Habe soeben erkannt, dass mein PC infiziert ist. Er meldet: trojan.downloader.small.ar und trojan.startpage.ah!

Was mach ich nu???? Ich habe 00000 ahnung!
Liebe Grüße
Leni

hallo leni - wie, was, wo?

wie hast du es erkannt? wer/was hat das gemeldet? welches betriebssystem hast du? womit hast du deinen pc gescannt? bitte bisschen mehr posten.

hi leni
Willkommen an Board
</font><blockquote>Zitat:</font><hr />
Habe soeben erkannt, dass mein PC infiziert ist.
</font>[/QUOTE]Wie denn? Bist du ein Antivirus oder Hellseher?
</font><blockquote>Zitat:</font><hr />
Er meldet..
</font>[/QUOTE]Wer meldet?
</font><blockquote>Zitat:</font><hr />
trojan.downloader.small.ar und trojan.startpage.ah!
</font>[/QUOTE]...Wo ist das Ganze?
</font><blockquote>Zitat:</font><hr />
Was mach ich nu????
</font>[/QUOTE]Du postest ganz ordentlich und ohne Hecktick:
1. Welches Betriebssystem hast du?
2. Welches Antivirus-Programm (Version) hat die Meldungen gebracht?
3. Ort (Pfadangeben), wo diese Datei gefunden wurden. Ausschnitt aus dem Scanprotokoll hier posten: nur bitte ein relevantes Teil, nicht das Protokoll in voller Länge!!!

1. Windows 98
2. Habe BitDefender Standardedition v7.2 aus dem Netz geladen und scannen lassen
3.

==== log started at Thu Apr 01 09:55:36 2004


From:["esprit e*club" &lt;eclubnews@esprit-club.com&gt;] To:["birgit chulek" &lt;leni99@berg.net&gt;] Subj:[esprit newsletter what's new? 'sandrillos in frühlingsfarben!'] is clean
c:\programme\softwin\bitdefender standard edition\infected\x.exe infected: Trojan.Downloader.Small.AR
c:\programme\softwin\bitdefender standard edition\infected\x.exe infected: Trojan.Downloader.Small.AR
c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR
c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR


==== log ended at Thu Apr 01 13:27:46 2004


==== log started at Thu Apr 01 13:31:26 2004


c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR
c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR
c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR
c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR


==== log ended at Thu Apr 01 14:00:16 2004


Sorry, ich bin echt eine Anfängerin und mache das zum ersten Mal. ich bitte um ein wenig Geduld mit mir! Danke!

Ciao Leni

Lösch mal den Inhalt des Papierkorbs.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

@leni
</font><blockquote>Zitat:</font><hr />
1. Windows 98
2. ...BitDefender Standardedition v7.2
3. ...c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR
c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR
c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR
c:\recycled\nprotect\00016571.exe infected: Trojan.Downloader.Small.AR
....
Sorry, ich bin echt eine Anfängerin und mache das zum ersten Mal.
</font>[/QUOTE]...aber dieser Posting sieht schon musterhaft aus! [img]graemlins/daumenhoch.gif[/img]

Hallo!

Sorry, den Papierkorb habe ich doch mehrmals gelöscht und trotzdem scheint der Rechenr zu spinnen! Andauernd möchte er online gehen und versucht sich selber einzuwählen. Was kann ich denn noch machen?

HILFE!!!

Poste mal bitte einen HijackThis-Log.

HijackThis kannst Du hier runterladen.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Habe downgeloaded. Wie kann ich es jetzt starten??? Was heißt externer Viewer? Was ist das für ein programm?

Du startest das Programm einfach mit einem Doppelklick auf 'HijackThis.exe'.
Dann klickst Du auf 'Scan', anschließend auf 'Save Log'.
Die abgespeicherte Log-Datei rufst Du dann mit dem Editor auf (oder mach auf die Log-Datei einen Doppelklick!) und kopierst den Inhalt hier ins Forum.

HiJackthis listet laufende Programme, Starteinträge und Browsererweiterungen auf. Wenn etwas nicht so läuft am PC wie es soll kann man es meistens mit HJT herausbekommen.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Hi Yopie!
Kannst Du hier was erkennen? Was mir jetzt noch einfiel: Wenn ich den Internetexplotrer starte, meldet sich immer diese "Handbook"-Seite, obwohl ich die nciht will zund schon mehrmals gelöscht habe!
Freue mich auf eine Mail!

