Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.StartPage.gv? pkiggb.dll?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.05.2004, 17:03   #1
LeBensch
 
Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



Hallo zusammen,
Laut Kaperskys Antivirus Service ist die Datei pkiggb.dll im System32-Verzeichnis meines WindowsXP der Trojaner "Trojan.Win32.StartPage.gv".
Den Trojaner hab ich in diverse Foren, etc. schon mit allen möglichen Endungen gefunden nur nicht mit der Endung *.gv .
Spybot, Adaware, HiJackthis und der neuste CWS-Shredder haben ihn zwar gelöscht, beim nächsten Systemstart war er aber wieder da.

HiJackThis spuckt mir folgendes aus:

Logfile of HijackThis v1.97.7
Scan saved at 17:58:48, on 07.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\YAHOO!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC07.EXE
E:\Benji\Antivirenprogramme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0C35E395-AA5D-48E0-9FE1-D844F6A52512} - C:\WINDOWS\System32\pkiggb.dll
O2 - BHO: (no name) - {24F70112-461F-44FF-99E1-AFF40590FC2A} - C:\WINDOWS\System32\ehbcm.dll (file missing)
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVCOMS] C:\WINDOWS\System32\LVCOMS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACE6F132-7A0E-478A-9835-22AE99AA835B}: NameServer = 217.237.151.161 194.25.2.129

----------------

Alle Einträge mit der pkiggb.dll hab ich gefixt...hab ich da sonst noch was übersehen?

Weiß jemand Rat, wie ich das Teufelszeug wieder von meinem Rechner runterbekomm?

Viele Grüße
LeBensch

Alt 07.05.2004, 17:45   #2
Lutz
 

Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



Hallo LeBensch und Willkommen im Board,

dass 'deine' Variante mit der Endung *.gv noch nicht zu ergooglen ist, liegt imho daran, dass es sich um eine ganz frische Variante handelt.

Zu den zu fixenden Einträgen gehören auch diese:
</font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank </font>[/QUOTE]Allerdings ist diesem Hijacker 'per Knopfdruck' noch nicht beizukommen.
Lies dir hier bitte mal mein Post vom 05. Mai 2004 09:11 durch und führe die Schritte aus.
__________________

__________________

Alt 08.05.2004, 19:27   #3
LeBensch
 
Trojan.Win32.StartPage.gv? pkiggb.dll? - Unglücklich

Trojan.Win32.StartPage.gv? pkiggb.dll?



Hallo,
ich krieg hier echt noch die Krise....
ich versuche nun schon seit Stunden diesen SCH****-Trojaner wegzubekommen, aber dieser erweist sich als ziemlich hartnäckig.
Lutz, ich hab das andere Posting durchforstet und alles mal ausprobiert...ohne Erfolg...
Aber meine neueste Erkenntnis ist folgende:
die Datei pkiggb.dll ist jetzt auf einmal die Datei afmg.dll (Beide im System32-Ordner), also der Trojaner sitzt jetzt dort ;o)
Was mach ich nur, was mach ich nur?!
__________________

Alt 08.05.2004, 19:59   #4
Lutz
 

Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



Kurze Rückfragen:

Hast Du die Systemwiederherstellung vor den Reinigungsversuchen deaktiviert?

Hast Du den Rechner im abgesicherten Modus gestartet, als Du die Reinigung versucht hast?

Hast Du die 'xfind-Variante' auch ausgeführt?
Wenn ja, wird Dir eine dll in der Datei files.txt angezeigt?

Das die DLL jedesmal anders heißt ist 'normal', das ist der 'Trick' dieses Hijackers.
Poste doch bitte noch einmal ein aktuelles Log von HijackThis.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 08.05.2004, 20:22   #5
LeBensch
 
Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



Hallo,
Systemwiederherstellung ist bei mir standardmäßig immer deaktiviert.
Hab die Reinigungsversuche im abgesicherten Modus durchgeführt und auch die xfind-Variante ausprobiert (sofern das kleine Progrämmlein unter Find-all.zip das richtige war)
Angezeigt wurde eine Datei namens ctlb.dll im System32-Ordner(file read error) die ich zwar manuell im System32-Ordner nicht gefunden habe, die killbox konnte diese aber wohl löschen...

