Sers Leute;
ich hoffe ihr könnt mir vielleicht helfen. Seit gestern abend hab ich einen Trojaner der TR/start page.ig.1 heißt auf meinem Rechner. könnt ihr mir vielleicht helfen? Os: WinXp home edition

Bitte liefere mal ein HijackThis-Log ab.
Links zu HijackThis findest du überall im Forum.

Logfile of HijackThis v1.98.0
Scan saved at 16:32:09, on 22.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\rmctrl.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\WINNT\system32\SPSPSPmssy.exe
C:\program files\internet optimizer\sim\msbb.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\internat.exe
F:\Programme\Skype\Phone\Skype.exe
C:\winnt\rundll32.exe
F:\WINNT\system32\winmm64.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\WINNT\explorer.exe
F:\Dokumente und Einstellungen\Rocketscientist\Desktop\antivir\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=F:\WINNT\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hellsuniverse
O21 - SSODL: System - {7015611E-FE75-4286-A797-56203A26FB64} - F:\WINNT\system32\system32.dll

Also:

Gleiches Prob, es geht um den TR/ Startpage.ig.1, welchen ich seit 2 Tagen auf dem Rechner hab. Weder Adaware, noch Antivir sind in der Lage ihn zu entfernen...wenn ich die Tips befolge die entsprechenden Dateien zu löschen und die Regeinträge zu ändern tut sich praktisch nichts. Das Rokop-Tool gegen die SP-spezies bringt auch nichts (war irgendwo anders in Zusammenhang mit dem gleichen/ähnlichen Prob verlinkt). Antivir meldet alle betroffenen Dateien erneut. (Alle paar Sekunden)
Das ist jetzt der Aktuellste Scan nachdem ich alles entfernt hab und alle Scanner die ich benutzen kann benutzt habe.

hier ist nochmal ein neuer scan eine Stunde später...

Logfile of HijackThis v1.98.0
Scan saved at 17:28:47, on 22.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\rmctrl.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\WINNT\system32\SPSPSPmssy.exe
C:\program files\internet optimizer\sim\msbb.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\internat.exe
F:\Programme\Skype\Phone\Skype.exe
C:\winnt\rundll32.exe
F:\WINNT\system32\winmm64.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\WINNT\explorer.exe
F:\Dokumente und Einstellungen\Rocketscientist\Desktop\antivir\HijackThis.exe
F:\WINNT\System32\taskmgr.exe
F:\mIRC\mirc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = F:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = F:\WINNT\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = F:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F:\WINNT\secure.html
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=F:\WINNT\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hellsuniverse
O21 - SSODL: System - {7015611E-FE75-4286-A797-56203A26FB64} - F:\WINNT\system32\system32.dll

:-/

Hier deine Auswertung: http://www.hijackthis.de/logfiles/b7...e67c7fed5.html
Kannst du eigentlich so fixen. (im abgesicherten Modus)

Bei deinem Iinternet optimize ist scheinbar Spyware mit drin:
C:\program files\internet optimizer\sim\msbb.exe
Die Datei msbb.exe löschen.

Sieht ebenfalls nach Malware aus:
F:\WINNT\system32\SPSPSPmssy.exe

Lass mal Escan laufen:
http://www.trojaner-board.de/showthread.php?t=6083

Außerdem solltest du mal www.windowsupate.com besuchen und die aktuelle Updates und Patches installieren.
Um solche Hijacker zukünftig zu vermeiden, wechsle den Browser: www.firefox-browser.de

@Patrick

Las EScan laufen wie Christian sagt

Dann Fixe im abgesicherten MOdus dies in HiJAckThis


O4 - HKLM\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe

Neustart und Log posten

Gruß paff

SPSPSPmssy.exe wird scheinbar noch von keinem erkannt.

Wäre also wichtig, wenn du die Datei mal an paff, mmk oder mich schickst.