Trojaner-Board - TR/StartPage.aop.8

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/StartPage.aop.8 (https://www.trojaner-board.de/40277-tr-startpage-aop-8-a.html)

TR/StartPage.aop.8

Ich habe heute nach dem Programm Cool Edit Pro gesucht, und es von der Seite
h**p://deutsch.eazel.com/lv/group/view/kl36218/Cool_Edit_Pro.htm
runtergeladen, die Datei auch ausgeführt und das Programm installiert.

Als ich einige Zeit später mein Antivir updatete, bekam ich folgende Meldung:

"In der Datei 'D:\installer-24029-32-Cool-Edit-Pro-2-1-Deutsch.exe' wurde ein Virus oder unerwünschtes Programm 'TR/StartPage.aop.8' [TR/StartPage.aop.8] gefunden."

Ich habe zu diesem speziellen Trojaner über Google nichts gefunden, die Datei ist auf der entsprechenden Downloadseite komischerweise nichtmehr verfügbar. Ein Antivir-Suchlauf hat außer im Firefox-Cache nichtsmehr gefunden.

Hat jemand Informationen über StartPage.aop.8 oder darüber ob die Seite "eazel.com" vertrauenswürdig ist, und kann mir vielleicht sagen wie ich jetzt weiter verfahren sollte?

Vielen Dank!

Hm, ist recht schwer zu sagen, ob dort wirklich ein Schädling drin ist oder ob es nur ein Fehlalarm war. Eazel.com macht auf mich zwar keinen vertrauensunwürdigen Eindruck, aber es hat sich bewährt, Software nur von der Herstellerseite zu laden. Bei genauerem Blick ist es etwas merkwürdig, hab auch mal testweise eine Installdatei von WinRAR dort heruntergeladen, und die hat die gleiche größe wie von dem CoolEdit.
Ich hab mal spaßeshalber die Setupdatei heruntergeladen (ist noch downloadbar über den eazel.com-Link), und bei Virustotal auswerten lassen, einige Virenscanner sprangen dort an mit der Meldung "suspicious file" (verdächtige Datei) oder so ähnlich.

Ich würde an deiner Stelle erstmal *.eazel.com meiden. Poste doch auch mal bitte ein Hijackthis-Logfile.

Dass die Dateien alle die gleiche Größe haben, liegt daran, dass es jeweils nur eine Art Downloadmanager ist, der die eigentlichen Installationsdateien für die Programme dann runterlädt und gleich ausführt.

---

Logfile of HijackThis v1.99.1
Scan saved at 11:49:34, on 25.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
D:\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\system32\ctfmon.exe
D:\mIRC\mirc.exe
D:\FIREFOX\FIREFOX.EXE
D:\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\1] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\atl.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\2] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\cpeaut32.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\3] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msjet35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\4] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msrd2x35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\5] C:\WINDOWS\system32\REGSVR32.EXE /s D:\OrCAD_Demo\Capture\pipspice.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\6] D:\OrCAD_Demo\PSpice\pspice.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\7] D:\OrCAD_Demo\PSpice\stmed.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\8] D:\OrCAD_Demo\PSpice\modeled.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\9] D:\OrCAD_Demo\PSpice\optimize.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\10] D:\OrCAD_Demo\PSpice\simsrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\11] D:\OrCAD_Demo\PSpice\mrksrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\12] D:\OrCAD_Demo\PSpice\appmgr.exe /regserver
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138526031187
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Zitat:

O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\1] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\atl.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\2] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\cpeaut32.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\3] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msjet35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\4] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msrd2x35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\5] C:\WINDOWS\system32\REGSVR32.EXE /s D:\OrCAD_Demo\Capture\pipspice.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\6] D:\OrCAD_Demo\PSpice\pspice.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\7] D:\OrCAD_Demo\PSpice\stmed.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\8] D:\OrCAD_Demo\PSpice\modeled.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\9] D:\OrCAD_Demo\PSpice\optimize.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\10] D:\OrCAD_Demo\PSpice\simsrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\11] D:\OrCAD_Demo\PSpice\mrksrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\12] D:\OrCAD_Demo\PSpice\appmgr.exe /regserver

Ja hallo :eek: was sind das denn für Einträge?
Hastdu zufällig die Software PSpice Student 9.1 installiert, den Rechner noch nicht neu gebootet und dann das HJT-Logfile erstellt?

Moin cosinus,

zur Info :
Orcad ist ein Cad Programm aus der Richtung Elektrotechnik (ich durfte lernen damit umzugehen:aplaus: ) zum erstellen von Schaltungen.

MFG

EDIT in wie weit die Dateien sauber sind, vermag ich natürlich nicht zu sagen.

