217.237.151.161,217.5.100.129
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Wenn mir jemand sagen würde (bittquengelfleh) welche Kästchen ich mit Häckchen versehen muss (muss das auch wieder im abgesicherten Modus geschehen?) wäre das unbeschreiblich schön (formatieren bringt mir ZUVIEL Freude)

Im Vorraus (danke für's lesen) tausend Dank

Nicolas

@Nico23

Zitat:

Einen wunderschönen Samstag.

Das Gleiche.

Zitat:

Ich hatte ....den InternetExplorer in Benutzung

Dein Fehler Nr.1 : Mozilla, Firefox, Opera sind sicherere Browser.

Zitat:

Witzigerweise ist es der gleiche Trojaner (TR/StartPage.IG)

Wo kommt diese Sicherheit her?

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Dein Fehler Nr.2 : SP2 fehlt

Zitat:

R3 - Default URLSearchHook is missing

Fixen
Log im Normalmodus erstellen, bei www.hijackthis.de auswerten, Fragen zur Auswertung hier posten.

Sodelle, hab versucht mich an Deine Anleitung zu halten,

hab also das R3 gefixt (im abgesicherten Modus) und dann das Logfile (aus dem normalen Modus) an die Adresse geschickt. Nach der Auswertung zu Folge habe ich dann eine unnötige dll gefixt (im normalen Modus). Hatte aber noch diverse '?' in der Liste. Nach Neustart (er piepte immernoch) war die zuvor gefixt dll (die laut antivir den Trojaner darstellt) wieder da. Folglich habe ich dann die dll im abgesicherten Modus nochmal gefixt. Und dann wieder neugestartet.

Er piept noch...
DLL ist auch wieder da.
Tiefe innere Agressionen gegen meinen PC bauen sich auf (schnaub)

Könnest Du mir nochmal helfen?

BIIIIIIIIIIIIIIIIIIITTE!!!

Hallo,

Zitat:

Zitat von Nico23

Ich habe Probleme mit dem Trojaner TR/StartPage.IG
Habe mich an alle Anweisungen gehalten, die ich bekommen hatte (siehe mein thread von 13:30) und der gute ist immernoch schwer aktiv. Was kann ich tun?
Bitte helf mir, ich habe gerade soviele Prüfungen, dass ich auf den PC ziemlich angewiesen bin.

Zitat:

Er piept noch...

Kannst du dieses piepen genauer definieren?
Wann tritt es auf, beim Systemstart, aktiven Online Sitzung oder eventuell dauerhaft?

Zitat:

DLL ist auch wieder da.

Poste mal den genauen Pfad der *.dll.

Führe folgendes aus und poste auch nochmal ein HJT Log-File aus dem normalen Modus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Ich hatte mich auch weiter durch die Foren gelesen und stieß auf 'nen Beitrag von 00Kojak (letzte Änderung 13:36) bei dem Lutz auf zwei Dateien hinwies:

O4 - HKCU\..\Run: [SPOOLSVU] C:\WINNT\system32\SPOOLSVU.EXE und
O4 - HKCU\..\Run: [ALG32] C:\winnt\system32\ALG32.EXE

Da mein LogFile exakt die gleichen Zeilen enthielt (inklusive der htass.dll) dachte ich in meiner sich annähernden Verzweiflung, dass es ja mal den Versuch wert wäre das gleiche zu tun (sprich die entsprechenden Dateien zu fixen)

Das Ausbleiben des Piepsens (das Geräusch aus dem internen PC-Speaker wenn Antivir aufspringt) war besser als ein Orgasmus. Ich habe Antivir gerade nochmal drübergescheucht, und er findet nix mehr. Ich hoffe mein Problem ist gelöst!!!

Ich habe allerdings meine Systemwiederherstellung noch deaktiviert, sollte ich sie wieder aktivieren?

Nachdem es mir emotional und technologisch jetzt wieder besser geht, will ich ich nun nochmal ein riesen Dankeschön für meine 'Betreuung' aussprechen. Mit Haralds Worten 'Ihr macht hier einen RIESEN Job!!!'

Kein Scheiss. DANKE.

Nicolas

Zitat:

O4 - HKCU\..\Run: [SPOOLSVU] C:\WINNT\system32\SPOOLSVU.EXE und
O4 - HKCU\..\Run: [ALG32] C:\winnt\system32\ALG32.EXE

Ich werde das Folgende im Thread von 00Kojak gleich auch noch posten...
Bitte immer daran denken, dass mit einer HijackThis-Analyse und anschließendem Fixen keine Dateien gelöscht werden können. Ergo, die beiden Dateien SPOOLSVU.EXE und ALG32.EXE befinden sich noch auf Deinem System!

Bitte sende die beiden Dateien an www.malwareupload.com, oder alternativ (gezippt) via Mail an mich badfiles@bul-online.de...
Anschließend lösche diese Dateien manuell. Ggf. im abgesicherten Modus.


Offtopic:

Zitat:

Das Ausbleiben des Piepsens (das Geräusch aus dem internen PC-Speaker wenn Antivir aufspringt) war besser als ein Orgasmus.

Das lass mal lieber nicht Deine Frau,Freundin, what ever hören...

Sodelle, alles erledigt.
Die Systemwiederherstellung kann ich ja jetzt wieder aktivieren, oder?
Meine Freundin trägt's mit Fassung...

Ich wünsch euch allen ein wunderschönes, restliches Wochenende, nochmal Danke für alles.

Nicolas

@Nico23
Die Systemwiederherstellung kann ich ja jetzt wieder aktivieren, oder?
Ja

chaosman