Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/StartPage.GV bzw. .FW (https://www.trojaner-board.de/674-tr-startpage-gv-bzw-fw.html)

paulemsig 08.06.2004 13:14
hi

mein antivir pe meldet mir immer wieder folgende schädlinge:

TR/StartPage.GV und gleich danach TR/StartPage.FW

soweit ich in erfahrung bringen konnte, ist das ding relativ harmlos und antivir pe löscht die beiden dinger auch immer brav - ich bekomme den alarm deswegen aber immer wieder, und zwar immer kurz nachdem ich meinen IE geöffnet habe. ich habe ja den verdacht, daß das teil irgendwas mit einem browser-hijacker zu tun hat, den ich vor kurzem endlich losgeworden bin.

langer rede kurzer sinn: wie bekomme ich's hin, daß das teil endgültig verschwindet? mein OS ist WinXP (falls das wichtig ist).

vielen dank im voraus für hilfe.

neptune 08.06.2004 21:34
hallo.. am besten lädst du als erstes hijackthis runter, muss bei google nach dem download suchen.. dann postest du den log und dir kann geholfen werden.. schäzu ich jedenfalls..
weiterhin kannst du den cwshredder runterladen und mal die fp durchchecken.. viel erfolg..

Skull 09.06.2004 02:23
Jo HighjackThis. Wenn de nix endeckst stell deine Log File hier rein. Irgendwer wird schon was finden. [img]graemlins/daumenhoch.gif[/img]

mav1976 09.06.2004 05:51
hi paulemsig,

ein wenig dürftige info´s, die du uns gibst. ;)

wenn du immerwieder diese meldungen erhältst vom guard, kurz nach öffnen des msie´s, dann würde ich auf dateien im browsercache tippen, die nicht gelöscht wurden. ;)

bitte via den internetoptionen über die systemsteuerung die "cookies", die dateien (auch offlinedateien)" und den "verlauf" leeren.

ansonsten bitte den genauen pfad der meldung posten.

bernd s 10.06.2004 11:59
Da ich das gleiche Problem habe poste ich einfach mal mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 13:13:53, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Commander Pro\UPServ.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Commander Pro\UPS.EXE
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\LEXWARE\LXOFFICE\bin\Lxoffice.exe
C:\Programme\Internet Explorer\iexplore.exe
N:\Daten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - Global Startup: financial office.lnk = C:\LEXWARE\LXOFFICE\bin\Lxoffice.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren (HKLM)


Während ich dieses Posting erstellt habe, kam die Meldung vom AV 3 MAL!!!

mav1976 10.06.2004 19:51
hi bern s,


was nützt das log, wenn ihr nicht x die grundlegendsten dinge hierreinpostet?

wo wird der wicht gefunden von deinem av-wächter? das sagt er dir doch klipp und klar!

bitte den pfad x aufschreiben und hierreinposten.

bernd s 10.06.2004 20:06
Nu reiss mir doch nicht gleich den Kopf ab.

Die erste Datei heisst *****.BIN und liegt in den Temporary internet files\content.ie5 die zweite wird immer unter c:\winnt\system32 gefunden und hat als endung dll. Der erste Teil des Namens wechselt ständig. Beide Male heisst es es wäre das Trojanische Pferd TR/StartPage.FW.

Die beiden Meldungen kommen grundsätzlich direkt nacheinander.

mav1976 10.06.2004 20:15
</font><blockquote>Zitat:</font><hr /> Nu reiss mir doch nicht gleich den Kopf ab.</font>[/QUOTE]mach ich gar nicht. ich bell meistens nur laut. :D

</font><blockquote>Zitat:</font><hr />
Die erste Datei heisst *****.BIN und liegt in den Temporary internet files\content.ie5 </font>[/QUOTE]na bitte, das hilft doch schon. bitte lösche deine temporären internet files (tif´s) über die internetoptionen. vorher browser schließen und vom i-net trennen.

start/systemsteuerung/i-netoptionen

cookies löschen
dateien löschen [haken auch bei "offlinedateien"]
verlauf leeren
alles mit "ok" bestätigen und das wäre der 1.teil.

</font><blockquote>Zitat:</font><hr />
die zweite wird immer unter c:\winnt\system32 gefunden und hat als endung dll.</font>[/QUOTE]und genau dieser name ist wichtig! schreibe dir diesen namen auf, starte dann dein system im "abgesicherten modus" (f8 drücken während des bootens) und lösche dann die dir genannte .dll aus dem verzeichnis. zur sicherheit, da hier der name nicht genannt wird, verschiebe sie erstx in den papierkorb (aber noch nicht löschen).
wiederhole zur sicherheit auch nochx den 1.teil und boote wieder in den normalen modus. scanne nochmals dein system und dann kannst du dich ja wieder ins internet wagen.

mache aber als erstes einen abstecher auf die updateseiten von mikkisoft, und schaue, ob´s für dich neue updates gibt.

warum das ganze im abgesicherten modus? weil die .dll im normalen modus noch geladen ist, und somit nicht zu entfernen. ;)

bernd s 10.06.2004 20:40
Hallo MAV,

auf den Updateseiten war ich heute bereits, hat nichts gebracht. Die DLL, die er anzeigt scheint noch nicht geladen zu sein, die lässt sich nämlich ganz normal löschen. Es muss also noch eine weitere Datei geben, die geladen ist. Leider konnte ich im Taskmanager nichts ungewöhnliches entdecken. Habe das System danach nochmal mit Security Task Manager durchsucht. Einzige unklare Datei heisst resf.dll. Werde diese im abgesicherten Modus mal verschieben und mich dann nochmal melden

Gruß Bernd

bernd s 10.06.2004 21:03
Da bin ich wieder.
Die wars leider nicht.
Hat noch jemand eine Idee ?

mav1976 10.06.2004 21:17
befindet sich zufällig eine system32.dll auf deinem system? wenn ja, diese mal in den papierkorb schieben.

bernd s 14.06.2004 07:04
Soory das mit der Antwort hat etwas gedauert, aber ich war für ein paar Tage unterwegs. Eine datei namens system32.dll habe ich aber nicht gefunden. Sonst noch Vorschläge?


Gruß Bernd


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19