Trojaner-Board - TR/StartPage.up.DLL bekomme es nicht weg

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/StartPage.up.DLL bekomme es nicht weg (https://www.trojaner-board.de/15822-tr-startpage-up-dll-bekomme-weg.html)

TR/StartPage.up.DLL bekomme es nicht weg

hallo
kenn mich nicht so gut aus mit solchen sachen ,
aber bis hierhin hab ich es schon mal geschafft.
Hier ist der Inhalt des Hijack This Editor. Alles andere aus trojaner-info.de/hijacker/entfernung hat leider nicht geholfen. Cw Shredder hat nix befunden und spy bot hat mir vorher auch nicht helfen können.

Logfile of HijackThis v1.99.1
Scan saved at 12:19:26, on 24.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\SPOOLSV32.EXE
C:\WINDOWS\system32\ALGU.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack this.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ATDP Class - {E3D3AFEE-2172-4ef5-8509-1638AFFF0374} - C:\WINDOWS\atlassw.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SPOOLSV32] C:\WINDOWS\system32\SPOOLSV32.EXE
O4 - HKCU\..\Run: [ALGU] C:\WINDOWS\system32\ALGU.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B66FB63-9E13-4B67-8E06-DB233A6CBF69}: NameServer = 145.253.2.81 145.253.2.174
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

im voraus vielen Dank

Lass folgende Datei:

C:\WINDOWS\system32\SPOOLSV32.EXE

mal hier checken:
http://virusscan.jotti.org/de/

Teile uns das Ergebnis mit
http://www.trojaner-board.de/76731-i...-igfxtray.html

das ist dabei herausgekommen

Auslastung: 0% 100%

Datei: SPOOLSV32.EXE
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden (0.41 Sekunden)
Avast Keine Viren gefunden (1.53 Sekunden)
AVG Antivirus Keine Viren gefunden (0.56 Sekunden)
BitDefender Trojan.Dropper.Small.VB (0.53 Sekunden)
ClamAV Keine Viren gefunden (0.64 Sekunden)
Dr.Web Keine Viren gefunden (0.93 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.12 Sekunden)
Fortinet W32/StartPage.DU-tr (0.46 Sekunden)
Kaspersky Anti-Virus Trojan-Dropper.Win32.Small.vb (1.05 Sekunden)
mks_vir Keine Viren gefunden (0.30 Sekunden)
NOD32 Win32/StartPage.NBS1.gen (0.58 Sekunden)
Norman Virus Control Keine Viren gefunden (23.52 Sekunden)

Statistik
Zuletzt gefundene Malware war Trojan-Downloader.Win32.Agent.ex in loader2.ocx, gefunden von:

Scanner Name der Malware Dauer
AntiVir X 0.42 Sekunden
Avast X 1.52 Sekunden
AVG Antivirus X 0.55 Sekunden
BitDefender X 0.54 Sekunden
ClamAV X 0.62 Sekunden
Dr.Web X 0.93 Sekunden
F-Prot Antivirus X 0.09 Sekunden
Fortinet X 0.50 Sekunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.ex 1.03 Sekunden
mks_vir X 0.24 Sekunden
NOD32 X 0.48 Sekunden
Norman Virus Control X 0.23 Sekunden

Hallo gilli,

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung
http://www.systemwiederherstellung-d...indows-xp.html
und fixe (Scan mit Hijackthis, Häckchen vor Einträgen und auf fix checked klicken):

O2 - BHO: ATDP Class - {E3D3AFEE-2172-4ef5-8509-1638AFFF0374} - C:\WINDOWS\atlassw.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SPOOLSV32] C:\WINDOWS\system32\SPOOLSV32.EXE
O4 - HKCU\..\Run: [ALGU] C:\WINDOWS\system32\ALGU.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Falls Du dies mit Spybot nicht veranlasst hast ebenfalls:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Folgende Dateien manuell löschen:

C:\WINDOWS\system32\SPOOLSV32.EXE
C:\WINDOWS\system32\ALGU.EXE

Neustart-->Systemwiederherstellung aktivieren

dartus

Vielen Dank erstmal, es scheint wieder alles in Ordnung. Zumindest Antivir bringt keine Meldungen mehr und findet auch nix mehr, aber da ich mir noch nicht so 100% sicher bin, weil bei "e-scan" noch was gefunden worden ist habe ich hier noch was zum durchgucken.
Danke abermals im voraus.

Logfile of HijackThis v1.99.1
Scan saved at 13:06:06, on 31.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijack this.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {D6AC8D1E-2C61-456F-AC51-8B73D2389B96} - C:\WINDOWS\system32\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D6AC8D1E-2C61-456F-AC51-8B73D2389B96} - C:\WINDOWS\system32\wldr.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Microsoft AntiSpyware helper - {D6AC8D1E-2C61-456F-AC51-8B73D2389B96} - C:\WINDOWS\system32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D6AC8D1E-2C61-456F-AC51-8B73D2389B96} - C:\WINDOWS\system32\wldr.dll (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B66FB63-9E13-4B67-8E06-DB233A6CBF69}: NameServer = 145.253.2.81 145.253.2.174
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hallo gilli,

was hat escan noch gefunden?

Die "09"-Einträge mit --> (file missing) kannst Du noch fixen.
Ansonsten ist meines Erachtens nichts auffälliges zu sehen.

dartus

P.s. Benutze zum Surfen einen sicheren Browser und hier noch Lesenswertes, insbesondere die "12-Punkte".

escan:
File C:\Programme\AVPersonal\INFECTED\ATLASS.DLL.VIR infected by "Trojan-Downloader.Win32.Small.aai"Virus. Action Taken.No ActionTaken.
File C:\Programme\AVPersonal\INFECTED\ATLASSW.DLL.VIR infected by "Trojan-Downloader.Win32.Small.aai"Virus. Action Taken.No ActionTaken.
File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.kf"Virus. Action Taken.No ActionTaken.

Ausserdem findet Antivir immer wieder was, und zwar:
TR/Drop.Small.VB
kann es dann löschen; dann findet er nix mehr und am nächsten Tag bringt er wieder die gleiche Meldung
Drum bitte is jetzt alles in Ordnung oder nicht????
Danke

Hallo gilli,

leere den Antivir-Quarantäne-Ordner.

Zitat:

Ausserdem findet Antivir immer wieder was, und zwar:
TR/Drop.Small.VB

Welche Datei ist das und wo (Pfad) befindet sie sich?

dartus

Vielen Dank
Habe Antivir während und nach dem Internetbesuch durchlaufen lassen, und es wurde nix mehr gefunden.
Hoffe nicht bald wieder so ein Problem zu haben und versuche die Ratschläge einzuhalten.
Servus :daumenhoc