W32.Trojan.Startpage.is Problem

acesulfam

Hallo,

ich habe ein riesen problem mit dem firmen pc meines vaters. Seit einigen tagen hat sich bei im der besagte virus/trojaner eingenistet und läßt sich nicht entfernen.

Auch unser it-berater hat sich bereits daran versucht, allerdings nur über standart-methode antiviren programm.

Gescannt wurde inzwischen über f-secure, norton und andere schnelltests.
F-secure ist der standartmäßige virenschutz und erkennt die infizierung eigentlich immer direkt, nur läßt er sich darüber nicht endgültig entfernen.

Nachdem ich beim googeln auf diese seite gestoßen bin, hab ich auch einen thread gefunden in dem es genau um diesen ging.
Dort hieß es nach posten eines logs: diesen und jenen eintrag entfernen, zusätzlich falls er eine stealth.dll hat auch über !findnfix! oder so prüfen.

Dies war ca der wortlaut, den originalen fred finde ich jetzt natürlich nicht mehr.

Leider habe ich diese anweisungen nicht ganz korrekt befolgt, stattdessen bin ich so vorgegegangen:
!findnfix! im abgesicherten mit eingabeaufforderung laufen lassen. Gehofft das er weg ist, leider nein.
Dann nen log erstellt und die gleichen 3 pkte wie im anderen thread gefixed, leider nicht im abgesicherten. Gehofft das er weg ist, leider nein.

So und nun steh ich da, bei weiterem loggen sind die entsprechenden einträge nun leider nicht mehr aufzufinden. Den ersten log könnte ich nachreichen, hab im moment leider keinen zugriff drauf.

Der nette trojan erscheint leider weiterhin irgendwann nachdem man den browser gestartet hat, und wird dann halt auch von f-secure gefischt.
Er sitzt immer im ordner windows/system32/ und hat unbestimmte buchstaben + .dll endung.

Das system ist win xp sp1 mit allen patches, der browser der flashpeak slimbrowser, der meines wissens aber hauptsächlich auf dem ie basiert.

So und nun erbitte ich mir von euch hilfe, der scheiß trojan beschäftigt mich schon den ganzen tag und ich bin echt am verzweifeln.

mfg
acesulfam

Dickes Edit

Habe nach unendlichem hin und her endlich den original post gefunden und zwar hier http://www.trojaner-board.de/showthr...4526#post64526
(habe was von einer boardumstellung gelesen, dabei scheint die thread id ungültig geworden zu sein, da ich über den original google link am firmen pc bei mir nix erreicht habe)

Und den log gibts nun auch dazu:

Logfile of HijackThis v1.98.2
Scan saved at 15:59:35, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCAPI.EXE
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\Programme\KEN!\KENWATCH.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\KEN!\kentbsrv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://192.168.0.12:3128/ken2000.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

http=192.168.0.12:3128;https=192.168.0.12:3128;ftp=192.168.0.12:3128;socks=192.168.0.12:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DA80CB7-7DA0-4700-8C2B-13FA71295199} - C:\WINDOWS\System32\mcg.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -

http://www.alloticket.com/MicroPaiem...WebInstall.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -

http://81.1.41.137/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local
O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer =

192.168.0.1,127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer =

192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local
O18 - Filter: text/html - {7530751D-70A2-4276-81A5-D8743BBB9EB6} - C:\WINDOWS\System32\mcg.dll
O18 - Filter: text/plain - {7530751D-70A2-4276-81A5-D8743BBB9EB6} - C:\WINDOWS\System32\mcg.dll

Gelöscht habe ich:
02 BHO no name no file etc
018 ..... mcg.dll
018 ..... mcg.dll

Hoffe das hilft euch weiter

P.S: Hatte dem kind ausversehen schon nen falschen namen gegeben, der macht mich echt fertig

Kleines Edit

Danke schonmal sd, den escan werde ich gleich morgen früh dann testen, das besorgen des logs und des threds hat mich jetzt endgültig gebrochen, unglaublich wie langsam eine remote sitzung sein kann
Ich weiß selber nicht wie er sich den eingefangen hat, ich persönlich habe noch nie probleme gehabt.