Logfile of HijackThis v1.97.7
Scan saved at 18:47:20, on 03.04.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\Winmodem.101\wmexe.exe
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PQSC\PROGRAM\SCTRAY.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\DIT.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER STANDARD EDITION\VSSERV.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER STANDARD EDITION\BDMCON.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER STANDARD EDITION\BDNAGENT.EXE
C:\PROGRAMME\NORTON UTILITIES\SYSDOC32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\NETSCAPE.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hand-book.com/hp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hand-book.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.hand-book.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/
O1 - Hosts: 66.118.163.109 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SecondChance] C:\PQSC\PROGRAM\SCTRAY.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [BitDefender Virus Shield] C:\Programme\Softwin\BitDefender Standard Edition\\vsserv.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\SOFTWIN\BITDEF~1\BDMCON.EXE
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRAMME\SOFTWIN\BITDEFENDER STANDARD EDITION\bdnagent.exe
O4 - HKLM\..\RunServices: [Winmodem] Winmodem.101\wmexe.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Standard Edition\\bdinit.exe
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\ADDCLASS.EXE
O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .scr: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/sa/commo.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/nav/comm...in/avsniff.cab
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...852.0579050926
O19 - User stylesheet: C:\WINDOWS\my.css
O19 - User stylesheet: C:\WINDOWS\my.css (HKLM)

</font><blockquote>Zitat:</font><hr />Original erstellt von leni:
Hi Yopie!
Kannst Du hier was erkennen? Was mir jetzt noch einfiel: Wenn ich den Internetexplotrer starte, meldet sich immer diese "Handbook"-Seite, obwohl ich die nciht will zund schon mehrmals gelöscht habe!
Freue mich auf eine Mail!
</font>[/QUOTE]Damit kann man Dir gut weiterhelfen. Das Problem mit der Handbook-Seite wird auch gelöst. Mail gibts nicht, dafür aber ein Antwort-Posting, damit es auch anderen Leuten weiterhilft.

Los gehts:
In HijackThis machst Du einen Haken vor alle Einträge, die mit "R" beginnen, also R0 und R1.

Weiterhin folgende Einträge anhaken:
O1 - Hosts: 66.118.163.109 auto.search.msn.com
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\ADDCLASS.EXE
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - WWW. Prefix: http://ehttp.cc/?

Dann in HijackThis auf "Fix Checked" klicken.
Anschließend neu booten und nochmal scannen mit Bitdefender. Ich hoffe, ich hab nichts übersehen.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Das gehoert auch noch dazu:

O19 - User stylesheet: C:\WINDOWS\my.css
O19 - User stylesheet: C:\WINDOWS\my.css (HKLM)

Wenn wir dann immer noch was uebersehen haben sollten, bitte hier durcharbeiten:

http://www.rokop-security.de/main/article.php?sid=703

Kleiner Nachtrag, du solltest dich fuer einen Hintergrundwaechter deiner Av-Programme(Norton/Bitddefender) entscheiden, sonst gibt es Probleme und einen instabielen Rechner

</font><blockquote>Zitat:</font><hr />
O1 - Hosts: 66.118.163.109 auto.search.msn.com
</font>[/QUOTE]...muss wohl nicht gefixt werden, oder habe ich was verpasst?
</font><blockquote>Zitat:</font><hr />
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\ADDCLASS.EXE
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - WWW. Prefix: http://ehttp.cc/?
</font>[/QUOTE]....FULL ACK. Nur als Infozum Yopie's Posting.
PS: Kann man dies auch mit Hilfe von Spybot S&D bekäpmfen?

</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:
</font><blockquote>Zitat:</font><hr />
O1 - Hosts: 66.118.163.109 auto.search.msn.com
</font>[/QUOTE]...muss wohl nicht gefixt werden, oder habe ich was verpasst?</font>[/QUOTE]Ping 66.118.163.109 -&gt; Zeitüberschreitung der Anforderung
Die IP ist also ziemlich tot und hat außerdem imho nichts mit msn.com zu tun! Dann kann man sie auch fixen. Oder?

@leni:
Alles wieder im Lot?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie