hab jetzt an nem anderen rechner gekuckt und glatt noch nen trojaner gefunden
virenscanner sagt:

D:\System Volume Information\_restore{52854A45-BF0B-4575-9A86-89F8AF737F1F}\RP41
A0043745.dll
[FUND!] Ist das Trojanische Pferd TR/StartPage.GV
WURDE GELÖSCHT!
A0043746.dll
[FUND!] Ist das Trojanische Pferd TR/StartPage.GV
WURDE GELÖSCHT!

hijack this sagt das:

Logfile of HijackThis v1.97.7
Scan saved at 16:29:37, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Personal Firewall\UmxAgent.exe
C:\Programme\Tiny Personal Firewall\UmxTray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\spiele\Starcraft\starcraft.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\ziptools 2004\coolwebsearch\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.map24.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Run WinHTTrack (HKLM)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{F39C36C0-F237-418B-B766-CB203DDA92D1}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE6B5D20-CEF8-48F8-ABB9-2C62531051B5}: NameServer = 192.168.1.1


updates (sp2 und ie) sind in arbeit
dauert nur sp2 zu saugen etc

@wedontknow
lade dir bitte den aktuellen version von HJT
www.hijackthis.de
poste bitte dann ein neues Logfile
hier noch was zum lesen
http://www.pestpatrol.com/pestinfo/t...artpage_gv.asp
chaosman

in der info zum trojaner steht nur das er ie reroutet
ich benutz nur firefox

ausser fuer www.map24.de da hab ich immer ie an



hier dsa neue log:

Logfile of HijackThis v1.98.2
Scan saved at 16:51:30, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Personal Firewall\UmxAgent.exe
C:\Programme\Tiny Personal Firewall\UmxTray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\spiele\Starcraft\starcraft.exe
D:\ziptools 2004\coolwebsearch\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.map24.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F39C36C0-F237-418B-B766-CB203DDA92D1}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE6B5D20-CEF8-48F8-ABB9-2C62531051B5}: NameServer = 192.168.1.1

@wedontknow

sp2 gab es als cd bei vielen computermagazinen
die zwei sind im system
http://www.sophos.de/virusinfo/analy...trillianb.html



du könntest bei www.clearprog.de noch clearprog downloaden und laufen lassen
Verlauf, Cookies, und Temporary Internet Files löschen

diesen hier online überprüfen lassen
D:\System Volume Information\_restore{52854A45-BF0B-4575-9A86-89F8AF737F1F}\RP41
A0043745.dll
und zwar hier http://virusscan.jotti.org/de
danach diesen datei in den abgesicherten modus manuell löschen.
chaosman

Zitat:

Zitat von chaosman

@wedontknow

sp2 gab es als cd bei vielen computermagazinen
dein logfile schaut unauffällig aus

du könntest bei www.clearprog.de noch clearprog downloaden und laufen lassen
Verlauf, Cookies, und Temporary Internet Files löschen

diesen hier online überprüfen lassen
D:\System Volume Information\_restore{52854A45-BF0B-4575-9A86-89F8AF737F1F}\RP41
A0043745.dll
und zwar hier http://virusscan.jotti.org/de
danach diesen datei in den abgesicherten modus manuell löschen.
chaosman

ich ahb die datei schon loeschen lassen als ich den virenscanner laufen lassen hatte

am besten reboote ich mal und kuck obs wieder da ist (was ich fast vermute)

@wedontknow
die zwei sind dein problem
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe

deaktiviere dein systemwiederherstellung
wechsle in den abgesicherten modus, und lösche manuell
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe

neu starten, systemwiederherstellung aktivieren
neues HJT logfile posten

Habe die 2 beim ersten mal übersehen, dachte sie gehören zur Tiny Firewall
chaosman

Zitat:

Zitat von chaosman

@wedontknow
die zwei sind dein problem
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe

deaktiviere dein systemwiederherstellung
wechsle in den abgesicherten modus, und lösche manuell
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe

neu starten, systemwiederherstellung aktivieren
neues HJT logfile posten

Habe die 2 beim ersten mal übersehen, dachte sie gehören zur Tiny Firewall
chaosman

hab das auch vermutet,
bei den beiden datein steht folgendes mit dazu:

UmxPol.exe
TPF Policy Manager Service
Tiny Software, Inc.

UmxCfg.exe
UmxCfg Configuration Engine
Tiny Software, Inc.


ka ich kenn sie nicht, sagt mir auch nix
allerdings sind in dem ordner auch datein von der firewall
und dann auch noch das "tiny software" etc
aber kann ja auch gefaked sein

@wedontknow
vielleicht verträgt sich Tiny nicht mit AVGuard
wäre nicht das erste mal, dass solche programme von unterschiedliche Hersteller sich nicht mögen. dann hast du meistens viele fehlermeldungen.
gebe die beide dateien doch mal in google ein
chaosman

Zitat:

Zitat von chaosman

@wedontknow
vielleicht verträgt sich Tiny nicht mit AVGuard
wäre nicht das erste mal, dass solche programme von unterschiedliche Hersteller sich nicht mögen. dann hast du meistens viele fehlermeldungen.
gebe die beide dateien doch mal in google ein
chaosman

hm google spuckt ne menge foren aus in denen leute logs gepostet haben die die selben datein enthalten
werden dort weiter nicht angesprochen

@wedontknow
dann vermute ich das die 2 programme sich nicht vertragen.

dann must du u.U. nach eine andere lösung, sprich programme, umschauen.
ichselber bevorzuge FW und Antivirenprogramm von der gleiche hersteller, ist aber eine teuere lösung.
ist auch hier im board umstritten.

chaosman

Zitat:

Zitat von chaosman

@wedontknow
dann vermute ich das die 2 programme sich nicht vertragen.

dann must du u.U. nach eine andere lösung, sprich programme, umschauen.
ichselber bevorzuge FW und Antivirenprogramm von der gleiche hersteller, ist aber eine teuere lösung.
ist auch hier im board umstritten.

chaosman

naja solang ich weiss das es kein trojaner oä ist hab ich kein problem damit

ich werd jetzt noch paar progs drueberlaufen lassen und dann mal kucken ob sich nochwas tut

danke schonmal