|
Hilfe?!? Trojaner TR/StartPage.IG reitet... Einen wunderschönen Samstag. Ich hatte vor 2 Stunden kurz (!!!) den InternetExplorer in Benutzung, und seitdem piept mein PC fröhlich vor sich her. Witzigerweise ist es der gleiche Trojaner (TR/StartPage.IG) den ich vor 1_1/2 Jahren schon einmal hatte (damals entnervt formatiert). Ich hoffe es gibt eine etwas klügere Alternative (BITTEBITTEBITTE). Hab schon ein wenig in den Foren gelesen, und hab im abgesicherten Modus (mit ausgeschalteter Systemwiederherstellung) den HiJackThis laufen lassen. Das ist das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:52:02, on 05.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE E:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: HTDP Class - {9E6EC32A-7C19-4409-99E8-FC980BCDAF26} - C:\WINDOWS\htass.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: EWX 2496 ControlPanel.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{49538968-7B14-4326-A2A5-05347F71950B}: NameServer = 217.237.151.161,217.5.100.129 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Wenn mir jemand sagen würde (bittquengelfleh) welche Kästchen ich mit Häckchen versehen muss (muss das auch wieder im abgesicherten Modus geschehen?) wäre das unbeschreiblich schön (formatieren bringt mir ZUVIEL Freude) Im Vorraus (danke für's lesen) tausend Dank Nicolas |
@Nico23 Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Log im Normalmodus erstellen, bei www.hijackthis.de auswerten, Fragen zur Auswertung hier posten. |
Sodelle, hab versucht mich an Deine Anleitung zu halten, hab also das R3 gefixt (im abgesicherten Modus) und dann das Logfile (aus dem normalen Modus) an die Adresse geschickt. Nach der Auswertung zu Folge habe ich dann eine unnötige dll gefixt (im normalen Modus). Hatte aber noch diverse '?' in der Liste. Nach Neustart (er piepte immernoch) war die zuvor gefixt dll (die laut antivir den Trojaner darstellt) wieder da. Folglich habe ich dann die dll im abgesicherten Modus nochmal gefixt. Und dann wieder neugestartet. Er piept noch... DLL ist auch wieder da. Tiefe innere Agressionen gegen meinen PC bauen sich auf (schnaub) Könnest Du mir nochmal helfen? BIIIIIIIIIIIIIIIIIIITTE!!! |
Hallo, Zitat:
Zitat:
Wann tritt es auf, beim Systemstart, aktiven Online Sitzung oder eventuell dauerhaft? Zitat:
Führe folgendes aus und poste auch nochmal ein HJT Log-File aus dem normalen Modus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Ich hatte mich auch weiter durch die Foren gelesen und stieß auf 'nen Beitrag von 00Kojak (letzte Änderung 13:36) bei dem Lutz auf zwei Dateien hinwies: O4 - HKCU\..\Run: [SPOOLSVU] C:\WINNT\system32\SPOOLSVU.EXE und O4 - HKCU\..\Run: [ALG32] C:\winnt\system32\ALG32.EXE Da mein LogFile exakt die gleichen Zeilen enthielt (inklusive der htass.dll) dachte ich in meiner sich annähernden Verzweiflung, dass es ja mal den Versuch wert wäre das gleiche zu tun (sprich die entsprechenden Dateien zu fixen) Das Ausbleiben des Piepsens (das Geräusch aus dem internen PC-Speaker wenn Antivir aufspringt) war besser als ein Orgasmus. Ich habe Antivir gerade nochmal drübergescheucht, und er findet nix mehr. Ich hoffe mein Problem ist gelöst!!! Ich habe allerdings meine Systemwiederherstellung noch deaktiviert, sollte ich sie wieder aktivieren? Nachdem es mir emotional und technologisch jetzt wieder besser geht, will ich ich nun nochmal ein riesen Dankeschön für meine 'Betreuung' aussprechen. Mit Haralds Worten 'Ihr macht hier einen RIESEN Job!!!' Kein Scheiss. DANKE. Nicolas |
Zitat:
Bitte immer daran denken, dass mit einer HijackThis-Analyse und anschließendem Fixen keine Dateien gelöscht werden können. Ergo, die beiden Dateien SPOOLSVU.EXE und ALG32.EXE befinden sich noch auf Deinem System! Bitte sende die beiden Dateien an www.malwareupload.com, oder alternativ (gezippt) via Mail an mich badfiles@bul-online.de... Anschließend lösche diese Dateien manuell. Ggf. im abgesicherten Modus. Offtopic: Zitat:
|
Sodelle, alles erledigt. Die Systemwiederherstellung kann ich ja jetzt wieder aktivieren, oder? Meine Freundin trägt's mit Fassung... Ich wünsch euch allen ein wunderschönes, restliches Wochenende, nochmal Danke für alles. Nicolas :juul: |
@Nico23 Die Systemwiederherstellung kann ich ja jetzt wieder aktivieren, oder? Ja chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board