PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Trojaner StartPage.IX

Kladderadatsch
2004-08-18, 16:53:42
hi,
genau diesen trojaner bekomme ich nicht mehr von der platte. in diversen foren stehen zwar lösungswege, die allerdings nicht funktionieren(die dateien, die gelöscht werden müssen, gibt es bei mir garnicht). angeblich kann bisher ausschließlich antivir mit dem trojaner fertig werden, bzw. erkennen. das tat es auch und löschte die datei. doch taucht weiterhin alle paar stunden die trojaner-meldung auf, bzw. er wird gelöscht...

hattet ihr das problem auch schon, bzw. wisst ihr, wie man den löschen kann?


hier noch ein scan von hijack, der das problem vll verdeutlicht^^

Scan saved at 16:51:28, on 18.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Mozilla\mozilla\mozilla.exe
D:\Programme\eMule\emule.exe
D:\sicherungen\Verschiedenes2\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1



und hier noch ein kleiner auszug aus der antivir-reportdati, damit ihr mir glaubt, wie nervig das ist...

18.08.2004,08:13:42 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaadaa5.
18.08.2004,10:41:56 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\DOKUMENTE UND EINSTELLUNGEN\HANNES\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\F12OYWXP\M[1].BIN
[INFO] Die Datei wurde gelöscht!
18.08.2004,10:42:00 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\WINDOWS\SYSTEM32\PBB.DLL
[INFO] Die Datei wurde gelöscht!
18.08.2004,15:11:03 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP42\A0013888.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:05 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP44\A0013974.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:05 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP44\A0013977.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:06 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP47\A0014019.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:40:58 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP18\A0007953.DLL
[INFO] Die Datei wurde gelöscht!
18.08.2004,15:41:05 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP23\A0008529.DLL
[INFO] Die Datei wurde gelöscht!


ps.: umgottes willen; ich sehe gerade, das ding sitzt wahrscheinlich auf D: ! und wo dort?!?
wuschel12
2004-08-18, 17:01:37
evtl mal das tool testen:

http://www.chip.de/downloads/c_downloads_11105456.html
Kladderadatsch
2004-08-18, 17:03:57
danke, ich probier es gleich mal aus- hab allerdings schon sämtliche online scanner ausprobiert...

kann mir bitte jemand erklären, was es mit " D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA..." auf sich hat?

hm, dieses "explorer.EXE" kam mir gleich komisch vor- war tatsächlich ein anderer backdoor- ich würde ja sofort formatieren; aber da D: auch befallen ist...
Lokadamus
2004-08-18, 18:42:17
mmm...

Der System volume Dingsbumsordner gehört eigentlich Windows => einfach die Systemwiederherstellung deaktivieren, dann die Rechte an diesen Ordner übernehmen und dann den Kram manuell löschen (im Notfall einfach den ganzen Ordner), danach kannst die Wiederherstellung anwerfen und einen neuen Wiederherstellunspunkt erstellen ...
Beim Browser auch mal den Cache löschen und du solltest weg vom IE gehen ...
Kladderadatsch
2004-08-18, 18:47:24
mmm...

Der System volume Dingsbumsordner gehört eigentlich Windows => einfach die Systemwiederherstellung deaktivieren, dann die Rechte an diesen Ordner übernehmen und dann den Kram manuell löschen (im Notfall einfach den ganzen Ordner), danach kannst die Wiederherstellung anwerfen und einen neuen Wiederherstellunspunkt erstellen ...
Beim Browser auch mal den Cache löschen und du solltest weg vom IE gehen ...

benutze nurnoch mozilla.

systemwiederherstellung kann man doch im system deaktivieren; egal, mein problm ist, dass dieser ordner nicht angezeigt wird. (habe di option "alle ordner anzeigen" aktiviert.

ps.: das oben erwähnte programm findet nur den anderen backdoor- den es nicht löschen kann. startpag wird nicht gefunden...
Lokadamus
2004-08-18, 18:51:36
mmm...

Du must unter Explorer => Extras => Ordneroption => Ansicht => "Systemdateien ausblenden" den Haken entfernen, dieses Feld ist im oberen Drittel der Liste ... da das das komplette Logfile von HijackThis sein soll, kann ich da nichts fremdes finden ...
Kladderadatsch
2004-08-18, 19:11:29
da das das komplette Logfile von HijackThis sein soll, kann ich da nichts fremdes finden ...

ist das komplette- daher verwundern mich die funde von antivir ja so sehr.
mal schauen,w as sich finden lässt;)
danke für die hilfe bis hier hin :smile:


so, habe nun die syswiederhrst. deaktiviert; der zugriff auf die ordner wird mir jedoch weiterhin verweigert...muss ich das im abgesicherten modus machen? (ich hasse den abgesicherten modes;))
Lokadamus
2004-08-18, 20:25:24
mmm...

Nein, du must dir die Lese und Schreibrechte für den Ordner geben, bei XP Pro kannst du es über die Eigenschaften machen, bei Home installierst du FaJo XP File Security Extension (XP FSE) (http://fajo.de/portal/index.php), wodurch das Menü zum Setzen der Rechte zu den Eigenschaften der Ordner eingefügt wird (rechtsklick auf den Ordner und dann solltest du ein neues Feld haben, wo die Rechte gesetzt werden, du kannst dir dann einfach alle Rechte für diesen Ordner geben und gut ist, sollte es nicht klappen, sag bescheid) ... Sicherheit => Hinzufügen => Erweitert => Jetzt suchen => eigenen Namen aus der Liste auswählen und ok, dann sollte man Zugriff haben ...
Kladderadatsch
2004-08-18, 20:45:16
hab prof.
unter eigenschaften kann ich nur allgemein, freigabe und anpassen anwählen. unter freigabe steht, ich soll ihn in dokumente ziehen?! das bringt ja wohl nichts...
Lokadamus
2004-08-18, 20:48:21
mmm...

Sicher, das du ein vollwertiges Prof hast? Lad dir mal Fajo Dingsbums runter und installiere es => zwischen Allgemein und Freigabe sollte dann Sicherheit auftauchen. Oder bist du momentan nicht als Administrator angemeldet?
Kladderadatsch
2004-08-18, 21:10:16
hab das programm installiert- jetzt gehts tatsächlich, obwohl ich admin bin und angeblich auch xp prof :confused:

naja, egal. viel schlimmer ist, dass die datei, noch nicht einmal der ordner existieren...
antivir findet darin ebenfalls nichts.
ich müsste den gesamten ordner doch löschen können? dort ist schließlich kein os installiert?

ich sehe auch gerade, dass sich auf C: in diesem ordner nur eine textdatei (tracking) befindet- in D: allerdings diese samt 6 _restore-dateien?!?
Lokadamus
2004-08-18, 21:56:05
mmm...

Jup, du kannst auch einfach den Ordner selber löschen (sowohl auf c: als auch auf d: ), nach einem Neustart sollte er wieder da sein, spätestens, wenn die Systemwiederherstellung aktiv ist ...
Kladderadatsch
2004-08-18, 22:42:27
achja; systemwiderherstellung. das hab ich noch nie genutzt- schluckt das viele ressourcen? wenn ja, lass ich das einfach deaktiviert...

aber schonmal danke für deine umfangreich hilfe!
x-dragon
2004-08-18, 23:56:22
Nein die schluckt eigentlich keine Leistung, da nur bei der Installation bestimmter Software/Updates oder aber manuell entsprechende Widerherstellungspunkte gesetzt werden (undd dann die wichtigsten Systemdateien gesichert werden).