Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner "Strartpage.ig.1" nicht zu eliminieren (https://www.trojaner-board.de/5969-trojaner-strartpage-ig-1-eliminieren.html)

langer 29.06.2004 10:54
Hallo allerseits :))

Ich habe ein Problem mit dem oben genannten Trojaner. Mit HijackThis kann ich zwar den Eintrag des Trojaners löschen aber er wird bei jedem neuen Start wieder neu installiert. Weiterhin hab ich schon in der Regestrie bei HKLM/.../RUN alle möglichen Einträge gelöscht die mir verdächtig vorkgekommen sind, aber der Trojaner wird immer wieder neu installiert.

Durch AntiVvir wird mir der Trojaner auch immer angezeigt und ich gebe an er soll gelöscht werden was aber mangels eines glockten Programmes in dem er sich versteckt nicht möglich ist. Auch wenn ich, wie es gefordert ist, direkt nach AntiVir den PC neu starte kann der Trojaner nicht gelöscht werden. Ich stelle euch ein Protokoll (soeben erstellt)von HijackThis ein. Ich hoffe ihr erkennt etwas was ich übersehen habe.

Hier das Protokoll: Der Virus ist der Eintrag im IE (213.159.117.132/index.phb) der Eintrag kommt insgesamt 6 mal vor.

Logfile of HijackThis v1.97.7
Scan saved at 11:57:21, on 29.06.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\INETUPD.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: http://%65%68%74%74%70%2E%63%63/?
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/

NUN DIE FRAGE ALLER FRAGEN WO VERSTECKT SICH DAS PROGRAMM WELCHES DEN VIRUS IMMER WIEDER NEU INSTALLIERT ???

Lutz 29.06.2004 11:09
Hallo langer und Willkommen,

lade Dir bitte eScan herunter (zu finden in meiner Signatur).
Boote dann im abgesicherten Modus den Rechner neu und 'fix'e die folgenden Einträge mit HijackThis:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h*tp://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = ht*p://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = ht*p://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = h*tp://homepage.com%00@www.e-finder.cc/search/ (obfuscated)

O13 - DefaultPrefix: h*tp://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: h*tp://%65%68%74%74%70%2E%63%63/? </font>[/QUOTE]Anschließend scanne Deinen Rechner mit eScan (Update wie im Link beschrieben nicht vergessen!), weiterhin im abgesicherten Modus.


Außerdem solltest Du Dich mal in einer ruhigen Minute mit dem anderen Link in meiner Signatur befassen... ;)

Radja 29.06.2004 11:25
TASKMON.EXE bitte auf folgender site checken lassen:

http://www.kaspersky.com/de/scanforvirus

bzw. auch mal schauen ob du folgende einträge in deiner reg findest:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"

gruss radja

jim2005 29.06.2004 11:29
@ Lutz:

Ich habe Kasperski. Kann ich gleichzeitig auch eScan installieren und dann eScan laufen lassen?

Radja 29.06.2004 11:32
@ lutz:

erkennt escan automatisch die rundll.exe und taskmon.exe oder ist es besser die beiden von hand zu entfernen sofern sie vom wurm überschrieben wurden??

Lutz 29.06.2004 11:48
</font><blockquote>Zitat:</font><hr />Original erstellt von jim2005:
@ Lutz:

Ich habe Kasperski. Kann ich gleichzeitig auch eScan installieren und dann eScan laufen lassen? </font>[/QUOTE]Zumindest auf meiner WIN98-Möhre mit KAV 4.5 klappt das ohne Probleme. Da aber beide Scanner auf die gleichen Virensignaturen zugreifen, ist dies eigentlich 'sinnfrei', vorrausgesetzt man nutzt jeweils die akutellsten Signaturen.

Lutz 29.06.2004 11:52
</font><blockquote>Zitat:</font><hr />Original erstellt von Radja:
@ lutz:

erkennt escan automatisch die rundll.exe und taskmon.exe oder ist es besser die beiden von hand zu entfernen sofern sie vom wurm überschrieben wurden?? </font>[/QUOTE]rundll.exe und taskmon.exe müssen unter win9x-Systemen nicht zwingend Malware sein. Ich würde diese Dateien nicht löschen, solange sie nicht eindeutig als infiziert erkannt werden.

Ein Online-Scan bei Kaspersky wird imho kein anderes Ergebnis bringen als ein (aktuelles) eScan...

Radja 29.06.2004 11:57
</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz:
rundll.exe und taskmon.exe müssen unter win9x-Systemen nicht zwingend Malware sein. </font>[/QUOTE]Stimmt! Habe jedoch gelesen, dass sie unter umständen überschrieben werden. Stimmt das?

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz:
Ein Online-Scan bei Kaspersky wird imho kein anderes Ergebnis bringen als ein (aktuelles) eScan... </font>[/QUOTE]..also was tun??

Lutz 29.06.2004 12:16
</font><blockquote>Zitat:</font><hr />..also was tun?? </font>[/QUOTE]Erst einmal die Ergebnisse von langer abwarten, würde ich sagen... ;)

langer 01.07.2004 12:20
Hallo da bin ich mal wieder :-))

Da ich auf dem infizierten Rechner den Beitrag von LUTZ leider nicht ausdrucken konnte, habe ich das ganze erst jetzt auf der Arbeit machen können. Ich habe mir auch erst jetzt das Programm "eScan", von Lutz empfohlen, herunterladen können, auch das war von dem infizierten Rechner nicht möglich. Ich danke vorab schon mal für die guten Beiträge und die Hilfe von euch allen. Wenn ich das Programm über den Rechner hab laufen lassen, dann poste ich natürlich die Ergebnisse hier. Soweit mal wieder von mir. Bis zum nächsten mal.

CIAO


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131