Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Startpage

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.05.2004, 22:21   #1
Legolas1971
 
TR/Startpage - Beitrag

TR/Startpage



Hallo. Ich habe mir irgendwie einen ziemlich lästigen Begleiter eingefangen.
Zunächst wurde meine Browserstartseite ständig im Sekundentakt auf about:blank geändert.
Ich lud mir eine aktualisierte Version von AVir hinuter, und nach kurzer Zeit wurde eine .dll datei, die mit obigem Code infiziert wurde gefunden. Gelöscht, PC neu gestartet, eine andere .DLL Datei mit jenem Code hat sich gemeldet. Das Ganze wiederholte sich ein knappes Dutzend Mal. Dann war Ruhe. Eben hatte sich AV aber wieder mit neuen .DLL Dateien, die erneut den Code enthalten sollen, gemeldet. Das Ganze Spielchen wiederholte sich, momentan ist Ruhe. Ich bezweifle aber, dass ich mein System jetzt "sauberer" habe als vor drei Stunden....

Dann habe ich HjiackThis runtergeladen.

Dies war das Logfile :


==========================
Logfile of HijackThis v1.97.7
Scan saved at 22:59:16, on 24.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.paidboard.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O2 - BHO: (no name) - {F6AF68C6-938B-42D8-B604-D1C8334A9EC0} - C:\WINDOWS\SYSTEM\PPK.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\fast.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Web Search - c:\windows\ex.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: Yahoo! NBA StatTracker - http://aud7.sports.yahoo.com/java/y/nbast8264_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab
O16 - DPF: {13B03B06-C0DF-4522-BDBA-E0B2365C72A5} (Flatcast Viewer 4.7) - http://www.interactiv-plus.de/flatcast/NpFv47.dll
O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} (OTXMovie Class) - http://www.otxresearch.com/OTXMedia/OTXMedia.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab

==============================

Die R0 / R1 Einträge habe ich gefixt. Was fehlt noch, um möglichst ohne Windoofneuinstallation ein sauberes System zu bekommen?

Vielen Dank im Voraus für eure Hilfe, ihr macht ein tolles Forum [img]graemlins/daumenhoch.gif[/img]

Alt 25.05.2004, 01:01   #2
Legolas1971
 
TR/Startpage - Beitrag

TR/Startpage



Systemwiederherstellung deaktiviert, temporäre internetdateien gelöscht - nützt alles nix. Irgendwie tauchen aus dem Nichts wieder neue infizierte Dateien in Windows/System auf. Sie sind nicht da, wenn ich online gehe, aber nach wenigen Sekunden online sind sie im Ordner. Versucht zu löschen, dann wird der PC runtergefahren. Erst nach etwa einem Dutzend solcher neuer Anläufe, kommt keine Virenmeldung.

Wäre toll, wenn jemand einen Rat geben könnte, wie ich verfahren soll. Ansonsten bleibt wohl nur, windows neu zu installieren.
__________________


Alt 25.05.2004, 01:35   #3
mmk
 
TR/Startpage - Idee

TR/Startpage



Hallo!

Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

-> Das System bzw. der IE sollten dringend (!) auf einen aktuellen Stand gebracht werden. Bitte updaten über http://windowsupdate.microsoft.com .

</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\PPK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank</font>[/QUOTE]Siehe hier:
http://trojaner-info.de/anleitungen/...out_blank.html


F1 - win.ini: run=C:\WINDOWS\svcinit.exe

Das ist ein Trojaner. Eintrag sowie Datei im Windows-Ordner löschen.

O2 - BHO: (no name) - {F6AF68C6-938B-42D8-B604-D1C8334A9EC0} - C:\WINDOWS\SYSTEM\PPK.DLL (file missing)

Fixen (markieren, fix checked).


O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe

Ein weiterer Trojaner-Eintrag. Such mal unter C:\WINDOWS\ nach der svchost.exe. Findest du dort eine Datei mit diesem Namen? Falls ja, bitte hier prüfen:

http://www.kaspersky.com/de/scanforvirus


O8 - Extra context menu item: Web Search - c:\windows\ex.htm

Fixen.

</font><blockquote>Zitat:</font><hr />Was fehlt noch, um möglichst ohne Windoofneuinstallation ein sauberes System zu bekommen?</font>[/QUOTE]Nach einem Befall mit Schadsoftware ist eh das einzig sichere Mittel eine Neuinstallation. Ein sicher "sauberes" System wäre also in allen anderen Fällen eine Illusion.