Jo, das Programm hab ich aber von einer vertrauenswürdigen Seite runtergeladen, auf die Einträge muss man sich also nicht konzentrieren glaube ich ;-)

Okay, das Programm scheint sauber zu sein ;)
Bin nur drauf angesprungen wegen der vielen O4- also Autostart-Einträge. Mach doch mal nen Check mit eScan (MWAV, siehe Link in meiner Sig) und poste auch mal ein Log von Silentrunners. Hijackthis bietet nämlich nur einen kleinen Auszug bestimmter Systembereiche, nun ist filigraneres Nachschauen angesacht :D

Ich hatte die Datei am Sonntag mit dem Hinweis auf Fehlalarmverdacht an Avira geschickt, jedoch nur eine automatische Antwort bekommen, dass die Datei infiziert sei.
Nach dem heutigen Update wird die Datei die ich bei mir in Quarantäne habe jedoch nichtmehr als Trojaner erkannt.
Ich hoffe mal, dass das heißt ich habe nochmal Glück gehabt. Bei den Scans sind allerdings ein paar komische Sachen rausgekommen, werde ich morgen mal posten.

Also hier einmal das komprimierte eScan-log:

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

Microsoft Windows XP [Version 5.1.2600]

Thu Jun 28 21:54:41 2007 => Version 9.2.8 (C:\DOKUME~1\Sven\LOKALE~1\Temp\mexe.com) 

Thu Jun 28 21:40:41 2007 => Virus Database Date: 6/25/2007

Thu Jun 28 21:42:00 2007 => Virus Database Date: 6/25/2007

Thu Jun 28 21:54:03 2007 => Virus Database Date: 6/25/2007

Thu Jun 28 22:51:44 2007 => Virus Database Date: 6/25/2007

Thu Jun 28 22:51:51 2007 => Virus Database Date: 6/25/2007

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

Thu Jun 28 21:55:46 2007 => Offending Key found: HKLM\Software\magnet !!!

Thu Jun 28 21:55:56 2007 => Offending Key found: HKCU\\magnet !!!

Thu Jun 28 21:56:42 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I !!!

Die Überschriften unter denen nichts stand hab ich mal rauseditiert, die tolle find.bat hat aber auch die Hinweise auf die Art des Fundes gelöscht.
Bei den ersten beiden Keys war die Meldung "Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.".
Beim dritten Key: "Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken."

Silentrunners will ich jetzt nicht nochmal komplett posten, das einzige was da auffällig war, ist:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

Kann mir nicht erklären warum er da ein Ausrufezeichen davorgesetzt hat, es findet auch kein Virenscanner an der Datei was.

EDIT: Hier noch ein Virustotal-Scan der ursprünglich gemeldeten Datei, die von meinem Antivir jetzt nichtmehr als Trojaner erkannt wird:

Code:

AhnLab-V3        2007.6.29.0        06.29.2007        Win-Trojan/StartPage.700376.C

AntiVir                7.4.0.37        06.29.2007        HEUR/Malware

Authentium        4.93.8                06.28.2007        no virus found

Avast                4.7.997.0        06.29.2007        no virus found

AVG                7.5.0.476        06.28.2007        no virus found

BitDefender        7.2                06.29.2007        no virus found

CAT-QuickHeal        9.00                06.28.2007        no virus found

ClamAV                devel-20070416        06.29.2007        Trojan.Startpage-479

DrWeb                4.33                06.29.2007        no virus found

eSafe                7.0.15.0        06.28.2007        Win32.StartPage.aop

eTrust-Vet        30.8.3751        06.29.2007        no virus found

Ewido                4.0                06.29.2007        Hijacker.StartPage.aop

FileAdvisor        1                06.29.2007        no virus found

Fortinet        2.91.0.0        06.29.2007        W32/StartPage.AOP!tr

F-Prot                4.3.2.48        06.28.2007        no virus found

F-Secure        6.70.13030.0        06.29.2007        Startpage.ETJ

Ikarus                T3.1.1.8        06.29.2007        Trojan.Win32.StartPage.aop

Kaspersky        4.0.2.24        06.29.2007        no virus found

McAfee                5063                06.28.2007        no virus found

Microsoft        1.2701                06.29.2007        no virus found

NOD32v2                2363                06.29.2007        no virus found

Norman                5.80.02                06.28.2007        Startpage.ETJ

Panda                9.0.0.4                06.29.2007        Suspicious file

Sophos                4.19.0                06.28.2007        no virus found

Sunbelt                2.2.907.0        06.28.2007        no virus found

Symantec        10                06.29.2007        Ircfast

TheHacker        6.1.6.140        06.28.2007        Trojan/StartPage.aop

VBA32                3.12.0.2        06.28.2007        Trojan.Win32.StartPage.aop

VirusBuster        4.3.23:9        06.28.2007        no virus found

Webwasher-Gateway 6.0.1                06.29.2007        Heuristic.Malware

Ich habe nochmal auf der Antivir-Homepage nach meinem Dateiupload geschaut, und die Seite wurde inzwischen sogar aktualisiert:

"Die Datei 'installer-24029-32-Cool-Edit-Pro-2-1-Deutsch.exe' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster ist mit dem Update der Virendefinitionsdatei (VDF) 6.39.0.75 entfernt."

Dadurch ist meine Angst verseucht zu sein jetzt doch etwas gesunken, wäre aber nett wenn trotzdem jemand nochmal kurz über die Logs schauen könnte. ;)