hallo zusammmen,

ich hatte gestern folgendes problem:

mein Antivir zeigte gestern abend den oben genannten trojaner an und ich hab ihn dann mit Antivir gelöscht. danach machte ich einen kompletten scan, der aber nichts weiteres fand.

dabei ist folgendes passiert :

es öffnete sich das programm *Unspypc scanner & monitor* und fing an mein system zu scannen. woher es plötzchen kam, kann ich nicht sagen. installiert hatte ich es nicht.

es fand auch viel, aber um die einträge löschen zu können, hätte man sich registrieren müssen - sprich auch zahlen.

ferner bekam ich eine warnung von *microsoft fire wall* von der ich gar nicht wusste, dass ich die habe. ich selber habe zone alarm installiert.

Diese warnte mich vor gefahren und ich hab später auf OK geklickt.

dann zeigte mein zone alarm einen alarm an.


später stellte ich dann fest, dass ich eine fremde toolbar habe, mit den inhalten wie gambling, finance, adult...usw.

diese bekomme ich nicht mehr gelöscht.

beim hochfahren habe ich jetzt folgende probleme:

- der pc hängt sich sofort auf, wenn er hoch gefahren ist.
- die verknüpfungen auf den desktop gehen nicht mehr - entweder passiert nichts oder er hängt sich dann auf.
- im task wird dauert angezeigt welche prozesse nicht reagieren - beim schliessen verliere ioch dann ua den explorer oder taskleiste, sodass ich wieder neustarten muss und alles fängt von vorne an.
- auch sehe ich da vorgänge , die ich noch nie gesehen habe.

die installation von ad aware oder antispybot schweiterte - bekomme immer anschliessen folgende fehlermeldung :

* error reading ilmaining.bitmap to read image...*


jetzt meine frage an euch was kann man am besten tun ?


bzw soll ich am besten gleich neu formatieren - und wie gnau macht man das.
cd und startdiskette ist vorhanden. ich habe W98 - bekäme ich dann noch die nötigen updates wie zb IE6 und so.


da ich so von der technik keine ahnung habe, bitte ich um verständliche antworten.

vielen dank

tigga

hallo,

posre doch mal bitte ein HJT logfile...
anleitung dazu findest du in meiner signatur..

ich hoffe, das ist soweit richtig :


Logfile of HijackThis v1.99.1
Scan saved at 19:10:56, on 02.01.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LVCOMSX.EXE
C:\PROGRAMME\LOGITECH\VIDEO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MSOFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\LOGITECH\VIDEO\FXSVR2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS[1]\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = h*tp://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://www.jethomepage.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://www.jethomepage.com/ie/
R3 - URLSearchHook: (no name) - {6B334A4B-98C5-861A-975D-751F798C9E35} - PasswdMon.dll (file missing)
O1 - Hosts: 66.40.16.218 auto.search.msn.com
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAMME\DAP\DAPIEBAR.DLL (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\TVRSQ.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMME\DAP\DAPIEBAR.DLL (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\TVRSQ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [spp] regedit -s C:\WINDOWS\sp.dll
O4 - HKLM\..\Run: [LVCOMSX] c:\windows\SYSTEM\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [uio] SYSTRAV.exe
O4 - HKLM\..\Run: [borlandg] atl_helper.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] c:\windows\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [SDS Doorbell] C:\PROGRAMME\ONLINECALL\ONLINECALL.EXE
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\PROGRAMME\LOGITECH\VIDEO\MANIFESTENGINE.EXE boot
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\SYSTEM\IDEMLOG.EXE
O4 - HKCU\..\Run: [FLKPT] iehelper.exe
O4 - HKCU\..\Run: [TemplateDongle] ABCXYZ.exe
O4 - HKCU\..\Run: [JAguAr] xsetup.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\MSOffice\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\MSOffice\Office\OSA.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h*tp://www.axis.com/products/camera_servers/AxisCamControl.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h*tp://a840.g.akamai.net/7/840/537/20011202/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - h*tp://sc.communities.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - h*tp://sc.communities.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h*tp://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h*tp://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - ht*p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: Yahoo! Dominoes - h*tp://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Pool 2 - h*tp://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Chat - h*tp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Win32 Classes - file://c:\windows\Java\classes\win32ie4.cab




ich hab auch schon mal geschaut, wie man kontrollieren kann, welche EXE gut oder böse ist. - auf ht*p://www.sysinfo.org/startuplist.php?filter=


wie bekomme ich sie denn gelöscht ? und was ist mit anderen einträge, die keine EXE sind, die ich aber trotzdem löschen wil.


und was bedeutet zb das :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jethomepage.com/ie/

hallo,

also hier ist eineiges auf dem system was mir etwas komisch erscheint..
ich bitte dich darum Hier
einen onlinescan zu machen und das ergebniss bitte heir zu posten..

habe den scan durch geführt und in

c:/ windows/sp.dll

folgenden trojaner gefunden

trojan.winreg.startpage


weiss jemand jetzt näheres ?

poste bitte den kompletten log von dem onlinescan

kompletten log ?

hatte am ende eigentlich nur die meldung bekommen:


** c/ windows/sp.dll...................................trojan.winreg.startpage**





hab mich mal selber etwas um geschaut und einige informationen gefunden :

1. man soll die c / windows/sp.dll löschen - hab ich auch schon gemacht.

2. fand ich folgende informationen zu den reg-einträgen bzw was man tun soll

Removing autostart entries from the registry prevents the malware from executing during startup.

Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
"sys"="regedit -s sys.reg" *** HABE ICH GELÖSCHT***
Removing Other Entries from the Registry

Removing other entries from the registry removes the modifications of the malware to the Internet Explorer pages.

