Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Dldr.startpage Startpage/is

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.07.2004, 09:14   #1
Ulf.Klaas
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



Hallo,

ich habe ein großes Problem:

Kürzlich habe ich mir über den Internet Explorer 6.0 zwei Trojaner eingefangen: DLDR.STARTPAGE und STARTPAGE/IS. Diese wurden durch Antivir erkannt und gelöscht. Allerdings erwiesen sich diese Trojaner als äußert hartnäckig. Nach einer gewissen Zeit waren Sie wieder da. Wieder wollte ich den Virus mit Antivir löschen, aber mit dem selben Effekt: nach einer gewissen Zeit waren Sie wieder da. Zudem kam dann das Problem, dass Sie mein Office-Paket und meinen Explorer befallen haben. Jedesmal, wenn ich im System nach einer Datei gesucht habe, kam der Windows-Installer und brach mit einem Fehler ab. Auch wenn ich mein Office gestartet habe gab es diesen Effekt.

MERKMALE der Trojaner: Sie verändern die Startseite des IE, Verändern die Registry und befallen einige DLL'S. Zudem meldet sich der Windows-Installer und bricht mit einer Fehlermeldung ab.

Nach längeren Suchen bei Google fand ich folgende Tipps, die aber keinen Erfolg brachte:
-----------
1.) Systemwiederherstellung ausschalten
2.) System im abgesicherten Modus hochfahren.
3.) System mit Antivir scannen und befallene Dateien löschen.
-----------
1.) AdAware, CWShredder und alle möglichen Spyware-Tools benutzen und alles löschen. Mit HijackThis System scannen und alles verdächtige löschen. Diese haben auch einiges gefunden. Ich habe diese gelöscht, aber war wohl nichts! Ich scanne immer wieder und finde Sie nach einiger Zeit wieder vor, lösche Sie, ... ->Teufelskreis
-----------
1.) Office deinstallieren und wieder installieren.
-----------
1.) Alle Servicepacks, Hotfixes, etc. einspielen (war davor schon geschehen)

Jetzt habe ich folgenden Systemzustand:
kein Office-Paket, keine Systemwiederherstellung und immer noch diese verdammten Viren auf meinem System. Tja, zudem kommt noch, dass ich mein System über das Windows-Tool nicht mehr herstellen kann, da ich am Anfang die Systemwiederherstellung ausgeschalten habe! Allerdings poppt der Windows-Installer nicht mehr hoch.

Wenn ich nun mein Office installieren will meldet er folgende Fehler (weiss die Fehlermeldungen nicht mehr ganz genau. Werde Sie gegen später genauer beschreiben):
1304 - OUTLCTL.DLL kann nicht in Ordern XYZ geschrieben werden. Überprüfen sie, ob sie auf diesen Ordner zugreifen könne.
Dachte ich mir: Gut, dann verzichte ich auf Outlook und installiere nur mal Word. Aber wieder der Fehler, diesmal mit der Datei PK-iregndwas.DLL.
Laut Google und Microsoft Knowledge Base liegt das eventuell an meinem Cache vom CD-Rom Laufwerk. Allerdings installiere ich mein Office übers Netz...

Jetzt weiss ich einfach nicht mehr weiter!
WEISS EINER WAS, WIE ICH DIESE VIREN ENTFERNEN KANN??? Mein System will ich einfach nicht neu installieren! Würde über einen Monat dauern!

Danke für jeden Hinweis!

Alt 20.07.2004, 10:43   #2
neptune
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



poste mal dein hojackthis-log
__________________

__________________

Alt 20.07.2004, 17:05   #3
Ulf.Klaas
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



Danke für die schnelle Antwort. Habe HijackThis laufen lassen und mit HiJackThis.de ausgewertet (s.u.). Alle komischen Prozesse habe ich gelöscht.
Die fragwürdigen Prozesse sind die meines RAID-Array, von Java und meiner Peripherie.
Wenn das Problem nochmal auftritt, dann führe ich das Tool nochmals aus und poste hier nochmal.

