Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Win32.StartPage.is (https://www.trojaner-board.de/1211-trojan-win32-startpage-is.html)

Plansch 29.06.2004 14:23

hallo hab mich mit diesem plagegeist rumzuschlagen Trojan.Win32.StartPage.is hab bei intensiver suche über google jegliche varianten dieses wurms gefunden nur leider nicht die .is variante kann mir jemand einen tip geben.

desweiteren hatte ich diesen virus wurm worum es sich auch immer handelt eigentlich schon entfernt nur das prob ist das er nach einer bestimmten zeit wieder von kaspersky indentifiziert wird.

das betriebssystem ist übrigens win 2k servicepack 4 und alle win updates sind installiert. ich werde noch den log von kaspersky mit posten und einen screenshot den ich grad vor 2 min gemacht habe für euch bereitstellen, sehr verwunderlich ist hier der fundort den kaspersky angibt, siehe screenshot

so nun noch der log:
#Dienstag, 29. Juni 2004, 07:35:54
;
;
; Report-Datei erstellen = Ja
; Datei speichern unter = avpm.rpt
; Informationen über komprimierte Dateien im Report anzeigen = Nein
; Informationen über saubere Objekte im Report anzeigen = Nein
; Anhängen = Nein
; Maximale Größe festlegen auf (KB) = Ja
; Maximale Größe = 2048
; Vorgehen bei Virus-Fund: = Verschieben nach Ordner
; = Infected
; Quarantäne aktivieren = Ja
; Löschen oder Umbenennen von infizierten zusammengesetzten Dateien aktivieren = Ja
; Maximale Größe der Archive u.ä. Dateien beschränken auf(Kb) = Ja
; Maximale Größe = 4096
;
;
;
; "Arbeitsplatz"
; Ausführung aktivieren = Ja
; Vorgehen bei Virus-Fund: = Benutzer fragen
; Wechseldatenträger scannen = Ja
; Lokale Festplatten scannen = Ja
; Netzlaufwerke scannen = Ja
; Dateien der folgenden Arten scannen: = Alle infizierbaren
; Nach Maske ausschließen = Nein
; Sektoren scannen = Ja
; Arbeitsspeicher scannen = Ja
; Zusammengesetzte Dateien scannen: = Ja
; Archive = Nein
; SFX Archive = Ja
; Mail-Datenbanken = Nein
; Text-Mail-Formate = Nein
; Eingebettete Objekte = Ja
; Code Analyzer aktivieren = Ja
;
; "Netzwerkumgebung"
; Ausführung aktivieren = Ja
; Vorgehen bei Virus-Fund: = Benutzer fragen
; Dateien der folgenden Arten scannen: = Alle infizierbaren
; Nach Maske ausschließen = Nein
; Zusammengesetzte Dateien scannen: = Ja
; Archive = Nein
; SFX Archive = Ja
; Mail-Datenbanken = Nein
; Text-Mail-Formate = Nein
; Eingebettete Objekte = Ja
; Code Analyzer aktivieren = Ja
;
;
<200.1000.10201.2.103>
OK Warnung Verdacht Infiziert <200.904.1204.1304.e04>
Desinfiziert Gelöscht Umbenannt Verschoben <200.b04.d04.c04.2204>
Wird nach dem Neustart gelöscht Wird nach dem Neustart umbenannt Desinfektion erfolglos Komprimiert <200.1b04.1a04.a04.1004>
Archiv Verschlüsselt Beschädigt Unbekanntes Format <200.1104.f04.704.1404>
Durch Kennwort geschützt Durch einen anderen Prozess gesperrt Lesezugriff verweigert Zu wenig Platz auf der Festplatte <200.804.304.504.604>
E/A-Fehler Nicht vorhanden Kernel-Fehler Oberflächen-Fehler <200.404.1c04.204.104>
Objekt Ergebnis Beschreibung <100.3c00000c.f000018.19000010>

C:\WINNT\system32\lde.dll Infiziert Trojan.Win32.StartPage.is <cd0000.0.e>
C:\WINNT\system32\lde.dll Verschoben Trojan.Win32.StartPage.is <0.0.22>
C:\WINNT\system32\lde.dll Desinfektion erfolglos Trojan.Win32.StartPage.is <c90000.0.a>
C:\WINNT\system32\lde.dll E/A-Fehler Erfolgreich <d50000.0.4>


so ich hoffe es findet sich jemand der mir helfen kann vielen dank im voraus schonmal.

gruss Plansch

Lutz 29.06.2004 15:30

Hallo Plansch,

wenn Du zu der 'is-Variante' nichts mit Google findest, liegt das sehr wahrscheinlich daran, dass die noch sehr frisch ist... Ohne nachgeschaut zu haben, handelt es sich hier um eine weitere Hijacker-Variante.

Der Fundort, den Du angegeben hast ist nicht ungewöhnlich:
</font><blockquote>Zitat:</font><hr /> Vorgehen bei Virus-Fund: = Verschieben nach Ordner = Infected </font>[/QUOTE]Leere diesen Ordner mal.

</font><blockquote>Zitat:</font><hr /> C:\WINNT\system32\lde.dll Infiziert Trojan.Win32.StartPage.is &lt;cd0000.0.e&gt;
C:\WINNT\system32\lde.dll Verschoben Trojan.Win32.StartPage.is &lt;0.0.22&gt;
C:\WINNT\system32\lde.dll Desinfektion erfolglos Trojan.Win32.StartPage.is &lt;c90000.0.a&gt;
C:\WINNT\system32\lde.dll E/A-Fehler Erfolgreich &lt;d50000.0.4&gt;
</font>[/QUOTE]Versuch mal, die Datei im abesicherten Modus zu löschen.

Plansch 01.07.2004 12:20

so hab das prob in den griff bekommen denk ich mal, zumindest hat kaspersky sich nicht mehr gemeldet, so und nu an den jenigen der mir eine PM geschickt hatte und die infizierte datei zum analysieren haben wollte, leider ist die PM nimmer da weiss nicht obs daran liegt das daß board verschoben wurde also bitte nochmal melden.

Greetz Plansch


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131