Still in the Registry Editor, in the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer\Main
In the right panel, right-click on the entry “Start Page” and select Modify. On the Value Data field, enter the URL of the changed home page. *** STAND ABOUT BLANK; HAB ICH SO GEKLASSEN; WEIL AUCH SO VON MIR EINGESTELLT***

In the right panel, right-click on the entry “Search Bar” and select Modify. On the Value Data field, enter a URL of your choice. *** HAB ICH KOMPLETT GELÖSCHT- ES STAND DA DIE IM MEINEM ZWEITEN POSTING GENANNTE HOMEPAGE; DIE ICH NICHT KENNE***

In the right panel, right-click on the entry “Search Page” and select Modify. On the Value Data field, enter the URL of the changed search page. *** HAB ICH KOMPLETT GELÖSCHT- ES STAND DA DIE IM MEINEM ZWEITEN POSTING GENANNTE HOMEPAGE; DIE ICH NICHT KENNE***

In the right panel, locate and delete the entry:
"HOMEOldSP"="http://%6D%73%62%77%6B%66%2E%74%2
E%72%61%63%6B%2E%63%63/%68%70%2E%70%68%70" ***HAB ICH NICHTS GEFUNDEN, STAND SO NICHTS DA***

In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Search
In the right panel, right-click on the entry “SearchAssistant” and select Modify. On the Value Data field, enter a URL of your choice. *** HAB ICH KOMPLETT GELÖSCHT- ES STAND DA DIE IM MEINEM ZWEITEN POSTING GENANNTE HOMEPAGE; DIE ICH NICHT KENNE***

In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>Internet Explorer>Main
In the right panel, right-click on the entry “Start Page” and select Modify. On the Value Data field, enter the URL of the changed home page.
In the right panel, right-click on the entry “Search Bar” and select Modify. On the Value Data field, enter a URL of your choice.
In the right panel, right-click on the entry “Search Page” and select Modify. On the Value Data field, enter the URL of the changed search page.
In the right panel, locate and delete the entry:
"HOMEOldSP"="http://%6D%73%62%77%6B%66%2E%74%2E%72
%61%63%6B%2E%63%63/%68%70%2E%70%68%70" ***HAB ICH NICHTS GEFUNDEN, STAND SO NICHTS DA***

In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Search
In the right panel, right-click on the entry “SearchAssistant” and select Modify. On the Value Data field, enter a URL of your choice. ***STAND EINE SEITE VON MSN; DIE EIGENTLICH OK SEIN MÜSSTE UND MIR AUCH BEKANNT***

Close Registry Editor.


allerdings sind bis jetzt keine besserungen sichtbar. ich habe immer noch grosse probleme beim hochfahren und der pc hängt sich zum ende hin weiter auf, prozesse reagieren nicht und müssen über task geschlossen werden. dann verschinden entweder fenster oder taskleiste oder ich habe einen komplett schwarzen bildschirm.

fenster wie Arbeitsplatz oder Systmsteuerung sind garnicht zuöffenen - hängt sich sofort auf bzw reagiert gar nicht.

wer könnte zu dem, was bis jetzt gemacht worden ist, etwas sagen und was mann noch am besten machen kann?


lg

ich würde trotzdem bitte den kompletten log vom onlinescan sehen..

ich scanne noch mal neu.


kannst du bitte vielleicht mal schreiben, wie ich am ende den kompletten log ansehen kann ? wüsste nicht, dass ich da gstern was gesehen habe.

scan dauert wohl be stunde.

lg

sollte normal da stehen kompletten log ansehen.
aber was anderes lass mal bitte die datei die du gemeldet bekommen hast bei jotti online überprüfen..
link findest du in meiner signatur

upsss, hatte doch was gestern gesichert:

Operating System: Microsoft Windows 98
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 2/01/2006
Kaspersky Anti-Virus database records: 158481
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
c:\Windows\

Scan Statistics:
Total number of scanned objects: 8241
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 1074 sec

Infected Object Name - Virus Name
c:\Windows\sp.dll Infected: Trojan.WinREG.StartPage

Scan process completed.





hatte gerade den scan gesartet und bekam sofort wieder einen fund:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, January 03, 2006 10:47:58
Operating System: Microsoft Windows 98
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 3/01/2006
Kaspersky Anti-Virus database records: 158527
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
a:\
c:\
d:\
e:\

Scan Statistics:
Total number of scanned objects: 273
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 39 sec

Infected Object Name - Virus Name
c:\RECYCLED\DC2.DLL Infected: Trojan.WinREG.StartPage

also sehe mal genau Hier
nach und lese dir das durch...
befolge dies da steht alles drin..

ok, aber jetzt wirds etwas haarig für mich.

also es steht da :

Troj/StartPa-AE ist einfach eine Textdatei (typischerweise mit dem Namen sysdll.reg), die als Input für Regedit fungiert, um die folgenden Registrierungseinträge zu erstellen:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKLM\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant

<<<<< MUSS ICH ALL DIESE EINTRÄGE LÖSCHEN ODER AUF DER RECHTEN SEITE VON RERDEDIT ETWAS ANDERES EINSETZEN ? UND WENN JA; WAS AM BESTEN ?


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
sys = "regedit -s sysdll.reg"

<<<<< DIESEN EINTRAG HABE ICH SCHON GESTERN GELÖSCHT

geh bitte genau so vor wie es in der beschreibung drin steht..
da steh alles drin was du wissen und machen musst..
kann dazu im moment nix sagen da ich diese beschreibung nicht vor mir habe..

hmm..

unter wiederherstellung steht nur :


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
sys = "regedit -s sysdll.reg"


....und die habe ich gelöscht - mwerke aber keinelei veränderung bzw besserung :-/