Die Outlook-Fehlermeldung lautet:
Fehler 1304. Fehler beim Schreiben in Datei: C:\Programme\Microsoft Office\Office10\OUTLCTL.DLL

Vielen Dank für die Hilfe!

-----------
Logfile of HijackThis v1.98.0
Scan saved at 17:59:02, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
g:\AVPersonal\AVGUARD.EXE
g:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\NMap\win\bin\nmapserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NMSSvc.exe
G:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
G:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
G:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
G:\NETWOR~1\ssh\cygrunsrv.exe
G:\Logitech\iTouch\iTouch.exe
G:\D-Tools\daemon.exe
G:\Logitech\MouseWare\system\em_exec.exe
G:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\tcpsvcs.exe
c:\apache\APACHE.EXE
G:\NORTON~1\SPEEDD~1\nopdb.exe
G:\MSProject\Office\OSA.EXE
G:\NetworkSimplicity\ssh\sshd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
G:\RAIDTool\SiICfg.exe
C:\Programme\Internet Explorer\iexplore.exe
G:\hijackthis\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CTSysVol] G:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] G:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [AVGCtrl] "g:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "G:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] g:\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = G:\MSProject\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = G:\MSProject\Office\OSA.EXE
O4 - Global Startup: SiICfg.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - G:\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://G:\LeechGet 2002\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://G:\LeechGet 2002\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...75/mcfscan.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex...te/sdkinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3F43937-B6C6-4672-96D7-369C0F802213}: NameServer = 192.168.100.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
__________________

Alt 27.07.2004, 18:41   #4
VeniVidiVici
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



Hallo Ulf.Klaas,

habe dein posting gelesen und habe genau dasselbe problem. Mit Error 1308 und 1304 bei Installation von Office habe ich zu kämpfen.wie bist du weiterverfahren? hat sich das problem gelöst? wäre dankbar für eine hilfe.

Gruß

Alt 27.07.2004, 21:09   #5
*Christian*
Gast
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



@VeniVidiVici
Poste bitte mal ein HijackThis-Log!


Alt 13.08.2004, 21:32   #6
Ulf.Klaas
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



Hallo,

mein Problem hat sich immer noch nicht gelöst.
DLDR.Startpage installiert sich immer selbst und ich habe inzwischen ALLES probiert, den Trojaner zu entfernen.
Deswegen werde ich mal ein Image ziehen und die Reperatur des Systems mit der Windows-Installations CD anstossen.
Allerdings habe ich gerade kaum Zeit und bin froh, dass andere Anwendungen noch funktionieren.
Ist dein Problem behoben?

Alt 13.08.2004, 21:40   #7
Cidre
Administrator, a.D.
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



@ Ulf.Klaas
Poste nochmals ein neues Log-File, aber verändere nix daran, weder fixen noch löschen.
__________________
Gruß, Cidre


Alt 13.08.2004, 22:04   #8
MountainKing
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



Lass auch mal E-scan durchlaufen:

http://www.trojaner-board.de/42731-escan-anleitung.html

Ach ja, vorher mit clearprog allen temporären Müll entsorgen.

http://www.clearprog.de/

Geändert von MountainKing (13.08.2004 um 22:16 Uhr)

