Trojan.Win32.StartPage.my???

planine · 05.05.2005, 23:19

erst einmal danke für deinen support

pestpatrol zeigt mir an, dass der trojaner auf C:\WINDOWS\svchost.exe sein soll. leider wurden mir keine möglichkeiten zur entfernung oder ähnlichem angeboten - habe mit dem antivir guard (ist immer aktiviert), mit stinger und mit noch einem onlinescanner gesucht, aber keine meldungen mehr bekommen. mc afee hat auch nichts gefunden!!! nur dieses pestpatrol zeigt an, dass auf C etwas sein soll

mein rechner ist nach wie vor sehr sehr langsam

cpu-auslastung zeigt gelegentlich eine auslastung, trotz nichts-tun, von bis zu 60% an ?! ist doch auch nicht normal oder?

hier jetzt die logfiles im abgesicherten und im normalen modus - für mich ist das alles hirikiri und ich weiss echt nicht was zu tun ist

ABGESICHERTER MODUS mehr steht da nicht

Logfile of HijackThis v1.99.1
Scan saved at 21:58:35, on 5.5.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\Admin.ADMIN\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [Anti Spyware] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...b?971381934953
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

NORMALER MODUS

Logfile of HijackThis v1.99.1
Scan saved at 00:13:49, on 6.5.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Admin.ADMIN\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [Anti Spyware] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...b?971381934953
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...84/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F46B3A-95B1-41B4-AD4B-031F68F34A8C}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F46B3A-95B1-41B4-AD4B-031F68F34A8C}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Cidre · 05.05.2005, 23:39

Hallo planine,

deine erstellten Log-Files sind in Ordnung.
Welcher Prozess verursacht denn die hohe Auslastung?

Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.
Beachte die Hinweise!

planine · 06.05.2005, 01:01

hallo cidre,
auch dir ein fettes danke, dass du dich meiner angenommen hast.

das ist eine sehr gute frage, welcher prozess diese auslastung verursacht?!?
wenn ich die prozesse beobachte sehe ich immer nur 2 % bis max 10% sobald ich aber in dem reiter systemleistung schaue steigt die kurve bis auf 60 %

habe escan durgeführt und folgende log-infos erhalten:

File System Found infected by "cws.smartsearch Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{EA871ED6-645E-498A-A47B-F2B88EF3ADD7}\RP1\A0000009.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

ist denn dieser trojaner nun bei mir drauf? ich verstehe nicht so recht warum ein scanner etwas findet und ein anderer, wie z. b. mein antivir-guard, nicht.

naja, ich bin ja "noch" anfänger - hoffe ich stelle mich nicht zu dumm an und bin nicht all zu anstrengend!

rock · 06.05.2005, 09:02

na auch nicht schlecht...PESTpatrol erkennt BAckdoors und antivir schaut zu!

wie man in den abgesicherten modus kommt, und wie du vorher die systemwiederherstellung ebi XP ausschaltest ist in meiner signatur unter JEDEM posting hinter einem orangenfarbigen link erklärt!

die systemwiederherstellung sowie schon deaktivieren weil ein eintrag bereits im restore bereich ist, und so bekommst du das weg!

also...das machst du nun, und dann killst was du noch findest du mit pespatrol das ding! ausser im restore bereich! da findest du dann nix mher, der eintrag geht weg wenn du nur die Systemwiederherstellung auschaltest, mehr nicht!

planine · 06.05.2005, 21:57

tausend dank für eure hilfe

(und die eines kumpels, den ich dann noch dazugezogen habe

)
kein scanner zeigt mehr eine virus an :aplaus:

bleibt nur noch das rätsel wegen der cpu-auslastung im ruhestand des rechners
oder soll ich hierzu einen neuen topic starten?

LG & ein schönes wochenende
planine

05.05.2005, 23:39	#2
Cidre Administrator, a.D.	Trojan.Win32.StartPage.my??? Hallo planine, deine erstellten Log-Files sind in Ordnung. Welcher Prozess verursacht denn die hohe Auslastung? Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information. Beachte die Hinweise! __________________ __________________

Trojan.Win32.StartPage.my???

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.StartPage.my???