Trojaner-Board - Trojan.StartPage

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.StartPage (https://www.trojaner-board.de/12656-trojan-startpage.html)

Trojan.StartPage

Hallo!

Leider hats mich jetz auch erwischt. about-blank ist mein Standardbildschirm und ich hab ständig die Virus Warnung: Trojan.StartPage --> sp.dll!

Sobald ich Norton Anti-Virus öffne, bekomm ich diese Meldung! Im abgesichertien Modus ist ein Virus-Check, Anti-Spy oder Ad-Aware zwecklos! HiJack this lässt sich leider auch nirgend runterladen (Chip,usw.). Kann mir jemand nen Tip geben!

Danke schon mal...
Stefan

Hijack This

Zitat:

1. Neuen Ordner "HijackThis" auf "c:\" erstellen: C:\Programm\HijackThis
2. Direct download Hijack This.
3. Mit Zip-Programm in neuen Ordner entpacken: Anleitung
4. HJT Logfile erstellen und posten.

Versuchs mal hier.
http://www.majorgeeks.com/download3155.html

Meld dich, obs geklappt hat.

Jetz hats geklappt!!!!!!!!!!!!!!!!!!!!!! Und wie gehts weiter? Hab da nich wirklich so den Peil davon...

Logfile of HijackThis v1.99.0
Scan saved at 01:50:27, on 24.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\frxhser.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\frxhapp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
C:\Programme\eMule\emule.exe
C:\Dokumente und Einstellungen\Warta\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Warta\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Warta\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C222E427-1300-467A-B819-A4B5FA13BDA1} - C:\WINDOWS\System32\fdpdkm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [frxmxins] frxmxins
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunOnce: [FGLRXDetectPnPMonitor] rundll32 fglrxmon.dll,MonitorDetect
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Programme\NETGEAR\MA111v2 USB Adapter\MA111v2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0DCD2F01-9DBB-4259-8AD2-5C9C88AB596E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0DCD2F01-9DBB-4259-8AD2-5C9C88AB596E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.next-1.de/cab/axload.cab
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://rtl.midasplayer.de/midasa.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/gHQAp1SZ3M9G0AE...::/on-line.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...p1.0.0.8-2.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...006_cracks.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25157979...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104065347046
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O18 - Filter: text/html - {4D02F146-551E-40E8-81F2-2713D7F3D1AD} - C:\WINDOWS\System32\fdpdkm.dll
O18 - Filter: text/plain - {4D02F146-551E-40E8-81F2-2713D7F3D1AD} - C:\WINDOWS\System32\fdpdkm.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: FGLRXUtil - ATI Technologies, Inc. - C:\WINDOWS\System32\frxhser.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Malware auf dem System, mit eScan untersuchen

Zitat:

Neuen Ordner "bases" auf "c:\" erstellen. eScan downloaden. Mit Zip-Programm in neuen Ordner entpacken. Anleitung beachten. eScan online updaten, offline im abgesicherten Modus ausführen. Dauer des Scans ca 1 Stunde. Scan dient dem Aufspüren von Malware, wird bei kostenloser Version nicht entfernt. Das kann manuell erledigt werden.

Dies angeben:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

zuzüglich der Namen der Viren: "öffne die mwav.log (oder die mwXface.log) [im Ordner c:\bases] -> bearbeiten -> suchen -> infected eingeben -> weitersuchen -> Treffer markieren/kopieren -> ins Forum übertragen."

Zuallererst lädst du dirService Pack 2 runter.
Danach besuchst du www.windowsupdate.com und lädst dir zumindest alle wichtigen Updates.

Lasse folgende Dateien hier scannen und poste uns das Ergebnis:
C:\WINDOWS\System32\frxhser.exe
C:\WINDOWS\system32\frxhapp.exe

Lösche mittels Clearprog deine temporären Dateien.
Poste anschliessend einen neuen Log

hier die zwei gescannten dateien! ein windows-update kann ich nicht machen, da der virus alles blockiert. er lässt mich gar nich auf die windows-seite und sagt default. das passiert bei mehreren seiten, genau so wie bei der norton-seite. der escan im abgesicherten modus mach ich jetz glei!

Service load: 0% 100%

File: frxhser.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.24 seconds taken)
Avast No viruses found (1.59 seconds taken)
BitDefender No viruses found (0.84 seconds taken)
ClamAV No viruses found (0.73 seconds taken)
Dr.Web No viruses found (1.11 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus No viruses found (1.32 seconds taken)
mks_vir No viruses found (0.42 seconds taken)
NOD32 No viruses found (0.78 seconds taken)
Norman Virus Control No viruses found (0.55 seconds taken)

Service load: 0% 100%

File: frxhapp.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.38 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus No viruses found (0.65 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.42 seconds taken

Zitat:

Datei für AV-Signaturen einlesbar machen: C:\WINDOWS\System32\frxhser.exe gepackt, passwortgeschützt, Passwortangabe in der Mail, an partytime-germany.ice@web.de schicken, mit Hinweis auf den Thread.

eScan ausführen.

So, hier der escan bericht!

total files scanned: 4588
total virus found: 18

File C:\WINDOWS\System32\fdpdkm.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\fdpdkm.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\106250.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\110828.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\1108468.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\1340156.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\134281.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\2141734.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\2337546.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\2374968.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\79890.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\81171.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\855015.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\860359.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\ICD1.tmp\istactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gu" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\1E74LNX8\CABMXSTJ.HTM infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Warta\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\1E74LNX8\on-line[1].exe infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken.

was muß ich jetz machen?

ok... dann erledige noch dass:

1.cleanprog
-lade dir cleanprog runter und installiere es
-gehe in den abgesicherten modus

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Warta\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Warta\LOKALE~1\Temp\sp.dll/sp.html
O2 - BHO: (no name) - {C222E427-1300-467A-B819-A4B5FA13BDA1} - C:\WINDOWS\System32\fdpdkm.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [frxmxins] frxmxins
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.next-1.de/cab/axload.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/gHQAp1SZ3M9G0A...m::/on-line .exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...up1.0.0.8-2.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...0006_cracks.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O18 - Filter: text/html - {4D02F146-551E-40E8-81F2-2713D7F3D1AD} - C:\WINDOWS\System32\fdpdkm.dll
O18 - Filter: text/plain - {4D02F146-551E-40E8-81F2-2713D7F3D1AD} - C:\WINDOWS\System32\fdpdkm.dll

3.dateien löschen
-starte clearprog, mach einen haken hin bei "alles löschen", klicke auf löschen
-lösche die datei fdpdkm.dll im ordner C:\WINDOWS\System32\
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-poste ein neues hijackthis log