Trojaner-Board - Trojanisches Pferd TR/StartPage.IG.1 HILFE!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojanisches Pferd TR/StartPage.IG.1 HILFE!!! (https://www.trojaner-board.de/6306-trojanisches-pferd-tr-startpage-ig-1-hilfe.html)

Trojanisches Pferd TR/StartPage.IG.1 HILFE!!!

ich brauche ganz dringend eure hilfe....... hab seit ein paar tagen dieses trojanische pferd.... und mein anti-vir lässt mich gar nicht mehr in ruhe... kann die start-seite vom IE nicht mehr ändern.... hab schon sämtliche programme runtergeladen, die angeblich auch irgendwas repariert haben.... nur nicht das!! :(
hab jetzt mal hijack this durchlaufen lassen... und so’ne datei erstellt......... auswerten lassen..... alles böse gelöscht.... und immerhin kann ich die startseite wieder ändern...... ABER dieses scheiß-teil ist wohl immer noch drauf..... und zwar heißt die datei ‚hosts’ und ist nach zwei sekunden wieder da......

und nu?!
nik

Puh ..... erstmal willkommen im Forum!

Deinen Hijacker sollten wir entfernen können - ja.

Dazu poste bitte mal ein HijackThis-Log hierein.

ja sorry....... hallo erstmal..... :)
also schonmal vielen dank..... hab gestern die log-datei auswerten lassen und dann ein paar sachen gelöscht...... und bisher sieht es ganz gut aus...... aber wirklich sicher fühle ich mich noch nicht.......... rechne jeden moment damit, dass wieder ne meldung kommt....
hab mir dann auch gleich noch diesen mozilla-browser geladen....... hab irgendwo gelesen, dass der besser wäre als der ie..?!

@Dr.Spin

Zitat:

hab mir dann auch gleich noch diesen mozilla-browser geladen....... hab irgendwo gelesen, dass der besser wäre als der ie..?!

:aplaus: Auf jeden Fall besser als der IE

Zitat:

Zitat von dr-spin

ICH BRAUCHE AUCH GANZ GANZ DRINGEND EURE HILFE!!!!
Ich habe auch ein trojanisches Pferd und dieses will ich beseitigen!
Ich fände es super nett wenn mir jetzt gleich noch jemand helfen könnte...^^ danke
Ps.: ich habe mir jetzt auch diesen browser runtergeladen ...aber ich weiß net wie der funzelt...^^
cYa danke für die hilfe..

@HILFE for m3

Hallo,
lade dir Hijackthis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier.

Welchen Trojaner (Name des Trojaners) hast du den mit welchem Programm wo gefunden?

Hi Leute!
Ich hoffe ihr könnt mir helfen. Ich habe auch probleme mit dem startpage virus! hier ist das Log File:

Logfile of HijackThis v1.98.2
Scan saved at 12:59:03, on 24.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svxhost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\winmplayer.exe
C:\WINDOWS\System32\memstat.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Mörchen\Desktop\HijackThis.exe
C:\Uninstall.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MÖRCHEN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MÖRCHEN\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MÖRCHEN\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MÖRCHEN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MÖRCHEN\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MÖRCHEN\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=Userinit.exe,_huytam_
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] memstat.exe
O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/31381/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{47D3793E-A5C7-4400-B9DC-4D0541FBE617}: NameServer = 194.97.173.125 194.97.173.124
O18 - Filter: text/html - {05B6724A-F399-4E6E-98B3-53621D46CB9E} - C:\WINDOWS\System32\bdpbdh.dll
O18 - Filter: text/plain - {05B6724A-F399-4E6E-98B3-53621D46CB9E} - C:\WINDOWS\System32\bdpbdh.dll

Hallo,

du hast nicht nur einen Browser Hijacker on Board, sondern auch sehr viele gefährliche Backdoor Trojaner!

Der Grund hierfür liegt an deinem nicht gepatchten System, auch wenn du noch soviel Sicherheitssoftware installierst, es hilft nichts.
Updates und Patches sind für ein sicheres System unerlässlich.

