Trojaner-Board - Dldr.startpage Startpage/is

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Dldr.startpage Startpage/is (https://www.trojaner-board.de/6401-dldr-startpage-startpage-is.html)

Dldr.startpage Startpage/is

Hallo,

ich habe ein großes Problem:

Kürzlich habe ich mir über den Internet Explorer 6.0 zwei Trojaner eingefangen: DLDR.STARTPAGE und STARTPAGE/IS. Diese wurden durch Antivir erkannt und gelöscht. Allerdings erwiesen sich diese Trojaner als äußert hartnäckig. Nach einer gewissen Zeit waren Sie wieder da. Wieder wollte ich den Virus mit Antivir löschen, aber mit dem selben Effekt: nach einer gewissen Zeit waren Sie wieder da. Zudem kam dann das Problem, dass Sie mein Office-Paket und meinen Explorer befallen haben. Jedesmal, wenn ich im System nach einer Datei gesucht habe, kam der Windows-Installer und brach mit einem Fehler ab. Auch wenn ich mein Office gestartet habe gab es diesen Effekt.

MERKMALE der Trojaner: Sie verändern die Startseite des IE, Verändern die Registry und befallen einige DLL'S. Zudem meldet sich der Windows-Installer und bricht mit einer Fehlermeldung ab.

Nach längeren Suchen bei Google fand ich folgende Tipps, die aber keinen Erfolg brachte:
-----------
1.) Systemwiederherstellung ausschalten
2.) System im abgesicherten Modus hochfahren.
3.) System mit Antivir scannen und befallene Dateien löschen.
-----------
1.) AdAware, CWShredder und alle möglichen Spyware-Tools benutzen und alles löschen. Mit HiJackThis System scannen und alles verdächtige löschen. Diese haben auch einiges gefunden. Ich habe diese gelöscht, aber war wohl nichts! Ich scanne immer wieder und finde Sie nach einiger Zeit wieder vor, lösche Sie, ... ->Teufelskreis
-----------
1.) Office deinstallieren und wieder installieren.
-----------
1.) Alle Servicepacks, Hotfixes, etc. einspielen (war davor schon geschehen)

Jetzt habe ich folgenden Systemzustand:
kein Office-Paket, keine Systemwiederherstellung und immer noch diese verdammten Viren auf meinem System. Tja, zudem kommt noch, dass ich mein System über das Windows-Tool nicht mehr herstellen kann, da ich am Anfang die Systemwiederherstellung ausgeschalten habe! Allerdings poppt der Windows-Installer nicht mehr hoch.

Wenn ich nun mein Office installieren will meldet er folgende Fehler (weiss die Fehlermeldungen nicht mehr ganz genau. Werde Sie gegen später genauer beschreiben):
1304 - OUTLCTL.DLL kann nicht in Ordern XYZ geschrieben werden. Überprüfen sie, ob sie auf diesen Ordner zugreifen könne.
Dachte ich mir: Gut, dann verzichte ich auf Outlook und installiere nur mal Word. Aber wieder der Fehler, diesmal mit der Datei PK-iregndwas.DLL.
Laut Google und Microsoft Knowledge Base liegt das eventuell an meinem Cache vom CD-Rom Laufwerk. Allerdings installiere ich mein Office übers Netz...

Jetzt weiss ich einfach nicht mehr weiter!
WEISS EINER WAS, WIE ICH DIESE VIREN ENTFERNEN KANN??? Mein System will ich einfach nicht neu installieren! Würde über einen Monat dauern!

Danke für jeden Hinweis!

poste mal dein hojackthis-log

Danke für die schnelle Antwort. Habe HiJAckThis laufen lassen und mit HiJackThis.de ausgewertet (s.u.). Alle komischen Prozesse habe ich gelöscht.
Die fragwürdigen Prozesse sind die meines RAID-Array, von Java und meiner Peripherie.
Wenn das Problem nochmal auftritt, dann führe ich das Tool nochmals aus und poste hier nochmal.

Die Outlook-Fehlermeldung lautet:
Fehler 1304. Fehler beim Schreiben in Datei: C:\Programme\Microsoft Office\Office10\OUTLCTL.DLL

Vielen Dank für die Hilfe!

