Ich habe heute nach dem Programm Cool Edit Pro gesucht, und es von der Seite
h**p://deutsch.eazel.com/lv/group/view/kl36218/Cool_Edit_Pro.htm
runtergeladen, die Datei auch ausgeführt und das Programm installiert.

Als ich einige Zeit später mein Antivir updatete, bekam ich folgende Meldung:

"In der Datei 'D:\installer-24029-32-Cool-Edit-Pro-2-1-Deutsch.exe' wurde ein Virus oder unerwünschtes Programm 'TR/StartPage.aop.8' [TR/StartPage.aop.8] gefunden."

Ich habe zu diesem speziellen Trojaner über Google nichts gefunden, die Datei ist auf der entsprechenden Downloadseite komischerweise nichtmehr verfügbar. Ein Antivir-Suchlauf hat außer im Firefox-Cache nichtsmehr gefunden.

Hat jemand Informationen über StartPage.aop.8 oder darüber ob die Seite "eazel.com" vertrauenswürdig ist, und kann mir vielleicht sagen wie ich jetzt weiter verfahren sollte?

Vielen Dank!

Hm, ist recht schwer zu sagen, ob dort wirklich ein Schädling drin ist oder ob es nur ein Fehlalarm war. Eazel.com macht auf mich zwar keinen vertrauensunwürdigen Eindruck, aber es hat sich bewährt, Software nur von der Herstellerseite zu laden. Bei genauerem Blick ist es etwas merkwürdig, hab auch mal testweise eine Installdatei von WinRAR dort heruntergeladen, und die hat die gleiche größe wie von dem CoolEdit.
Ich hab mal spaßeshalber die Setupdatei heruntergeladen (ist noch downloadbar über den eazel.com-Link), und bei Virustotal auswerten lassen, einige Virenscanner sprangen dort an mit der Meldung "suspicious file" (verdächtige Datei) oder so ähnlich.

Ich würde an deiner Stelle erstmal *.eazel.com meiden. Poste doch auch mal bitte ein Hijackthis-Logfile.

Dass die Dateien alle die gleiche Größe haben, liegt daran, dass es jeweils nur eine Art Downloadmanager ist, der die eigentlichen Installationsdateien für die Programme dann runterlädt und gleich ausführt.

---

Logfile of HijackThis v1.99.1
Scan saved at 11:49:34, on 25.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
D:\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\system32\ctfmon.exe
D:\mIRC\mirc.exe
D:\FIREFOX\FIREFOX.EXE
D:\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\1] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\atl.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\2] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\cpeaut32.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\3] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msjet35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\4] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msrd2x35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\5] C:\WINDOWS\system32\REGSVR32.EXE /s D:\OrCAD_Demo\Capture\pipspice.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\6] D:\OrCAD_Demo\PSpice\pspice.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\7] D:\OrCAD_Demo\PSpice\stmed.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\8] D:\OrCAD_Demo\PSpice\modeled.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\9] D:\OrCAD_Demo\PSpice\optimize.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\10] D:\OrCAD_Demo\PSpice\simsrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\11] D:\OrCAD_Demo\PSpice\mrksrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\12] D:\OrCAD_Demo\PSpice\appmgr.exe /regserver
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138526031187
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Zitat:

O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\1] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\atl.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\2] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\cpeaut32.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\3] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msjet35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\4] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msrd2x35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\5] C:\WINDOWS\system32\REGSVR32.EXE /s D:\OrCAD_Demo\Capture\pipspice.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\6] D:\OrCAD_Demo\PSpice\pspice.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\7] D:\OrCAD_Demo\PSpice\stmed.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\8] D:\OrCAD_Demo\PSpice\modeled.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\9] D:\OrCAD_Demo\PSpice\optimize.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\10] D:\OrCAD_Demo\PSpice\simsrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\11] D:\OrCAD_Demo\PSpice\mrksrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\12] D:\OrCAD_Demo\PSpice\appmgr.exe /regserver

Ja hallo was sind das denn für Einträge?
Hastdu zufällig die Software PSpice Student 9.1 installiert, den Rechner noch nicht neu gebootet und dann das HJT-Logfile erstellt?

Moin cosinus,

zur Info :
Orcad ist ein Cad Programm aus der Richtung Elektrotechnik (ich durfte lernen damit umzugehen:aplaus: ) zum erstellen von Schaltungen.

MFG

EDIT in wie weit die Dateien sauber sind, vermag ich natürlich nicht zu sagen.

