|
Plagegeister aller Art und deren Bekämpfung: TR/StartPage.aop.8Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.06.2007, 18:34 | #1 |
| TR/StartPage.aop.8 Ich habe heute nach dem Programm Cool Edit Pro gesucht, und es von der Seite h**p://deutsch.eazel.com/lv/group/view/kl36218/Cool_Edit_Pro.htm runtergeladen, die Datei auch ausgeführt und das Programm installiert. Als ich einige Zeit später mein Antivir updatete, bekam ich folgende Meldung: "In der Datei 'D:\installer-24029-32-Cool-Edit-Pro-2-1-Deutsch.exe' wurde ein Virus oder unerwünschtes Programm 'TR/StartPage.aop.8' [TR/StartPage.aop.8] gefunden." Ich habe zu diesem speziellen Trojaner über Google nichts gefunden, die Datei ist auf der entsprechenden Downloadseite komischerweise nichtmehr verfügbar. Ein Antivir-Suchlauf hat außer im Firefox-Cache nichtsmehr gefunden. Hat jemand Informationen über StartPage.aop.8 oder darüber ob die Seite "eazel.com" vertrauenswürdig ist, und kann mir vielleicht sagen wie ich jetzt weiter verfahren sollte? Vielen Dank! |
24.06.2007, 21:46 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/StartPage.aop.8 Hm, ist recht schwer zu sagen, ob dort wirklich ein Schädling drin ist oder ob es nur ein Fehlalarm war. Eazel.com macht auf mich zwar keinen vertrauensunwürdigen Eindruck, aber es hat sich bewährt, Software nur von der Herstellerseite zu laden. Bei genauerem Blick ist es etwas merkwürdig, hab auch mal testweise eine Installdatei von WinRAR dort heruntergeladen, und die hat die gleiche größe wie von dem CoolEdit.
__________________Ich hab mal spaßeshalber die Setupdatei heruntergeladen (ist noch downloadbar über den eazel.com-Link), und bei Virustotal auswerten lassen, einige Virenscanner sprangen dort an mit der Meldung "suspicious file" (verdächtige Datei) oder so ähnlich. Ich würde an deiner Stelle erstmal *.eazel.com meiden. Poste doch auch mal bitte ein Hijackthis-Logfile.
__________________ |
25.06.2007, 11:03 | #3 |
| TR/StartPage.aop.8 Dass die Dateien alle die gleiche Größe haben, liegt daran, dass es jeweils nur eine Art Downloadmanager ist, der die eigentlichen Installationsdateien für die Programme dann runterlädt und gleich ausführt.
__________________--- Logfile of HijackThis v1.99.1 Scan saved at 11:49:34, on 25.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\AntiVir PersonalEdition Classic\sched.exe D:\AntiVir PersonalEdition Classic\avguard.exe D:\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe D:\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\WINDOWS\system32\ctfmon.exe D:\mIRC\mirc.exe D:\FIREFOX\FIREFOX.EXE D:\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\1] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\atl.dll O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\2] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\cpeaut32.dll O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\3] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msjet35.dll O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\4] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msrd2x35.dll O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\5] C:\WINDOWS\system32\REGSVR32.EXE /s D:\OrCAD_Demo\Capture\pipspice.dll O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\6] D:\OrCAD_Demo\PSpice\pspice.exe /regserver O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\7] D:\OrCAD_Demo\PSpice\stmed.exe /regserver O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\8] D:\OrCAD_Demo\PSpice\modeled.exe /regserver O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\9] D:\OrCAD_Demo\PSpice\optimize.exe /regserver O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\10] D:\OrCAD_Demo\PSpice\simsrvr.exe /regserver O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\11] D:\OrCAD_Demo\PSpice\mrksrvr.exe /regserver O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\12] D:\OrCAD_Demo\PSpice\appmgr.exe /regserver O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://D:\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138526031187 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
25.06.2007, 17:58 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/StartPage.aop.8Zitat:
Hastdu zufällig die Software PSpice Student 9.1 installiert, den Rechner noch nicht neu gebootet und dann das HJT-Logfile erstellt?