Zitat:

C:\WINDOWS\System32\svxhost.exe

W32/Forbot-K

Zitat:

# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus
# Wird für DOS-Attacken verwendet

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\winmplayer.exe
C:\WINDOWS\System32\memstat.exe

Die sicherste Lösung, um wieder einen vertrauenswürdigen Zustand herzustellen, findest du hier:
http://www.trojaner-board.de/showpos...28&postcount=2

danke erstmal! Die Seite : http://virusscan.jotti.org/de öffnet sich bei mir nicht. Ich überlege auch daran, dass System komplett neu drauf zu machen. Welche patches bzw. sicherheitsprogramme benötige ich denn, damit nicht wieder backdoor trojaner usw. den Pc zerstören? Ich hatte auch nur antivir auf dem PC? das erkennt den trojaner, aber löscht ihn anscheinend nicht.

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

@ DJ-MC

Zitat:

Welche patches bzw. sicherheitsprogramme benötige ich denn, damit nicht wieder backdoor trojaner usw. den Pc zerstören? Ich hatte auch nur antivir auf dem PC? das erkennt den trojaner, aber löscht ihn anscheinend nicht.

Diese Fragen hätten sich erübrigt, wenn du mein Posting genau gelesen hättest.

Zitat:

Die sicherste Lösung, um wieder einen vertrauenswürdigen Zustand herzustellen, findest du hier:
http://www.trojaner-board.de/showpo...228&postcount=2

Unter diesem Link findest du weitere sinnvolle Links, wie z.B.
http://faq.underflow.de/#SECTION000110000000000000000
oder auch diesen
http://www.mathematik.uni-marburg.de...ompromise.html
Speziell 5.5 und 5.6 lesen.

Hey Leute...
ich krieg diesen selben trojaner auch nciht weg...egalö was ich verscuhe...kann mir das bitte bitte nochmal jm erklären..wäre echt supercool weil ich habe da keine ahnung von..
also der heißt TR/StartPage.IG..
Vielen Dank Nina

Hallo Ninalein,

eröffne einen eigenen Beitrag. Lade Dir Hijackthis 1.99 und poste ein Logfile. :)
Erläutere dann Dein Problem.

dartus

Zitat:

Zitat von Ninalein

Hallo Nina,

ich hatte denselben vermaledeiten kleinen Fiesling auf meinem Rechner. Zwei Einträge im Hijackthis-Logfile wiesen die Spur:

... C:\WINDOWS\SEHLP.DLL
... C:\WINDOWS\SYSTEM32\CSRSSU.EXE

Ausserdem listete Hijackthis die Datei CTFMON32.EXE auf, die sich allerdings nicht (mehr?) auf meinem Rechner befand. Für das ständige Laden der DLL, einhergehend mit dem dadurch unaufhörlichen Anspringen des Virenscanners, verantwortlich ist offenbar die CSRSSU.EXE.

Meine Vorgehensweise:

1. Systemwiederherstellung ausschalten (START -> HILFE/SUPPORT -> SYSTEMWIEDERHERSTELLUNG -> EINSTELLUNGEN)
2. System neu booten / beim Hochfahren F8 drücken -> ABGESICHERTER MODUS
3. anmelden als Administrator
4. Hijackthis loshetzen -> SCAN + LOGFILE -> vor den Einträgen mit SEHLP.DLL und CSRSSU.EXE (und ggf. CTFMON32.EXE, aber nicht verwechseln mit CTFMON.EXE!) Häkchen setzen -> FIX CHECKED klicken
5. System neu booten, jetzt im normalen Modus
6. Systemwiederherstellung wieder aktivieren, fertig!

So hat es zumindest bei mir funktioniert, seitdem läuft es einwandfrei. Möglicherweise kannst du auch die CSRSSU.EXE (die offenbar für das Laden der DLL verantwortlich ist) per Hand löschen oder umbenennen, dann Systemwiederherstellung aus, ab in den abgesicherten Modus, Hijackthis drüber (dürfte nur noch SEHLP.DLL anzeigen), fixen, neu booten, Systemwiederherstellung aktivieren.

Gruss,
Sam.