...und hier noch das aktuelle HijackThis Logfile

Logfile of HijackThis v1.97.7
Scan saved at 21:04:46, on 08.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\GoZilla\Go.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Benji\Antivirenprogramme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {24F70112-461F-44FF-99E1-AFF40590FC2A} - C:\WINDOWS\System32\ehbcm.dll (file missing)
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll
O2 - BHO: (no name) - {E1E20964-8FB7-474D-B75B-FB44273F82C5} - C:\WINDOWS\System32\afmg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: VollKonkret.exe.lnk = E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACE6F132-7A0E-478A-9835-22AE99AA835B}: NameServer = 217.237.151.161 194.25.2.129

Viele Grüße
LeBensch


Alt 08.05.2004, 20:45   #6
Lutz
 

Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



</font><blockquote>Zitat:</font><hr />... die killbox konnte diese aber wohl löschen.. </font>[/QUOTE]Das kann durchaus ein Trugschluß sein. Hast Du mal die Wiederherstellungskonsole gestartet und damit geschaut, ob die dll wirklich gelöscht wurde?

Nachtrag-
Bei einem erneuten Versuch muss folgendes gefixt werden:
</font><blockquote>Zitat:</font><hr />
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {24F70112-461F-44FF-99E1-AFF40590FC2A} - C:\WINDOWS\System32\ehbcm.dll (file missing)
O2 - BHO: (no name) - {E1E20964-8FB7-474D-B75B-FB44273F82C5} - C:\WINDOWS\System32\afmg.dll
</font>[/QUOTE]

[ 08. Mai 2004, 21:50: Beitrag editiert von: Lutz (DerBilk) ]
__________________
--> Trojan.Win32.StartPage.gv? pkiggb.dll?

Alt 08.05.2004, 22:40   #7
LeBensch
 
Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



Lutz, du bist ein Schatz.
Ich denke, nein ich glaube, nein ich hoffe, dass ich ihn nun endlich los habe...nach mehreren Neustarts war der trojanische Freund nicht mehr da, die Startseite des IE ist wieder ne leere Seite und HijackThis findet, soweit ich das sehe, auch nix mehr...
...hier das aktuell logfile:

Logfile of HijackThis v1.97.7
Scan saved at 23:37:01, on 08.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe
C:\WINDOWS\system32\ntvdm.exe
E:\Benji\Antivirenprogramme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: VollKonkret.exe.lnk = E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab

Danke, Danke, Danke [img]smile.gif[/img]

Viele Grüßles
LeBensch

Alt 08.05.2004, 22:42   #8
LeBensch
 
Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



...ah übrigens: wie krieg ich jetzt die Wiederherstellungskonsole weg, sodass ich nicht bei jedem Systemstart entscheiden muss, ob ich nun windoof oder die wiederherstellungskonsole starten will?

Alt 09.05.2004, 13:04   #9
LeBensch
 
Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



Hmmmmm.....also so ganz sicher bin ich mir nun doch net...beim ersten Systemstart heute, hatte ich wieder diese komische Seite im IE...und HijackThis zeigt folgendes an (man beachte die mrhop.dll):

Logfile of HijackThis v1.97.7
Scan saved at 14:02:54, on 09.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\windows\winlogon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Benji\Antivirenprogramme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - Startup: VollKonkret.exe.lnk = E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACE6F132-7A0E-478A-9835-22AE99AA835B}: NameServer = 217.237.151.161 194.25.2.129

Die mrhop.dll find ich auch im system32-Ordner nicht...HiJackThis zeigt sie aber an.
Aber seither macht sich der Trojaner nicht mehr bemerkbar und xfind findet sowohl im abgesicherten Modus, als auch im normalen Modus keine Datei mehr....komisch komisch...mal abwarten...

Grüßles
LeBensch

Alt 09.05.2004, 18:48   #10
Lutz
 

Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



Hallo LeBensch,

du 'siehst' mich etwas ratlos...