Alt 19.08.2004, 22:26   #9
Ulf.Klaas
 
Dldr.startpage Startpage/is - Standard

Dldr.startpage Startpage/is



Hi LEute,

danke erst mal für Eure Tipps. Aber es sieht echt nicht gut aus. Habe mal alle Vorschläge probiert, ist aber nichts... Vor allem kommt immer der Eintrag O18 in meinem Hijack-Logfile vor. Hier ist es:
Logfile of HijackThis v1.98.0
Scan saved at 23:24:16, on 19.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
g:\AVPersonal\AVGUARD.EXE
g:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\NMap\win\bin\nmapserv.exe
C:\WINDOWS\System32\NMSSvc.exe
G:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
G:\NETWOR~1\ssh\cygrunsrv.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\tcpsvcs.exe
c:\apache\APACHE.EXE
G:\NORTON~1\SPEEDD~1\nopdb.exe
G:\NetworkSimplicity\ssh\sshd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
G:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
G:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
G:\Logitech\iTouch\iTouch.exe
G:\D-Tools\daemon.exe
G:\AVPersonal\AVGNT.EXE
G:\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
G:\MSProject\Office\OSA.EXE
G:\RAIDTool\SiICfg.exe
G:\eMule.de\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] G:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] G:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [AVGCtrl] "g:\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "g:\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: Microsoft-Indexerstellung.lnk = G:\MSProject\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = G:\MSProject\Office\OSA.EXE
O4 - Global Startup: SiICfg.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092688476453
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...75/mcfscan.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex...te/sdkinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3F43937-B6C6-4672-96D7-369C0F802213}: NameServer = 192.168.100.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

Habt Ihr noch Tipps? Wäre dankbar!

Gruß,
Ulf

Antwort

Themen zu Dldr.startpage Startpage/is
abgesicherten modus, anfang, antivir, cd-rom, dateien, dll, ellung, entfernen, explorer, fehler, fehlermeldung, google, hijack, hijackthis, immer wieder, internet, internet explorer, löschen, meinem, microsoft, neu, neu installieren, ordner, problem, registry, scan, spielen, suche, system, trojaner, trojaner eingefangen, viren, viren entfernen, virus, windows-tool, zwei trojaner




Ähnliche Themen: Dldr.startpage Startpage/is


  1. win32/startpage.oie Trojaner + win32/startpage.oph Trojaner gefunden
    Log-Analyse und Auswertung - 19.02.2013 (22)
  2. Trojaner Fund TR/StartPage.PVU & TR/Dldr.Age.1171323 auf externer Festplatte
    Log-Analyse und Auswertung - 28.01.2011 (1)
  3. Trojaner TR/StartPage.3.1.B + TR/Dldr.Delf.ZU
    Plagegeister aller Art und deren Bekämpfung - 05.12.2005 (2)
  4. Startpage.ABB
    Log-Analyse und Auswertung - 19.04.2005 (2)
  5. StartPage.IG.
    Log-Analyse und Auswertung - 17.04.2005 (9)
  6. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  7. TR/StartPage.qr.DLL
    Plagegeister aller Art und deren Bekämpfung - 26.03.2005 (2)
  8. TR/StartPage.qr.DLL
    Plagegeister aller Art und deren Bekämpfung - 19.03.2005 (20)
  9. TR/startpage.qr.dll
    Log-Analyse und Auswertung - 06.03.2005 (1)
  10. TR\StartPage
    Log-Analyse und Auswertung - 25.02.2005 (8)
  11. StartPage.qr.dll
    Log-Analyse und Auswertung - 18.02.2005 (3)
  12. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 18.02.2005 (0)
  13. TR\startpage.qr.dll Was tun???
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (1)
  14. TR/StartPage.QC.1 und TR/Dldr.Small.OR unter WinXP
    Log-Analyse und Auswertung - 26.10.2004 (14)
  15. DLDR.Startpage *heul*
    Log-Analyse und Auswertung - 24.09.2004 (17)
  16. TR/StartPage.IG.1
    Log-Analyse und Auswertung - 23.07.2004 (3)
  17. TR/StartPage.IG.1
    Plagegeister aller Art und deren Bekämpfung - 14.07.2004 (8)

Zum Thema Dldr.startpage Startpage/is - Hallo, ich habe ein großes Problem: Kürzlich habe ich mir über den Internet Explorer 6.0 zwei Trojaner eingefangen: DLDR.STARTPAGE und STARTPAGE/IS. Diese wurden durch Antivir erkannt und gelöscht. Allerdings erwiesen - Dldr.startpage Startpage/is...
Archiv
Du betrachtest: Dldr.startpage Startpage/is auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.