Mahlzeit,

ich hab mir den Trojaner Trojan StartPage eingefangen.
Dummerweise konnte ich den genauen Namen nicht lesen, weil die Anzeige von Symantec zu kurz war.
Ich hab bislang folgendes unternommen:

-Hijackthis laufen lassen
-mit antivir und norton antivirus versucht das Ding ausfindig zu machen..

Ich hatte bislang folgende Probleme:

-Die Internetstartseite hat sich verändert
-Firewall wurde deaktiviert und ich muss sie erst manuell starten
-bei Norton Antivirus wurde die Auto Protect Funktion deaktiviert


Das schliesst alles auf diesen Trojan StartPage hin..
wie kann ich dieses Ding nun wieder los werden. Ich rätsel seit 2 Stunden..

DANKE!!

Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/

Zitat:

Zitat von *Christian*

Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/

Logfile of HijackThis v1.98.2
Scan saved at 22:29:21, on 12.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ntvdm.exe
D:\AVPersonal\AVGNT.EXE
D:\ZoneAlarm\zonealarm.exe
C:\WINDOWS\system32\wuauclt.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
D:\InternetStuff\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Anwender\Eigene Dateien\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O17 - HKLM\System\CCS\Services\Tcpip\..\{99E17CE1-9B1B-41E2-977B-E9324FD5BD07}: NameServer = 217.237.149.225 217.237.151.97



so das ist der LOG

Hallo Moose,

Dein Logfile sieht sauber aus. Du kannst aber Deinen Rechner - sicherheitshalber - mit dem eScan überprüfen:

Führe den eScan, online geupdatet, offline im abgesicherten Modus aus.

Der eScan ab Version 4.5.1 löscht gefundene Malware nicht automatisch. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

danke erstmal. ich guck mir das morgen mal an!

Ich hab mal kurz nen scan ohne abgesicherten Modus gemacht.
Gefunden wurden:

File C:\WINDOWS\system32]taskmngr.exe infected by ''Backdoor.Spyboter.gen'' Virus
File C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HSCZL9OH\bridgec-15[1].cab infected by ''not.a.virus:AdvWare.WinAD'' Virus
File C:\WINDOWS\system32]taskmngr.exe infected by ''Backdoor.Spyboter.gen'' Virus


Morgen also heute mach ich noch ein scan im abgesicherten Modus.
Was kann man über die Viren sagen?

ja das war alles.
Im Abgesicherten Modus wurden auch net mehr Viren gefunden.
Was mach ich jetzt? Ich kann ja die taskmngr.exe nicht löschen oder?

Hallo Moose,

Backdoor.Spyboter.gen ist auch bekannt unter dem Namen W32/Spybot-DB, es ist ein sehr gefährlicher Wurm: Sophos. Du wirst die taskmngr.exe löschen müssen. Vielleicht kann Dir jemand eine frische und saubere taskmngr.exe zum download bereitstellen? Wir brauchen eine taskmngr.exe für Windows XP SP2 (WinNT 5.01.2600).

Die Temporary Internet Files kannst Du von Hand leeren, das ist kein Problem.

SD

Okay, hab erstmal die viren runtergehauen. Wäre jetzt wirklich sehr nett, wenn jemand ne taskmngr.exe für mich hat.

Danke!

Warum?
Schon mal aufgefallen, dass der Taskmanager sich taskmgr.exe schreibt?

... @ Shadow ;-)

jetzt, wo Du es schreibst, ja ;-) Ok .. dann habt Ihr was zum schmunzeln und ich geh' mich schämen

SD

was bedeutet das nun genau?

Die windowseigene Datei heißt taskmgr.exe, kontrolliere ob die Malwaredatei wirklich taskmngr.exe heißt, wenn ja löschen! Diese Datei ist NICHT der Taskmanager (welcher ja taskmgr.exe heißt).
Die Datei taskmngr.exe ist nicht infiziert mit Malware, sondern sie IST Malware.

Okay, alles klar! Danke