Habe TR/StartPage.IG.1 Trojaner unter Win2K!

AntiVir meldet ständig

C:\WINNT\HOSTS
Ist das Trojanische Pferd TR/StartPage.IG.1

Nach der Lösch-Bestätigung erscheint dies wieder!

Wie kann ich mich davon "befreien" (Removal Tool ??) ?

Hast du schonmal im abgesicherten Modus das Teilchen entfernen lassen?

Ansonsten scanne mal hiermit: http://www.trojaner-board.de/showthread.php?t=6083

Danach bitte ein HijackThis-Log posten!

Muss dazu sagen Rechner --> Kunde
Ich --> Firma

Hier erstma die hijackthis.log (e-Scan läuft noch)

Logfile of HijackThis v1.98.0
Scan saved at 08:23:46, on 14.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe
D:\Easy Creator 5\DirectCD\DirectCD.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
D:\programme\CanoScan\opware32.exe
D:\programme\MOUSE32A.EXE
D:\SandIcon.Exe
D:\PROGRA~1\SSK\SSK.EXE
C:\WINNT\system32\explorer.exe
C:\WINNT\system32\ntvdm.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\explorer.exe
C:\Dokumente und Einstellungen\Laszlo\Anwendungsdaten\atou.exe
C:\WINNT\system32\nmgzz.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\FRITZ!\IWatch.exe
D:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
D:\programme\WinZip\WZQKPICK.EXE
C:\Audatex\Comm32\MupsII_Druck.exe
C:\Audatex\Comm32\AudamupsII_Dfue.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\BRQIKMON.EXE
C:\WINNT\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Laszlo\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Easy Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [OmniPage] D:\programme\CanoScan\opware32.exe
O4 - HKLM\..\Run: [LWBMOUSE] D:\programme\MOUSE32A.EXE
O4 - HKLM\..\Run: [SandIcon] D:\\SandIcon.Exe
O4 - HKLM\..\Run: [SuperSpamKiller] D:\PROGRA~1\SSK\SSK.EXE
O4 - HKLM\..\Run: [Explorer] C:\WINNT\system32\explorer.exe
O4 - HKLM\..\RunOnce: [delus] C:\temp\delus.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Rsua] C:\Dokumente und Einstellungen\Laszlo\Anwendungsdaten\atou.exe
O4 - HKCU\..\Run: [Tkvmge] C:\WINNT\system32\nmgzz.exe
O4 - Global Startup: AutoStart IR.lnk = WinTV\Ir.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Mups II Druck und DFÜ.lnk = D:\Hadakon\Batches\druckstart.bat
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = WinZip\WZQKPICK.EXE

thx schonma!

Das ist das gesamte Logfile?

Sieht aus als wenn da noch etwas fehlt ...

Ne! Fehlt nix! Ist die komplette logfile! Wieso?

Hab gehört,dass er soll mit AntiVir Prof. weg gehen! Hat da jemand Erfahrung?

Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

-> Das System schreit nach Updates / Patches!

C:\WINNT\system32\nmgzz.exe
O4 - HKLM\..\Run: [Explorer] C:\WINNT\system32\explorer.exe
O4 - HKLM\..\RunOnce: [delus] C:\temp\delus.exe
O4 - HKCU\..\Run: [Rsua] C:\Dokumente und Einstellungen\Laszlo\Anwendungsdaten\atou.exe
O4 - HKCU\..\Run: [Tkvmge] C:\WINNT\system32\nmgzz.exe

-> Das muss alles weg.

Nach dem Updaten das Systems, spiel dem Kunden z.B. diesen Browser rauf, den er dann zum Surfen benutzen sollte:

http://firefox-browser.de

Er muss zudem regelmäßig auf Patches prüfen (-> Windowsupdate mit dem IE).

@elsch

Diese Starteinträge sind sehr suspekt
O4 - HKLM\..\Run: [Explorer] C:\WINNT\system32\explorer.exe
O4 - HKLM\..\RunOnce: [delus] C:\temp\delus.exe
O4 - HKCU\..\Run: [Rsua] C:\Dokumente und Einstellungen\Laszlo\Anwendungsdaten\atou.exe
O4 - HKCU\..\Run: [Tkvmge] C:\WINNT\system32\nmgzz.exe

Würde ich mal hier abchecken
http://www.kaspersky.com/de/remoteviruschk.html

Sind aber wohl alle Trojaner

Gruß paff

Zitat:

Zitat von *Christian*

Hast du schonmal im abgesicherten Modus das Teilchen entfernen lassen?

Ansonsten scanne mal hiermit: http://www.trojaner-board.de/showthread.php?t=6083

Danach bitte ein HijackThis-Log posten!

DANKE CHRISTIAN !!!!!!!!

Das Proggi hat ihn gecleaned !!!!!

Nochmals vielen Dank !!!!!!!!

Trotzdem wäre es ratsam, wenn du ihm raten würdest, dass wir raten, dass er Firefox als Browser verwenden soll und von den IE abraten.

PS: Mach keinen so hohen Preis.