-----------
Logfile of HijackThis v1.98.0
Scan saved at 17:59:02, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
g:\AVPersonal\AVGUARD.EXE
g:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\NMap\win\bin\nmapserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NMSSvc.exe
G:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
G:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
G:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
G:\NETWOR~1\ssh\cygrunsrv.exe
G:\Logitech\iTouch\iTouch.exe
G:\D-Tools\daemon.exe
G:\Logitech\MouseWare\system\em_exec.exe
G:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\tcpsvcs.exe
c:\apache\APACHE.EXE
G:\NORTON~1\SPEEDD~1\nopdb.exe
G:\MSProject\Office\OSA.EXE
G:\NetworkSimplicity\ssh\sshd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
G:\RAIDTool\SiICfg.exe
C:\Programme\Internet Explorer\iexplore.exe
G:\hijackthis\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CTSysVol] G:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] G:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [AVGCtrl] "g:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "G:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] g:\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = G:\MSProject\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = G:\MSProject\Office\OSA.EXE
O4 - Global Startup: SiICfg.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - G:\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://G:\LeechGet 2002\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://G:\LeechGet 2002\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...75/mcfscan.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex...te/sdkinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3F43937-B6C6-4672-96D7-369C0F802213}: NameServer = 192.168.100.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

Hallo Ulf.Klaas,

habe dein posting gelesen und habe genau dasselbe problem. Mit Error 1308 und 1304 bei Installation von Office habe ich zu kämpfen.wie bist du weiterverfahren? hat sich das problem gelöst? wäre dankbar für eine hilfe.

Gruß

@VeniVidiVici
Poste bitte mal ein HijackThis-Log!

Hallo,

mein Problem hat sich immer noch nicht gelöst.
DLDR.Startpage installiert sich immer selbst und ich habe inzwischen ALLES probiert, den Trojaner zu entfernen.
Deswegen werde ich mal ein Image ziehen und die Reperatur des Systems mit der Windows-Installations CD anstossen.
Allerdings habe ich gerade kaum Zeit und bin froh, dass andere Anwendungen noch funktionieren.
Ist dein Problem behoben?

@ Ulf.Klaas
Poste nochmals ein neues Log-File, aber verändere nix daran, weder fixen noch löschen.

Lass auch mal E-scan durchlaufen:

http://www.trojaner-board.de/42731-escan-anleitung.html

Ach ja, vorher mit clearprog allen temporären Müll entsorgen.

http://www.clearprog.de/

Hi LEute,

danke erst mal für Eure Tipps. Aber es sieht echt nicht gut aus. Habe mal alle Vorschläge probiert, ist aber nichts... Vor allem kommt immer der Eintrag O18 in meinem Hijack-Logfile vor. Hier ist es:
Logfile of HijackThis v1.98.0
Scan saved at 23:24:16, on 19.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
g:\AVPersonal\AVGUARD.EXE
g:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\NMap\win\bin\nmapserv.exe
C:\WINDOWS\System32\NMSSvc.exe
G:\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
G:\NETWOR~1\ssh\cygrunsrv.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\tcpsvcs.exe
c:\apache\APACHE.EXE
G:\NORTON~1\SPEEDD~1\nopdb.exe
G:\NetworkSimplicity\ssh\sshd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
G:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
G:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
G:\Logitech\iTouch\iTouch.exe
G:\D-Tools\daemon.exe
G:\AVPersonal\AVGNT.EXE
G:\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
G:\MSProject\Office\OSA.EXE
G:\RAIDTool\SiICfg.exe
G:\eMule.de\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] G:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] G:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [AVGCtrl] "g:\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "g:\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: Microsoft-Indexerstellung.lnk = G:\MSProject\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = G:\MSProject\Office\OSA.EXE
O4 - Global Startup: SiICfg.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092688476453
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...75/mcfscan.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex...te/sdkinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3F43937-B6C6-4672-96D7-369C0F802213}: NameServer = 192.168.100.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

Habt Ihr noch Tipps? Wäre dankbar!

Gruß,
Ulf