Jo, das Programm hab ich aber von einer vertrauenswürdigen Seite runtergeladen, auf die Einträge muss man sich also nicht konzentrieren glaube ich ;-)

Okay, das Programm scheint sauber zu sein
Bin nur drauf angesprungen wegen der vielen O4- also Autostart-Einträge. Mach doch mal nen Check mit eScan (MWAV, siehe Link in meiner Sig) und poste auch mal ein Log von Silentrunners. Hijackthis bietet nämlich nur einen kleinen Auszug bestimmter Systembereiche, nun ist filigraneres Nachschauen angesacht

Ich hatte die Datei am Sonntag mit dem Hinweis auf Fehlalarmverdacht an Avira geschickt, jedoch nur eine automatische Antwort bekommen, dass die Datei infiziert sei.
Nach dem heutigen Update wird die Datei die ich bei mir in Quarantäne habe jedoch nichtmehr als Trojaner erkannt.
Ich hoffe mal, dass das heißt ich habe nochmal Glück gehabt. Bei den Scans sind allerdings ein paar komische Sachen rausgekommen, werde ich morgen mal posten.

Also hier einmal das komprimierte eScan-log:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Microsoft Windows XP [Version 5.1.2600]
Thu Jun 28 21:54:41 2007 => Version 9.2.8 (C:\DOKUME~1\Sven\LOKALE~1\Temp\mexe.com) 
Thu Jun 28 21:40:41 2007 => Virus Database Date: 6/25/2007
Thu Jun 28 21:42:00 2007 => Virus Database Date: 6/25/2007
Thu Jun 28 21:54:03 2007 => Virus Database Date: 6/25/2007
Thu Jun 28 22:51:44 2007 => Virus Database Date: 6/25/2007
Thu Jun 28 22:51:51 2007 => Virus Database Date: 6/25/2007
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
Thu Jun 28 21:55:46 2007 => Offending Key found: HKLM\Software\magnet !!!
Thu Jun 28 21:55:56 2007 => Offending Key found: HKCU\\magnet !!!
Thu Jun 28 21:56:42 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I !!!
         

Die Überschriften unter denen nichts stand hab ich mal rauseditiert, die tolle find.bat hat aber auch die Hinweise auf die Art des Fundes gelöscht.
Bei den ersten beiden Keys war die Meldung "Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.".
Beim dritten Key: "Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken."

Silentrunners will ich jetzt nicht nochmal komplett posten, das einzige was da auffällig war, ist:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

Kann mir nicht erklären warum er da ein Ausrufezeichen davorgesetzt hat, es findet auch kein Virenscanner an der Datei was.


EDIT: Hier noch ein Virustotal-Scan der ursprünglich gemeldeten Datei, die von meinem Antivir jetzt nichtmehr als Trojaner erkannt wird:

Code: Alles auswählenAufklappen

ATTFilter

AhnLab-V3	2007.6.29.0	06.29.2007	Win-Trojan/StartPage.700376.C
AntiVir		7.4.0.37	06.29.2007	HEUR/Malware
Authentium	4.93.8		06.28.2007	no virus found
Avast		4.7.997.0	06.29.2007	no virus found
AVG		7.5.0.476	06.28.2007	no virus found
BitDefender	7.2		06.29.2007	no virus found
CAT-QuickHeal	9.00		06.28.2007	no virus found
ClamAV		devel-20070416	06.29.2007	Trojan.Startpage-479
DrWeb		4.33		06.29.2007	no virus found
eSafe		7.0.15.0	06.28.2007	Win32.StartPage.aop
eTrust-Vet	30.8.3751	06.29.2007	no virus found
Ewido		4.0		06.29.2007	Hijacker.StartPage.aop
FileAdvisor	1		06.29.2007	no virus found
Fortinet	2.91.0.0	06.29.2007	W32/StartPage.AOP!tr
F-Prot		4.3.2.48	06.28.2007	no virus found
F-Secure	6.70.13030.0	06.29.2007	Startpage.ETJ
Ikarus		T3.1.1.8	06.29.2007	Trojan.Win32.StartPage.aop
Kaspersky	4.0.2.24	06.29.2007	no virus found
McAfee		5063		06.28.2007	no virus found
Microsoft	1.2701		06.29.2007	no virus found
NOD32v2		2363		06.29.2007	no virus found
Norman		5.80.02		06.28.2007	Startpage.ETJ
Panda		9.0.0.4		06.29.2007	Suspicious file
Sophos		4.19.0		06.28.2007	no virus found
Sunbelt		2.2.907.0	06.28.2007	no virus found
Symantec	10		06.29.2007	Ircfast
TheHacker	6.1.6.140	06.28.2007	Trojan/StartPage.aop
VBA32		3.12.0.2	06.28.2007	Trojan.Win32.StartPage.aop
VirusBuster	4.3.23:9	06.28.2007	no virus found
Webwasher-Gateway 6.0.1		06.29.2007	Heuristic.Malware
         

Ich habe nochmal auf der Antivir-Homepage nach meinem Dateiupload geschaut, und die Seite wurde inzwischen sogar aktualisiert:

"Die Datei 'installer-24029-32-Cool-Edit-Pro-2-1-Deutsch.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster ist mit dem Update der Virendefinitionsdatei (VDF) 6.39.0.75 entfernt."

Dadurch ist meine Angst verseucht zu sein jetzt doch etwas gesunken, wäre aber nett wenn trotzdem jemand nochmal kurz über die Logs schauen könnte.