Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: The Trojan horse TR/StartPage.NBS1

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.02.2005, 15:33   #1
carlosalmera
 
The Trojan horse TR/StartPage.NBS1 - Ausrufezeichen

The Trojan horse TR/StartPage.NBS1



kann mir jemand weiter helfen!bei jeder seite wenn ich im netz bin schaltet mein antivir diese meldung ein!!
ich halte das nicht haus!

Alt 09.02.2005, 16:07   #2
Gigamail
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

__________________

__________________

Alt 09.02.2005, 16:25   #3
carlosalmera
 
The Trojan horse TR/StartPage.NBS1 - Standard

danke



ok aber erwarte nicht viel von dem rechner!!!
ist meinen vater und der hat nen kleines problem!
__________________

Alt 09.02.2005, 16:29   #4
carlosalmera
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



Logfile of HijackThis v1.99.0
Scan saved at 17:27:41, on 09.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Karli Wohllebe\Eigene Dateien\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\Programme\eScan\MWAVSCAN.COM" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB41B9D6-73DC-4E88-968A-DA7E55EC6F83}: NameServer = 62.26.136.136 195.185.185.195
O17 - HKLM\System\CCS\Services\Tcpip\..\{F48FBB62-0B4D-4958-9ECB-106458F556AE}: NameServer = 69.50.188.180,195.225.176.31
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 09.02.2005, 17:03   #5
Haui45
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



Hallo,

1.) eScan runterladen und updaten (noch nicht scannen). Anleitung vorher komplett lesen, am besten ausdrucken.

2.) führe das aus, was hier beschrieben ist.

3.) boote in den abgesicherten Modus.
fixe mit Hijackthis (mit HjT scannen, Haken setzen und "fix checked" anklicken)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

lösche manuell:
C:\WINDOWS\wtlbass32.dll
C:\WINDOWS\web\related.htm
c:\ied_s7.cab (falls vorhanden)

Scanne jetzt mit eScan und lösche die gefundenen Dateien manuell (bei Dateien, die als "not-a-virus" erkannt werden, bitte erst hier nachfragen).

Neustart

Windows-Update durchführen!
Alternativen Browser wählen!

neues HijackThis-Logfile posten. Problem gelöst?


PS: Falls du Probleme hast, die Dateien zu finden, nimm bitte folgende Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


Alt 09.02.2005, 17:25   #6
Gigamail
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
fixe folgende Einträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

der Eintrag 015 kann nur gelöscht werden wie hier
beschrieben steht.

kennst Du folgende IP Adresse:

... hier ist das nslookup Ergebnis für 195.185.185.195 von Server ns1.kloth.net :

DNS-Server: ns1.kloth.net
DNS-Server-Adresse: 213.133.98.149#53

Non-authoritative answer:
195.185.185.195.in-addr.arpa name = cache1.tiscali.de.

Authoritative answers can be found from:
185.185.195.in-addr.arpa nameserver = ns.nacamar.net.
185.185.195.in-addr.arpa nameserver = dalx1.nacamar.de.
ns.nacamar.net internet address = 194.162.162.194
dalx1.nacamar.de internet address = 194.162.141.17

wenn nicht dann diesen Eintrag fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB41B9D6-73DC-4E88-968A-DA7E55EC6F83}: NameServer = 62.26.136.136 195.185.185.195


das selbe bei dieser IP:

. hier ist das nslookup Ergebnis für 195.225.176.31 von Server ns1.kloth.net :

DNS-Server: ns1.kloth.net
DNS-Server-Adresse: 213.133.98.149#53

Non-authoritative answer:
31.176.225.195.in-addr.arpa name = ip176-31.netcathost.com.

