| |
| |||||||
Log-Analyse und Auswertung: StartPageWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
20.01.2005, 21:51
| #1 |
| |  StartPage Hi, habe ein Problem mit StartPage auf einem meiner rechner (derzeit offline). Anbei der log. Bitte Hilfe!!! p.s. Spybot, Ad-Aware, e-Scan (im abgesicherten Modus bzw. unter Bart-PE) und Norton AV versagen (Jeweils mit der neusten Definition von heute, 20.01.05,) Logfile of HijackThis v1.99.0 Scan saved at 21:24:53, on 20.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\cisvc.exe C:\PROGRA~1\Navnt\navapsvc.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\PROGRA~1\Navnt\alertsvc.exe C:\WINNT\System32\cidaemon.exe C:\WINNT\Explorer.EXE C:\WINNT\explorer.exe C:\WINNT\explorer.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe C:\Programme\Navnt\navapw32.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {D0429523-9063-4229-9B2D-51CDF5E136F0} - C:\WINNT\system32\linloo.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1630ea0d04ee8ee...dxIE601_de.cab O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/...r/PROFILER.CAB O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - O17 - HKLM\System\CCS\Services\Tcpip\..\{8F6AA122-EC1F-49D6-B7DD-EF5AD1D4D174}: NameServer = 192.168.123.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{A105ED35-B959-4D3E-9EFB-4074C6DD0421}: NameServer = 192.168.123.254 O18 - Filter: text/html - {7E44BC70-0C73-494E-9A78-8C6544C9D86F} - C:\WINNT\system32\linloo.dll O18 - Filter: text/plain - {7E44BC70-0C73-494E-9A78-8C6544C9D86F} - C:\WINNT\system32\linloo.dll O21 - SSODL: System - {BC389649-4C44-453E-9851-C42F90970128} - C:\WINNT\system32\system32.dll O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: FileZilla Server FTP server - Unknown - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe Geändert von mikkel (20.01.2005 um 22:01 Uhr) |
|
20.01.2005, 22:00
| #2 |
  | StartPage @mikkel
__________________lasse diese dateien C:\WINNT\system32\linloo.dll C:\WINNT\system32\system32.dll hier online http://www.kaspersky.com/de/scanforvirus überprüfen und poste das ergebnis chaosman
__________________ |
|
20.01.2005, 22:24
| #3 |
| | StartPage @chaosman
__________________Zu überprüfende Datei: linloo.dll linloo.dll Infiziert: Trojan.Win32.StartPage.ix Statistiken: Bekannte Viren: 115178 Updated: 20-01-2005 Größe der Datei (Kb): 36 Viren-Korpus: 1 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 Kommentar von mikkel: "system32.dll ist ohne Befund !!!" thx für die schnelle Antwort mikkel |
|
20.01.2005, 22:36
| #4 |
| | StartPage @mikkel zur info http://www.sophos.com/virusinfo/anal...startpacn.html wechsle in den abgesicherten modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe mit HJT R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html O2 - BHO: (no name) - {D0429523-9063-4229-9B2D-51CDF5E136F0} - C:\WINNT\system32\linloo.dll wenn du diesen einträge nicht kennst, dann fixen O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1630ea0d04ee8e...RdxIE601_de.cab O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global...er/PROFILER.CAB fixen O18 - Filter: text/html - {7E44BC70-0C73-494E-9A78-8C6544C9D86F} - C:\WINNT\system32\linloo.dll O18 - Filter: text/plain - {7E44BC70-0C73-494E-9A78-8C6544C9D86F} - C:\WINNT\system32\linloo.dll O21 - SSODL: System - {BC389649-4C44-453E-9851-C42F90970128} - C:\WINNT\system32\system32.dll lösche danach manuell C:\WINNT\system32\system32.dll C:\WINNT\system32\linloo.dll neu booten, neues HJT logfile posten chaosman
__________________ Bonus vir semper tiro |
|
20.01.2005, 23:45
| #5 |
| | StartPage @chaosman wie man den protected mode startet weiß ich schon, nur ich mag ihn nicht und arbeite lieber von CD mit Bart-PE. Hat aber nicht geklappt, also doch protected mode. Fixes ausgeführt und dll's gelöscht, scheint geklappt zu haben da NAV keine fehlermeldung beim start von IE und WE bringt. Anbei neuer HJT logfile. THX mikkel Logfile of HijackThis v1.99.0 Scan saved at 23:35:08, on 20.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\cisvc.exe C:\PROGRA~1\Navnt\navapsvc.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe C:\Programme\Navnt\navapw32.exe C:\PROGRA~1\Navnt\alertsvc.exe C:\WINNT\explorer.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - O17 - HKLM\System\CCS\Services\Tcpip\..\{8F6AA122-EC1F-49D6-B7DD-EF5AD1D4D174}: NameServer = 192.168.123.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{A105ED35-B959-4D3E-9EFB-4074C6DD0421}: NameServer = 192.168.123.254 O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: FileZilla Server FTP server - Unknown - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe |
|
20.01.2005, 23:51
| #6 |
| | StartPage Dein Log sieht sauber aus. Hier anbei noch ein paar Links: http://www.mathematik.uni-marburg.de...ompromise.html http://www.ntsvcfg.de/
__________________ --> StartPage |
|
21.01.2005, 00:01
| #7 |
| | StartPage @cronos thx für die bestätigung und die tollen links. Werde sie mir bei nächster gelegenheit intensiv durchlesen. Siehst Du aus dem log eine konkrete gefahr? @chaosman uff, vielen Dank für die Hilfe. Jetzt kann ich ruhig offline gehen. greetz mikkel |
|
| Themen zu StartPage |
| abgesicherten modus, ad-aware, administrator, adobe, antivirus, bho, browser, download, einstellungen, explorer, ftp, hijack, hijackthis, hilfe!!, internet, internet explorer, monitor, nvidia, problem, programme, software, sun java, symantec, system, tcpip, temp, windows, wlan |
Linear-Darstellung
