Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Troj_Startpag.re

Troj_Startpag.re


Plagegeister aller Art und deren Bekämpfung: Troj_Startpag.re

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.09.2005, 07:19   #1
quetzacotl
 
Troj_Startpag.re - Standard

Troj_Startpag.re


Hi,

Ich hab da ein mega Problem. Trend Microscan hat bei mir den oben genannten Schädling erkannt in der eoddv.dll. Das geschah bei einer normal IE Explorer Internetsitzung. Seit dem habe ich einen blauen Hintergrund mit der Meldung "Your system ist infected". Zudem habe ich die Einträge Home Search Assistent, Search Extender, Shopping Wizard und RedMon Redirection Monitor entdeckt. Als Programm hat sich noch der Spysheriff breitgemacht. Habe mit Antivir, Trend Microscan, Adaware, ewido, cleanup und Microsoft Antispyware Beta versucht das Problem zu lösen. Auch im Safe Mode hochfahren, Tools laufen lassen und normal starten lies den Desktop nicht wieder sauber werden.

Kann mir hier vielleicht jemand einen guten Tipp geben? Es folgt mein Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 08:15:58, on 20.09.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\notes\ntmulti.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\TEMP\CLD576.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\DWRCST.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe
C:\Programme\Mouse Driver\mouse_2k.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Dokumente und Einstellungen\beck\Startmenü\Programme\Autostart\peng.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Notes\NLNOTES.EXE
C:\Notes\ntaskldr.EXE
C:\WINNT\System32\cidaemon.exe
C:\WINNT\system32\mshta.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\beck\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = sus:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.16*;172.17*;172.18*;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\Programme\MouseWare\System\em_exec.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Keyboard driver ] C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe
O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\Mouse Driver\mouse_2k.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - Startup: Lotus Notes.lnk = C:\Notes\notes.exe
O4 - Startup: peng.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\OFFICE\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FreePDF Assistant.lnk = C:\Programme\FreePDF_XP\fpassist.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Markiere Texte - file://F:\Apps\DMSW\help1\mark.html
O8 - Extra context menu item: Suche in diesem Kapitel - file://F:\Apps\DMSW\help1\suche.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = oz-bpv.rhf
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = oz-bpv.rhf
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = oz-bpv.rhf
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\appyb.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\notes\ntmulti.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: ProService for 8.3A (ProService8.3A) - Progress Software - G:\PV7\P8.3A\bin\ProSrvc.exe
O23 - Service: ProService for 8.3C (ProService8.3C) - Unknown owner - \\PASRV\DLC\S8.3C\bin\ProSrvc.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

Thanx im Voraus
quetzacotl

Alt 20.09.2005, 07:42   #2
chaosman
 
Troj_Startpag.re - Standard

Troj_Startpag.re


@quetzacotl
mache erst mal das hier
http://www.trojaner-board.de/showthread.php?t=21709

chaosman
__________________

__________________
Alt 20.09.2005, 16:16   #3
quetzacotl
 
Troj_Startpag.re - Standard

Troj_Startpag.re


Hi chaosman,

Das scheint geklappt zu haben, zumindest ist der blöde Screen weg, ich kann wieder die Einstellungen ändern und auch sonst scheint alles normal zu funktionieren.

Hier mal mein aktuelles Hijack Log. Ist da noch ein gefährlicher Eintrag dabei?

Logfile of HijackThis v1.99.1
Scan saved at 17:10:32, on 20.09.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\notes\ntmulti.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\TEMP\DN9C4D.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\DWRCST.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe
C:\Programme\Mouse Driver\mouse_2k.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Dokumente und Einstellungen\beck\Startmenü\Programme\Autostart\peng.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Notes\NLNOTES.EXE
C:\Notes\ntaskldr.EXE
C:\WINNT\System32\cidaemon.exe
C:\Dokumente und Einstellungen\beck\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = sus:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.16*;172.17*;172.18*;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\Programme\MouseWare\System\em_exec.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Keyboard driver ] C:\Programme\Keyboard Driver\Keyboard Driver\ikeymain.exe
O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\Mouse Driver\mouse_2k.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Lotus Notes.lnk = C:\Notes\notes.exe
O4 - Startup: peng.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\OFFICE\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FreePDF Assistant.lnk = C:\Programme\FreePDF_XP\fpassist.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Markiere Texte - file://F:\Apps\DMSW\help1\mark.html
O8 - Extra context menu item: Suche in diesem Kapitel - file://F:\Apps\DMSW\help1\suche.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = oz-bpv.rhf
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = oz-bpv.rhf
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = oz-bpv.rhf
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\notes\ntmulti.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: ProService for 8.3A (ProService8.3A) - Progress Software - G:\PV7\P8.3A\bin\ProSrvc.exe
O23 - Service: ProService for 8.3C (ProService8.3C) - Unknown owner - \\PASRV\DLC\S8.3C\bin\ProSrvc.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

Danke soweit für die Hilfe!
Gruß quetzacotl
__________________
Antwort

Themen zu Troj_Startpag.re
adobe, adobe reader, antispyware, antivir, bho, desktop, einstellungen, explorer, firewall, google, hijack, hijackthis, home, ie explorer, internet explorer, log, monitor, officescan, programm, programme, remote control, schädling, security, security suite, software, starten, system, temp, träge, windows


« securuty2k.net. | Troja.popuper »


Zum Thema Troj_Startpag.re - Hi, Ich hab da ein mega Problem. Trend Microscan hat bei mir den oben genannten Schädling erkannt in der eoddv.dll. Das geschah bei einer normal IE Explorer Internetsitzung. Seit dem - Troj_Startpag.re...
Archiv
Du betrachtest: Troj_Startpag.re auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131