Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Java-Scriptvirus JS/Small.AF und TR/StartPage.UO

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.02.2005, 23:16   #1
newdealskater
 
Java-Scriptvirus JS/Small.AF und TR/StartPage.UO - Standard

Java-Scriptvirus JS/Small.AF und TR/StartPage.UO



Moin ich hab folgendes problem war im netz auf der suche nach einem serial (für mein gekauftes Borland Delphi 2005 Architect - 3340€ :-)
und auf einmal kam von antivir folgende meldungen:

20.02.2005,21:42:15 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.IstBar.A!
C:\DOKUMENTE UND EINSTELLUNGEN\MALTE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4T6VKLAN\YSB_PROMPT[1].HTM
--------------------
20.02.2005,21:42:56 [WARNUNG] Enthält Signatur des Java-Scriptvirus JS/Small.AF!
C:\DOKUMENTE UND EINSTELLUNGEN\MALTE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\83S7MHGV\A270A8[1].JS
-------------------
20.02.2005,22:12:47 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.UO!
C:\WINDOWS\SYSTEM32\AKAC.DLL
-----------------
20.02.2005,22:45:39 [WARNUNG] Enthält Signatur des Java-Scriptvirus JS/Small.AF!
C:\DOKUME~1\MALTE\LOKALE~1\TEMPOR~1\CONTENT.IE5\83S7MHGV\A270A8[1].JS
[INFO] Die Datei wurde gelöscht!
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
hab es mit
hijackthis gescannt:

Logfile of HijackThis v1.99.1
Scan saved at 23:08:18, on 20.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\NVATray.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\DOKUME~1\Malte\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Malte\LOKALE~1\Temp\kavss.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Malte\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Steffen\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.real.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7AD39D00-FCF0-4C6A-B767-11275C6F0891} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1103f6e0...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{113654E7-0543-4F60-BBE6-6B3592927B28}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8D28D4-A1A7-464F-B87E-32701851C1B2}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CS1\Services\Tcpip\..\{113654E7-0543-4F60-BBE6-6B3592927B28}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
hab es mit ESCAN gescannt:

hmmm als ich es vorhin gemacht habe kamen noch 4 meldungen , die jetzt aber weg sind....... komisch komisch

naja könnt ihr mir einen rat geben was ich machen sollll?????

Srry das es so unübersichtlig ist, wollte euch soviele infos wie möglich geben....

Alt 21.02.2005, 20:41   #2
chaosman
 
Java-Scriptvirus JS/Small.AF und TR/StartPage.UO - Standard

Java-Scriptvirus JS/Small.AF und TR/StartPage.UO



@newdealskater

Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

wechsle danach in den abgesicherten modus und fixe mit HJT
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Steffen\LOKALE~1\Temp\se.dll/sp.html
O9 - Extra button: MedionShop - {7AD39D00-FCF0-4C6A-B767-11275C6F0891} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe

diese datei manuell löschen
C:\DOKUME~1\Steffen\LOKALE~1\Temp\se.dll
neu booten, neues HJT logfile posten

hast du mit escan in den abgesicherten modus gescannt?
wenn ja, dann poste bitte auch folgendes
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman
__________________

__________________

Antwort

Themen zu Java-Scriptvirus JS/Small.AF und TR/StartPage.UO
.inf, adobe, antivir, antivir update, auf einmal, bho, content.ie5, dateien, download, einstellungen, excel, explorer, file missing, google, internet, internet explorer, messenger, microsoft, nvidia, problem, programme, rundll, software, suche, system, virus, warnung, windows, windows media player, windows messenger, windows xp



Ähnliche Themen: Java-Scriptvirus JS/Small.AF und TR/StartPage.UO


  1. Java-Scriptvirus JS/EXP.Redir.EL.7
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (13)
  2. JAVA/Inject.AU || ADWARE/Yontoo.Gen || Trojan.StartPage
    Plagegeister aller Art und deren Bekämpfung - 16.05.2013 (9)
  3. Mehrere Funde! EXP/JAVA.Ternub.Gen - JAVA/Dldr.Small.CI - JAVA/Dldr.OpenC.A - EXP/08-5353.AI.5.A
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (29)
  4. Trojanisches Pferd TR/Spy.Banker.Gen5 & EXP/CVE-2012-1723.BU & Java-Scriptvirus JS/Dldr.Expack.BA.3
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (3)
  5. Hilfe bei Gmer-Logfile nach Avira-Fund Java-Scriptvirus JS/Decdec.psc
    Log-Analyse und Auswertung - 29.06.2012 (34)
  6. Java-Scriptvirus JS/Decdec.psc
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (16)
  7. Trojaner TR/Drop.Croff.A, TR/Offend.KD.448731, TR/crypt.epack.gen und Java-Scriptvirus JS/Toieung.A
    Log-Analyse und Auswertung - 07.01.2012 (29)
  8. Trojaner TR/Buzus.iias + TR/Buzus.ihys + Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akm
    Plagegeister aller Art und deren Bekämpfung - 14.09.2011 (38)
  9. tr/trash.gen, JAVA/small.AF und JAVA/Decouvert.AS
    Log-Analyse und Auswertung - 30.04.2011 (1)
  10. TR/Crypt.XPACK.Gen und JAVA/Small.Y fund
    Log-Analyse und Auswertung - 01.02.2011 (7)
  11. JAVA/Small N / Y Viren und Trojan/Gen
    Plagegeister aller Art und deren Bekämpfung - 12.01.2011 (3)
  12. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  13. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  14. Java-Scriptvirus JS/Dldr.lstBar.J
    Plagegeister aller Art und deren Bekämpfung - 05.01.2006 (1)
  15. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  16. TR/StartPage.QC.1 und TR/Dldr.Small.OR unter WinXP
    Log-Analyse und Auswertung - 26.10.2004 (14)
  17. "Trojan.Java.StartPage.m" was ist das?
    Plagegeister aller Art und deren Bekämpfung - 25.10.2004 (4)

Zum Thema Java-Scriptvirus JS/Small.AF und TR/StartPage.UO - Moin ich hab folgendes problem war im netz auf der suche nach einem serial (für mein gekauftes Borland Delphi 2005 Architect - 3340€ :-) und auf einmal kam von antivir - Java-Scriptvirus JS/Small.AF und TR/StartPage.UO...
Archiv
Du betrachtest: Java-Scriptvirus JS/Small.AF und TR/StartPage.UO auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.