Authoritative answers can be found from:
176.225.195.in-addr.arpa nameserver = ns1.netcathost.com.
176.225.195.in-addr.arpa nameserver = ns2.netcathost.com.
ns1.netcathost.com internet address = 66.250.107.2
ns2.netcathost.com internet address = 66.250.171.66

wenn Du diese nicht kennst dann den Eintrag fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F48FBB62-0B4D-4958-9ECB-106458F556AE}: NameServer = 69.50.188.180,195.225.176.31

lösche von Hand folgende Datei:
C:\WINDOWS\wtlbass32.dll
c:\ied_s7.cab

Scanne Dein System mit eScan wie unten beschrieben


Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)


P.S.u musst unbedingt Dein System updaten, du bist offen wie ein Scheunentor

__________________
--> The Trojan horse TR/StartPage.NBS1

Alt 09.02.2005, 17:29   #7
Gigamail
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



@Haui
warst schneller, aber schau mal der 015: name = connect.online-dialer.com.
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 09.02.2005, 17:29   #8
Haui45
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



Da war ich wohl um 22 Minuten schneller

Alt 09.02.2005, 17:31   #9
Gigamail
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



hatte auch viel zu schreiben
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 09.02.2005, 17:32   #10
Haui45
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



Zitat:
@Haui
warst schneller, aber schau mal der 015: name = connect.online-dialer.com
Du meinst O17. Das dürfte schon ok sein...

Zitat:
hatte auch viel zu schreiben
Ich auch

Alt 09.02.2005, 17:35   #11
Gigamail
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



Zitat:
Du meinst O17. Das dürfte schon ok sein...
ne ich meine schon den O15 - Trusted Zone:
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 09.02.2005, 17:37   #12
Haui45
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



Zitat:
ne ich meine schon den O15 - Trusted Zone:
Und, was soll damit sein?

Alt 09.02.2005, 17:46   #13
Gigamail
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



name = connect.online-dialer.com.
ich meine das ist eine Dialerseite
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 09.02.2005, 17:48   #14
Haui45
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



Schau mal auf mein Posting #5 Punkt 2...

Alt 09.02.2005, 17:57   #15
Gigamail
 
The Trojan horse TR/StartPage.NBS1 - Standard

The Trojan horse TR/StartPage.NBS1



ok gebe mich geschlagen
jetzt sollerst mal Carlosalmera ran hat ne Menge zu tun
__________________
Gruß Gigamail

eScan-Anleitung und Download



Antwort

Themen zu The Trojan horse TR/StartPage.NBS1
antivir, horse, meldung, schaltet, seite, troja, trojan, trojan horse



Ähnliche Themen: The Trojan horse TR/StartPage.NBS1


  1. Trojan Horse und Trojan.Zlob entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (5)
  2. habe Mind. 2 Trojaner Trojan.StartPage.bfa + Trojan.Win32.Jaludle!
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (1)
  3. Trojan Horse Agent.4.E
    Mülltonne - 10.11.2008 (0)
  4. Trojan Horse
    Mülltonne - 29.01.2008 (0)
  5. Trojan.Vundo und Trojan Horse
    Log-Analyse und Auswertung - 27.10.2007 (9)
  6. Trojan Horse gefunden: ldpinch trojan
    Mülltonne - 23.10.2007 (0)
  7. Trojan Horse Entfernen
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (1)
  8. trojan horse
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (23)
  9. trojan horse
    Plagegeister aller Art und deren Bekämpfung - 08.07.2007 (4)
  10. Norton blockiert Trojan.Vundo bzw. Trojan Horse
    Plagegeister aller Art und deren Bekämpfung - 01.07.2007 (2)
  11. Trojan horse proxy.25.BJ
    Plagegeister aller Art und deren Bekämpfung - 23.12.2006 (2)
  12. Trojaner Horse Startpage.19.J
    Plagegeister aller Art und deren Bekämpfung - 18.11.2005 (1)
  13. delprot.sys- Trojan Horse
    Plagegeister aller Art und deren Bekämpfung - 06.06.2005 (7)
  14. Leider... "The Trojan horse TR/StartPage.qr.DLL" - Problem
    Log-Analyse und Auswertung - 27.03.2005 (8)
  15. st.exe Trojan Horse
    Log-Analyse und Auswertung - 24.03.2005 (1)
  16. The Trojan horse TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 08.03.2005 (5)
  17. Trojanische Pferd TR/StartPage.NBS1
    Log-Analyse und Auswertung - 22.02.2005 (4)

Zum Thema The Trojan horse TR/StartPage.NBS1 - kann mir jemand weiter helfen!bei jeder seite wenn ich im netz bin schaltet mein antivir diese meldung ein!! ich halte das nicht haus! - The Trojan horse TR/StartPage.NBS1...
Archiv
Du betrachtest: The Trojan horse TR/StartPage.NBS1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.