Allerdings nützt das wenig, wenn es wenig später wieder zu einer oder mehreren Infektion(en) kommt. Daher ist Vorbeugen das A und O. Wie man das umsetzen kann, steht hier recht gut erläutert:

http://www.mathematik.uni-marburg.de...ompromise.html


Viel Erfolg!
__________________
__________________

Alt 25.05.2004, 01:55   #4
Legolas1971
 
TR/Startpage - Beitrag

TR/Startpage



Erst mal vielen Dank. Ich finde allerdings auf meinem Rechner weder eine Datei svcinit.exe noch eine namens svchost.exe.

Ich habe jetzt kurzfristig AV abgestellt. Ich bn somit problemlos online, dafür wurde auch bereits nach wenigen Sekunden meine IE Startseite verändert. Wirklich lästig. Das ist nach drei Jahren häufiger online Zeit, der erste Befall, der mich wirklich hochgradig nervt, und den ich nicht loswerde.

Dann freunde ich mich wohl innerlich schon mal mit einem Tag Arbeit und einer Neuinstallation an *seufz*

Alt 25.05.2004, 02:10   #5
mmk
 
TR/Startpage - Idee

TR/Startpage



Hast du denn schon das verlinkte Entfernungstool pobiert? Hier:
http://trojaner-info.de/anleitungen/...out_blank.html

Sowie:
http://www.spywareinfo.com/~merijn/c...tml#cwshredder

Dann die Tipps zur Vorbeugung beherzigen. Siehe dazu den letzten Link in meinem vorigen Posting. Der Seite ist u.a. auch zu entnehmen, dass man mit anderen Browsern sicherer unterwegs ist. Beispiele:

- http://firefox-browser.de
- http://mozilla.kairo.at
- http://opera.com

__________________
Grüße, Markus

Alt 25.05.2004, 02:31   #6
Legolas1971
 
TR/Startpage - Beitrag

TR/Startpage



ja, habe ich. Aber auch nur bedingt erfolgreich, Ich bekomme zwar erst nach dem Neustart die Meldung "System desinfiziert", aber bereits wenige Sekunden später wird wieder eine infizierte .DLL gefunden.

Erneut HijackThis laufen gelassen - die R0 / R1 Prozesse werden nicht angezeigt.

Wieder SpHjifix gestartet - Meldung : Das System ist nicht infiziert. Aber AVir meldet sofort wieder die infizierte .DLL.

Die auch zur Abwechslung mal sichtbar ist und im moment bbe.dll heisst.

Ach ja, in meinem Ordner "Eigene Dateien" sind Unmengen diverser "backup.dat" aufgetaucht, alle 120-150 KB groß. Wo kommen die her?

Wahrscheinlich macht es kaum Sinn sich darüber den Kopf zu zerbrechen. Aber wie gesagt, vielen Dank für die Hilfe. Und das zu der Zeit

Was die anderen Browser angeht : Ich habe mich im Laufe der Zeit so sehr an den IE gewöhnt, ich scheue mich ein wenig umzusteigen. Und 3 Jahre lang gab es auch keine Probleme. Da hofft man natürlich, dass es wieder funktioniert. Vielleicht zu blauäugig, aber irgendwie hänge ich am IE...

Alt 25.05.2004, 02:44   #7
mmk
 
TR/Startpage - Beitrag

TR/Startpage



</font><blockquote>Zitat:</font><hr />Original erstellt von Legolas1971:
[...] aber bereits wenige Sekunden später wird wieder eine infizierte .DLL gefunden.</font>[/QUOTE]Hattest du...
- den IE und offene Windows Explorer-Fenster dabei geschlossen?
- die Win ME Systemwiederherstellung deaktiviert?

Prüf die dll-Datei bitte mal hier:
http://www.kaspersky.com/de/scanforvirus

Evtl. handelt es sich auch um eine neue, ggf. modifizierte Variante dieser Schadsoftware. Sichere die dll-Datei zudem mal, evtl. kann man sie noch gebrauchen, um das Entfernungstool anzupassen.

</font><blockquote>Zitat:</font><hr />Aber AVir meldet sofort wieder die infizierte .DLL.</font>[/QUOTE]Wo genau?

</font><blockquote>Zitat:</font><hr />Die auch zur Abwechslung mal sichtbar ist und im moment bbe.dll heisst.</font>[/QUOTE]Wie gesagt, kopieren, sichern und zudem bei Kaspersky prüfen. Dazu ggf. temporär AntiVir deaktivieren, sonst klappt die Onlineprüfung nicht! Das Ergebnis dann hier posten.

</font><blockquote>Zitat:</font><hr />Ach ja, in meinem Ordner "Eigene Dateien" sind Unmengen diverser "backup.dat" aufgetaucht, alle 120-150 KB groß. Wo kommen die her?</font>[/QUOTE]Habe im Moment keine zweifelsfreie Erklärung dafür. Evtl. ein installiertes Programm, welches in vorgegebenen Intervallen automatisch Backupdateien anlegt.

