Brauche Hilfe zum TR/Startpage

smitty · 10.03.2005, 11:18

Hallo,

mein AntiVir gibt nicht auf, mir die Meldungen vom TR/startpage auf meinen
Bildschirm zu werfen. vor einigen Tagen hatte ich bereits das Problem mit dem
se.dll
Ich habe die Foren durchkämmt und versucht den Trojaner zu bekämpfen.
Aber nun weiß ich nicht weiter.
Seitdem läßt sich auch der Acrobate Reader nicht mehr offen, oder nur zeitweise. Besteht hier ein Zusammenhang?

Füge mal die HijackThis Logfile unten ein. Hoffe, das ist so korrekt.

Bin ja kein Profi. Die Kiste muss eigentlich nur laufen.

Vielen Dank, wer immer mir helfen kann.

Smitty

Logfile of HijackThis v1.99.1
Scan saved at 10:36:03, on 10.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\IBM\CLIENT ACCESS\CWBBS.EXE
C:\PROGRAMME\IBM\CLIENT ACCESS\CWBNPRED.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB02.EXE
C:\PROGRAMME\IBM\CLIENT ACCESS\CWBUITSK.EXE
C:\PROGRAMME\USB FLASH DISK UTILITY\UFD UTILITY\UFDMON.EXE
C:\PROGRAMME\USB FLASH DISK UTILITY\UFD UTILITY\USBTD.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\IBM\CLIENT ACCESS\CWBSVD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 4.2\ABMTSR.EXE
C:\PROGRAMME\PSION\PSIWIN\PSCONSV.EXE
C:\PROGRAMME\PSION\PSIWIN\ELOGERR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\PSION\PSIWIN\PRC32ENG.EXE
C:\PROGRAMME\PSION\PSIWIN\WPRNTSVR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ADOBE\GOLIVE 6.0_DEU\GOLIVE.EXE
S:\SDII\D\D\EXE.W95\HM.EXE
S:\SDII\D\D\EXE.W95\FM.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prodib.al.group-net.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://prodib.al.group-net.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von BMW Group
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.group-net.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.group-net.de;localhost;127.0.0.1;autohaus-guelke.de;<local>
F1 - win.ini: run=hpfsched
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://prodib.al.group-net.de/"); (C:\Programme\Netscape\Users\Florian_Mitbauer\prefs.js)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb02.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSAVER\USSSHREG.EXE /r
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\CwbSvStr.Exe"
O4 - HKLM\..\Run: [Client Access Taskbar] "C:\Programme\IBM\Client Access\cwbuitsk.exe"
O4 - HKLM\..\Run: [Client Access API Daemon] "C:\Programme\IBM\Client Access\cwbappcd.exe"
O4 - HKLM\..\Run: [Client Access Start Incoming RC] ###C:\WINDOWS\command\start.exe /MINIMIZED C:\WINDOWS\cwbrxd.exe
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [UFD Monitor] C:\Programme\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Programme\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Client Access Network Drive] C:\Programme\IBM\Client Access\cwbbs.exe
O4 - HKLM\..\RunServices: [Client Access Network Print] C:\Programme\IBM\Client Access\cwbnpred.exe
O4 - HKLM\..\RunServices: [Client Access Start Incoming RC] ###C:\WINDOWS\command\start.exe /MINIMIZED C:\WINDOWS\cwbrxd.exe
O4 - HKCU\..\Run: [AIM] C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\AIM\aim.exe -cnetwait.odl
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 4.2\ABMTSR.EXE
O4 - Startup: Client Access- Anmeldeservice überprüfen.lnk = C:\Programme\IBM\Client Access\cwbckver.exe
O4 - Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .swf: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin7.dll
O14 - IERESET.INF: START_PAGE_URL=http://prodib.al.group-net.de
O15 - Trusted Zone: *.bmwgroup.com
O15 - Trusted Zone: *.group-net.de
O15 - Trusted Zone: *.ega-net.de
O15 - Trusted Zone: *.bmwgroup.com (HKLM)
O15 - Trusted Zone: *.group-net.de (HKLM)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = guelke.group-net.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.145.81.38,195.145.81.39

Rene-gad · 10.03.2005, 12:38

@smitty

Zitat:

mein AntiVir gibt nicht auf, mir die Meldungen vom TR/startpage auf meinen Bildschirm zu werfen.

Wo meldet AV die Funde? Pfäde?
Ansonsten benutze bitte Board-Suche Startpage

smitty · 10.03.2005, 14:44

Zitat:

Zitat von Rene-gad

@smitty

Wo meldet AV die Funde? Pfäde?
Ansonsten benutze bitte Board-Suche Startpage

Hier einge Funde der letzten Meldungen. Konnten zum Teil gelöscht werden.

05.03.2005 14:18:23: Die Datei "C:\WINDOWS\SYSTEM\MLJG.DLL" ist infiziert mit dem Virus "TR/Startpage.215"

09.03.2005 10:23:21: Die Datei "C:\WINDOWS\SYSTEM\OEDC.DLL" ist infiziert mit dem Virus "TR/Startpage.215"

10.03.2005 10:25:05: Die Datei "C:\WINDOWS\SYSTEM\CPFNEKA.DLL" ist infiziert mit dem Virus "TR/Startpage.215"

10.03.2005 11:33:35: Die Datei "C:\WINDOWS\ANWENDUNGSDATEN\IDENTITIES\{FA086F60-9B0B-11D5-AADA-CFEECBECF941}\MICROSOFT\OUTLOOK EXPRESS\GELSCHTE OBJEKTE.DBX" ist infiziert mit dem Virus "TR/Startpage.215"
10.03.2005 11:34:14: Die Datei konnte nicht gel”scht werden.
10.03.2005 11:34:14: Der Zugriff wird nicht erlaubt.

Brauche Hilfe zum TR/Startpage

Log-Analyse und Auswertung: Brauche Hilfe zum TR/Startpage