__________________ Logfiles bitte immer in CODE-Tags posten |
25.06.2007, 18:06 | #5 |
| TR/StartPage.aop.8 Moin cosinus, zur Info : Orcad ist ein Cad Programm aus der Richtung Elektrotechnik (ich durfte lernen damit umzugehen:aplaus: ) zum erstellen von Schaltungen. MFG EDIT in wie weit die Dateien sauber sind, vermag ich natürlich nicht zu sagen. |
27.06.2007, 15:21 | #6 |
| TR/StartPage.aop.8 Jo, das Programm hab ich aber von einer vertrauenswürdigen Seite runtergeladen, auf die Einträge muss man sich also nicht konzentrieren glaube ich ;-) |
27.06.2007, 23:05 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/StartPage.aop.8 Okay, das Programm scheint sauber zu sein Bin nur drauf angesprungen wegen der vielen O4- also Autostart-Einträge. Mach doch mal nen Check mit eScan (MWAV, siehe Link in meiner Sig) und poste auch mal ein Log von Silentrunners. Hijackthis bietet nämlich nur einen kleinen Auszug bestimmter Systembereiche, nun ist filigraneres Nachschauen angesacht
__________________ Logfiles bitte immer in CODE-Tags posten |
28.06.2007, 23:24 | #8 |
| TR/StartPage.aop.8 Ich hatte die Datei am Sonntag mit dem Hinweis auf Fehlalarmverdacht an Avira geschickt, jedoch nur eine automatische Antwort bekommen, dass die Datei infiziert sei. Nach dem heutigen Update wird die Datei die ich bei mir in Quarantäne habe jedoch nichtmehr als Trojaner erkannt. Ich hoffe mal, dass das heißt ich habe nochmal Glück gehabt. Bei den Scans sind allerdings ein paar komische Sachen rausgekommen, werde ich morgen mal posten. |
29.06.2007, 10:09 | #9 |
| TR/StartPage.aop.8 Also hier einmal das komprimierte eScan-log: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Thu Jun 28 21:54:41 2007 => Version 9.2.8 (C:\DOKUME~1\Sven\LOKALE~1\Temp\mexe.com) Thu Jun 28 21:40:41 2007 => Virus Database Date: 6/25/2007 Thu Jun 28 21:42:00 2007 => Virus Database Date: 6/25/2007 Thu Jun 28 21:54:03 2007 => Virus Database Date: 6/25/2007 Thu Jun 28 22:51:44 2007 => Virus Database Date: 6/25/2007 Thu Jun 28 22:51:51 2007 => Virus Database Date: 6/25/2007 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Thu Jun 28 21:55:46 2007 => Offending Key found: HKLM\Software\magnet !!! Thu Jun 28 21:55:56 2007 => Offending Key found: HKCU\\magnet !!! Thu Jun 28 21:56:42 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I !!! Bei den ersten beiden Keys war die Meldung "Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.". Beim dritten Key: "Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken." Silentrunners will ich jetzt nicht nochmal komplett posten, das einzige was da auffällig war, ist: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] Kann mir nicht erklären warum er da ein Ausrufezeichen davorgesetzt hat, es findet auch kein Virenscanner an der Datei was. EDIT: Hier noch ein Virustotal-Scan der ursprünglich gemeldeten Datei, die von meinem Antivir jetzt nichtmehr als Trojaner erkannt wird: Code:
ATTFilter AhnLab-V3 2007.6.29.0 06.29.2007 Win-Trojan/StartPage.700376.C AntiVir 7.4.0.37 06.29.2007 HEUR/Malware Authentium 4.93.8 06.28.2007 no virus found Avast 4.7.997.0 06.29.2007 no virus found AVG 7.5.0.476 06.28.2007 no virus found BitDefender 7.2 06.29.2007 no virus found CAT-QuickHeal 9.00 06.28.2007 no virus found ClamAV devel-20070416 06.29.2007 Trojan.Startpage-479 DrWeb 4.33 06.29.2007 no virus found eSafe 7.0.15.0 06.28.2007 Win32.StartPage.aop eTrust-Vet 30.8.3751 06.29.2007 no virus found Ewido 4.0 06.29.2007 Hijacker.StartPage.aop FileAdvisor 1 06.29.2007 no virus found Fortinet 2.91.0.0 06.29.2007 W32/StartPage.AOP!tr F-Prot 4.3.2.48 06.28.2007 no virus found F-Secure 6.70.13030.0 06.29.2007 Startpage.ETJ Ikarus T3.1.1.8 06.29.2007 Trojan.Win32.StartPage.aop Kaspersky 4.0.2.24 06.29.2007 no virus found McAfee 5063 06.28.2007 no virus found Microsoft 1.2701 06.29.2007 no virus found NOD32v2 2363 06.29.2007 no virus found Norman 5.80.02 06.28.2007 Startpage.ETJ Panda 9.0.0.4 06.29.2007 Suspicious file Sophos 4.19.0 06.28.2007 no virus found Sunbelt 2.2.907.0 06.28.2007 no virus found Symantec 10 06.29.2007 Ircfast TheHacker 6.1.6.140 06.28.2007 Trojan/StartPage.aop VBA32 3.12.0.2 06.28.2007 Trojan.Win32.StartPage.aop VirusBuster 4.3.23:9 06.28.2007 no virus found Webwasher-Gateway 6.0.1 06.29.2007 Heuristic.Malware Geändert von r4p1 (29.06.2007 um 10:26 Uhr) |
29.06.2007, 16:05 | #10 |
| TR/StartPage.aop.8 Ich habe nochmal auf der Antivir-Homepage nach meinem Dateiupload geschaut, und die Seite wurde inzwischen sogar aktualisiert: "Die Datei 'installer-24029-32-Cool-Edit-Pro-2-1-Deutsch.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster ist mit dem Update der Virendefinitionsdatei (VDF) 6.39.0.75 entfernt." Dadurch ist meine Angst verseucht zu sein jetzt doch etwas gesunken, wäre aber nett wenn trotzdem jemand nochmal kurz über die Logs schauen könnte. |
Themen zu TR/StartPage.aop.8 |
antivir, ausgeführt, datei, folge, folgende, gefunde, gesuch, gesucht, google, heute, informationen, installier, meldung, nichtmehr, nichts, nichtsmehr, programm, seite, spezielle, troja, trojaner, unerwünschtes, unerwünschtes programm, update, virus |