</font><blockquote>Zitat:</font><hr />Wahrscheinlich macht es kaum Sinn sich darüber den Kopf zu zerbrechen. Aber wie gesagt, vielen Dank für die Hilfe. Und das zu der Zeit </font>[/QUOTE]Doch, man sollte schon verifizieren, was auf dem System vor sich geht!

</font><blockquote>Zitat:</font><hr />Was die anderen Browser angeht : Ich habe mich im Laufe der Zeit so sehr an den IE gewöhnt, ich scheue mich ein wenig umzusteigen.</font>[/QUOTE]Du kannst ja erstmal temporär und testweise eine der genannten Alternativen installieren. Erstens bereitet ein paralleler Betrieb keine Probleme, und zweitens lassen sich die genannten Browser auch problemlos wieder entfernen. Vorschlag wäre, dass du mit dem Firefox beginnst.
__________________
Grüße, Markus

Alt 25.05.2004, 03:03   #8
Legolas1971
 
TR/Startpage - Beitrag

TR/Startpage



Leider habe ich das zu spät gelesen, und die .DLL, sie war in Windows/System, manuell gelöscht.
Ich startete dann noch mal CWShredder, der zwei weitere Prozesse entfernte. Und mir fortan meldete, mein System sei complete clean.

Dann klickte ich noch mal auf diese Backupdateien, die dutzendfach aufgetaucht waren. Und siehe da - sofort sprang Anti Vir wieder an. Diese Backupdateien enthalten auch den Startpage-Code. Ich habe sie jetzt mal noch nicht gelöscht, sind sie von Interesse?

Alt 25.05.2004, 03:18   #9
mmk
 
TR/Startpage - Lächeln

TR/Startpage



Du kannst ja evtl. gefundene Samples mal an rokop-security schicken (siehe unten in meiner Signatur).

Und dann: versuchen, die Tipps zum Schutz vor weiteren Infektionen umzusetzen. [img]smile.gif[/img] Viel Erfolg dabei und ggf. auch etwas Mut, von gewohntem abzurücken - es kann sich lohnen!

Gute Nacht!
__________________
Grüße, Markus

Alt 25.05.2004, 03:22   #10
mmk
 
TR/Startpage - Pfeil

TR/Startpage



Achso, vergessen:

</font><blockquote>Zitat:</font><hr />Original erstellt von Legolas1971:
Erst mal vielen Dank. Ich finde allerdings auf meinem Rechner weder eine Datei svcinit.exe noch eine namens svchost.exe.</font>[/QUOTE]Dann sind nur noch die Registry-Einträge übrig. Einfach löschen über Fix checked in HijackThis!
__________________
Grüße, Markus

Antwort

Themen zu TR/Startpage
.dll, .dll datei, .dll dateien, bho, browserstartseite, dateien, explorer, file missing, hijack, hijackthis, hilfe, infiziert, internet, internet explorer, logfile, microsoft, msn, neu, nvcpl.dll, obfuscated, object, programme, registry, rundll, sekunden, shockwave, software, starten, system, tan, tracker, träge, windows, yahoo



Ähnliche Themen: TR/Startpage


  1. win32/startpage.oie Trojaner + win32/startpage.oph Trojaner gefunden
    Log-Analyse und Auswertung - 19.02.2013 (22)
  2. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 08.10.2005 (3)
  3. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (3)
  4. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 06.08.2005 (1)
  5. TR\StartPage
    Log-Analyse und Auswertung - 25.02.2005 (8)
  6. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 23.02.2005 (4)
  7. StartPage.qr.dll
    Log-Analyse und Auswertung - 18.02.2005 (3)
  8. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 18.02.2005 (0)
  9. TR\startpage.qr.dll Was tun???
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (1)
  10. TR/StartPage.TJ
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (1)
  11. startpage
    Log-Analyse und Auswertung - 09.02.2005 (4)
  12. TR StartPage.IX
    Log-Analyse und Auswertung - 30.01.2005 (3)
  13. startpage.nk.3
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (11)
  14. TR/StartPage.NK.2 :(
    Log-Analyse und Auswertung - 28.10.2004 (9)
  15. tr/startpage.nk.3
    Log-Analyse und Auswertung - 19.10.2004 (5)
  16. Dldr.startpage Startpage/is
    Log-Analyse und Auswertung - 19.08.2004 (8)
  17. TR/StartPage.IG.1
    Log-Analyse und Auswertung - 23.07.2004 (3)

Zum Thema TR/Startpage - Hallo. Ich habe mir irgendwie einen ziemlich lästigen Begleiter eingefangen. Zunächst wurde meine Browserstartseite ständig im Sekundentakt auf about :blank geändert. Ich lud mir eine aktualisierte Version von AVir hinuter, - TR/Startpage...
Archiv
Du betrachtest: TR/Startpage auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.