Bitte Dringende Hilfe - Trojan.StartPage

307ad · 23.04.2005, 21:20

Bitte um Hilfe!!!

Mein Norton AntiVirus meldet mir alle 5 Sec. "Hohes Risiko - Norton hat einen Virus auf Ihrem Computer gefunden und ihn enfernt

Objektname C:\\WINNT\bhoass.dll
Virenname: Trojan.StartPage

Ich habe mich schon ein bischen auf euerer tollen Homepage eingelesen jedoch hab ich diesen blöden Trojaner noch immer!!!

Hier mein Logfile - Ich glaub es ist da irgendwas mit dem

O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll (file missing)

Hab schon unter www.sysinfo.org nach dem Nummern und Buchstabencode gesucht und nichts gefunden!!

Ich hoffe es kann mir jemand mit meinem Problem helfen!!!

DANKE im Voraus

Logfile of HijackThis v1.99.1
Scan saved at 21:50:36, on 23.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSec.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\VTTimer.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\PROGRAMME\PrecisionScanLT\hppwrsav.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Beate\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll (file missing)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Control Daemon] wincdr32.exe
O4 - HKLM\..\Run: [hppwrsav] C:\PROGRAMME\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunServices: [Microsoft Control Daemon] wincdr32.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Control Daemon] wincdr32.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{01224AF6-4F96-4C93-9F2C-CB8B9EF81AF4}: NameServer = 213.173.72.40,213.173.72.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{01224AF6-4F96-4C93-9F2C-CB8B9EF81AF4}: NameServer = 213.173.72.40,213.173.72.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{01224AF6-4F96-4C93-9F2C-CB8B9EF81AF4}: NameServer = 213.173.72.40,213.173.72.3
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Haui45 · 23.04.2005, 21:25

Im Log stimmt leider so einiges nicht

Damit wir sichergehen können, dass eine Bereinigung überhaupt noch Sinn macht, führe bitte folgendes aus:
Lade eScan herunter und scanne dein System gemäß dieser Anleitung im abgesicherten Modus (alternativer Downloadlink).
Wichtig: Arbeite die einzelnen Schritte der Anleitung aufmerksam ab. eScan muss ins Verzeichnis c:\bases_x entpackt werden, eScan muss vor dem Scan aktualisiert werden und die Haken müssen so, wie es auf den Bildern zu sehen ist, gesetzt sein.
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei c:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

MfG Haui

307ad · 24.04.2005, 09:40

Hallo Haui!

Danke für die super schnelle Antwort!!!

Hab alles gemacht wie du mir das gesagt hast! Bin jetzt mit dem Scan fertig (nach dreimaligen Anlauf) hab auch die Datei heruntergeladen! Jedoch hab ich keine Datei namens:c:\eScan_neu.txt ???

EScan hat 20 Virus(es) gefunden

Ich habs mit Kopieren versucht - hilft Dir das was???

MfG

File C:\WINNT\system32\TASKMGRU.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\MSIMN32.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.
File C:\WINNT\explorer32dbg.exe infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.
File C:\WINNT\iexplore_dbg.exe infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\TASKMGRU.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\MSIMN32.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.
File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINNT\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\7BEOLMUU\LBAss012345678[1].txt infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\Beate\arun.exe infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\Beate\install.exe infected by "Backdoor.Win32.Robobot.t" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\explorer32.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7BEOLMUU\LBAss012345678[1].txt infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.
File C:\WINNT\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\1.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\2.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\3.hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\spool\drivers\arun.exe infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\spool\drivers\install.exe infected by "Backdoor.Win32.Robobot.t" Virus. Action Taken: No Action Taken.

307ad · 24.04.2005, 10:32

Hallo Haui!

Hab sämtliche Windows Updates gemacht und dann nochmals den Norton drüberlaufen lassen! Der Norton hat dann den Trojan.StartPage - Datei dhoass.dll gefunden und ich konnte ihn auch löschen!!!

Hab den Compter nochmals hochgefahren und siehe da keine Meldung mehr über den Trojan.StartPage??? Ist dieser Virus nun weg???

Lg Beate

The Saint · 24.04.2005, 10:41

Also bei dir hilft nur mehr neuinstallieren nach dieser Anleitung

Begründung:
Backdoor.Win32.Robobot.t
Backdoor.Win32.SdBot.gen

Trojanisches Pferd mit Backdoorfunktion ermöglicht anderen den Zugriff auf den eigenen PC und dessen Fernsteuerung.
Diese verbergen sich in Programmen die man ausführt wie zB. Spielen, wo sich im Hintergrund dann der Trojaner installiert.
Dieser Trojaner verbindet sich nun mit einem Server und ladet sich Programme auf den Rechner und stellt eine Verbindug her zwecks Fernsteuerung.
Mit dieser Backdoorfunktion kann man nun den Rechner fernsteuern, Systemdateien ändern und Attacken gegen andere Rechner (Server) usw. durchführen.
In Zusammenhang mit einem Keylogger kann man Passwörter herausfinden und schweren Schaden den Besitzer zufügen.

Dies nennt man dann Kompromittierung!
Kompromittierung mehr dazu HIER und HIER

Am besten gleich vom netz und neu installieren!!

307ad · 25.04.2005, 11:21

Vielen Dank, dass Ihr mir so schnell Auskunft geben konntet. Ich bin ziemlich geschockt was da auf diesem PC alles im Hintergrund abläuft!!!

Ich werde den PC nach Anleitung von Euch wieder neu aufsetzen.

Ich hätte da jedoch noch eine Frage an Euch:

Welches Virenprogramm würdet ihr mir zusätzlich zu den ganzen Sicherheitseinstellungen (Benutzerkonto, Updates etc...) für diese Plagegeister empfehlen??? Der Norton AntiVirus ist anscheinend dafür nicht geeignet!

Oder kann man sich gar nicht 100% absichern gegen diese Trojaner, Würmer etc..?
Wäre echt nett von Euch wenn ihr mir einen Tipp geben könntet!

Danke!!!

Bitte Dringende Hilfe - Trojan.StartPage

Plagegeister aller Art und deren Bekämpfung: Bitte Dringende Hilfe - Trojan.StartPage