hi

mein antivir pe meldet mir immer wieder folgende schädlinge:

TR/StartPage.GV und gleich danach TR/StartPage.FW

soweit ich in erfahrung bringen konnte, ist das ding relativ harmlos und antivir pe löscht die beiden dinger auch immer brav - ich bekomme den alarm deswegen aber immer wieder, und zwar immer kurz nachdem ich meinen IE geöffnet habe. ich habe ja den verdacht, daß das teil irgendwas mit einem browser-hijacker zu tun hat, den ich vor kurzem endlich losgeworden bin.

langer rede kurzer sinn: wie bekomme ich's hin, daß das teil endgültig verschwindet? mein OS ist WinXP (falls das wichtig ist).

vielen dank im voraus für hilfe.

hallo.. am besten lädst du als erstes HijackThis runter, muss bei google nach dem download suchen.. dann postest du den log und dir kann geholfen werden.. schäzu ich jedenfalls..
weiterhin kannst du den cwshredder runterladen und mal die fp durchchecken.. viel erfolg..

Jo HighjackThis. Wenn de nix endeckst stell deine Log File hier rein. Irgendwer wird schon was finden. [img]graemlins/daumenhoch.gif[/img]

hi paulemsig,

ein wenig dürftige info´s, die du uns gibst.

wenn du immerwieder diese meldungen erhältst vom guard, kurz nach öffnen des msie´s, dann würde ich auf dateien im browsercache tippen, die nicht gelöscht wurden.

bitte via den internetoptionen über die systemsteuerung die "cookies", die dateien (auch offlinedateien)" und den "verlauf" leeren.

ansonsten bitte den genauen pfad der meldung posten.

Da ich das gleiche Problem habe poste ich einfach mal mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 13:13:53, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Commander Pro\UPServ.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Commander Pro\UPS.EXE
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\LEXWARE\LXOFFICE\bin\Lxoffice.exe
C:\Programme\Internet Explorer\iexplore.exe
N:\Daten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - Global Startup: financial office.lnk = C:\LEXWARE\LXOFFICE\bin\Lxoffice.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren (HKLM)


Während ich dieses Posting erstellt habe, kam die Meldung vom AV 3 MAL!!!

hi bern s,


was nützt das log, wenn ihr nicht x die grundlegendsten dinge hierreinpostet?

wo wird der wicht gefunden von deinem av-wächter? das sagt er dir doch klipp und klar!

bitte den pfad x aufschreiben und hierreinposten.

Nu reiss mir doch nicht gleich den Kopf ab.

Die erste Datei heisst *****.BIN und liegt in den Temporary internet files\content.ie5 die zweite wird immer unter c:\winnt\system32 gefunden und hat als endung dll. Der erste Teil des Namens wechselt ständig. Beide Male heisst es es wäre das Trojanische Pferd TR/StartPage.FW.

Die beiden Meldungen kommen grundsätzlich direkt nacheinander.

</font><blockquote>Zitat:</font><hr /> Nu reiss mir doch nicht gleich den Kopf ab.</font>[/QUOTE]mach ich gar nicht. ich bell meistens nur laut.

</font><blockquote>Zitat:</font><hr />
Die erste Datei heisst *****.BIN und liegt in den Temporary internet files\content.ie5 </font>[/QUOTE]na bitte, das hilft doch schon. bitte lösche deine temporären internet files (tif´s) über die internetoptionen. vorher browser schließen und vom i-net trennen.

start/systemsteuerung/i-netoptionen

cookies löschen
dateien löschen [haken auch bei "offlinedateien"]
verlauf leeren
alles mit "ok" bestätigen und das wäre der 1.teil.

</font><blockquote>Zitat:</font><hr />
die zweite wird immer unter c:\winnt\system32 gefunden und hat als endung dll.</font>[/QUOTE]und genau dieser name ist wichtig! schreibe dir diesen namen auf, starte dann dein system im "abgesicherten modus" (f8 drücken während des bootens) und lösche dann die dir genannte .dll aus dem verzeichnis. zur sicherheit, da hier der name nicht genannt wird, verschiebe sie erstx in den papierkorb (aber noch nicht löschen).
wiederhole zur sicherheit auch nochx den 1.teil und boote wieder in den normalen modus. scanne nochmals dein system und dann kannst du dich ja wieder ins internet wagen.

mache aber als erstes einen abstecher auf die updateseiten von mikkisoft, und schaue, ob´s für dich neue updates gibt.

warum das ganze im abgesicherten modus? weil die .dll im normalen modus noch geladen ist, und somit nicht zu entfernen.

Hallo MAV,

auf den Updateseiten war ich heute bereits, hat nichts gebracht. Die DLL, die er anzeigt scheint noch nicht geladen zu sein, die lässt sich nämlich ganz normal löschen. Es muss also noch eine weitere Datei geben, die geladen ist. Leider konnte ich im Taskmanager nichts ungewöhnliches entdecken. Habe das System danach nochmal mit Security Task Manager durchsucht. Einzige unklare Datei heisst resf.dll. Werde diese im abgesicherten Modus mal verschieben und mich dann nochmal melden

Gruß Bernd

Da bin ich wieder.
Die wars leider nicht.
Hat noch jemand eine Idee ?

befindet sich zufällig eine system32.dll auf deinem system? wenn ja, diese mal in den papierkorb schieben.

Soory das mit der Antwort hat etwas gedauert, aber ich war für ein paar Tage unterwegs. Eine datei namens system32.dll habe ich aber nicht gefunden. Sonst noch Vorschläge?


Gruß Bernd