Ich dachte, wir wären auf dem richtigen Weg. Hast Du diesen Scanner schon einmal über den Rechner gejagt?
eScan

Bzw, kommen die Einträge jetzt auch wieder, wenn Du sie jetzt noch einmal fixt?

</font><blockquote>Zitat:</font><hr />...ah übrigens: wie krieg ich jetzt die Wiederherstellungskonsole weg, sodass ich nicht bei jedem Systemstart entscheiden muss, ob ich nun windoof oder die wiederherstellungskonsole starten will?</font>[/QUOTE]Ich würde die Wiederherstellungskonsole drauf lassen und die Auswahl im Bootmanager so ändern, dass das 'normale' XP an erster Stelle steht und evtl. den Countdown von Standard 30 Sekunden auf einen geringeren Wert (5 Sek. ?) ändern.

Nachtrag:
</font><blockquote>Zitat:</font><hr />O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab </font>[/QUOTE]Den Eintrag solltest Du auch noch fixen.
SpywareBlaster erkennt das als FunWebProducts, was auch immer damit genau gemeint sein mag.

[ 09. Mai 2004, 19:58: Beitrag editiert von: Lutz (DerBilk) ]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 10.05.2004, 11:56   #11
LeBensch
 
Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



...und ich habe keine Antwort auf folgendes:
Der Trojaner ist weg!!!
Heute kommt weder diese ominöse Startseite, noch findet HijackThis irgendeine verdächtige DLL...und ich weiß nicht, was ich seit gestern morgen geändert habe...sehr komisch...aber Hauptsache das Ding ist weg. [img]smile.gif[/img]

Dieser Eintrag:
--------------------------------------------------------------------------------
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
--------------------------------------------------------------------------------
gehört zu so ner Smilypalette vom YahooMessi...also nix ungewolltes.

Wie stell ich denn den Countdown beim Booten auf 5 Sek?

Also fassen wir zusammen für alle, die vom selben Trojaner befallen werden sollten:
Xfind runterladen - Wiederherstellungskonsole installieren - im abgesicherten Modus starten - xfind drüber laufen lassen - von xfind gefundene DLL mit der Wiederherstellungskonsole löschen (falls sich da was dagegen sträubt, dann zuerst umbenennen und dann löschen) - danach HijackThis nochmal drüber jagen und alle verdächtigen DLLs löschen - fertig

Hab ich was vergessen?`

Viele Grüßles und Danke nochmal, Lutz
LeBensch

Alt 10.05.2004, 12:35   #12
Lutz
 

Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



Fangen wir mit dem Einfachen an:

</font><blockquote>Zitat:</font><hr />Wie stell ich denn den Countdown beim Booten auf 5 Sek?</font>[/QUOTE]Rechtsklick auf Arbeitsplatz -&gt; Eigenschaften dort unter Starten und Wiederherstellen -&gt; Einstellungen.

Unter Standardbetriebssystem kannst Du auswählen, ob das 'normale XP' oder die 'XP-Wiederherstellungskonsole' als Standard definiert sein soll.
Darunter gibt es eine Klickbox mit dem Titel 'Anzeigedauer der betriebssystemliste' und ein Feld, in den Du einen Wert in Sekunden angeben kannst. Hier musst Du nur die Klickbox aktivieren und den gewünschten Wert (bspw. 5 Sek.) eingeben.

Deine Zusammenfassung ist im Grunde genau richtig. [img]graemlins/daumenhoch.gif[/img]
Es gibt allerdings vermehrt Berichte, wonach die dll auch dann immer noch nicht endgültig weg ist, bzw. unter einem neuen Namen erneut erstellt wird.
Ich hoffe für Dich, dass Du das Problem wirklich endgültig los bist. Aber meine Hand würde ich dafür zur Zeit nicht in's Feuer legen...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 11.05.2004, 16:39   #13
LeBensch
 
Trojan.Win32.StartPage.gv? pkiggb.dll? - Beitrag

Trojan.Win32.StartPage.gv? pkiggb.dll?



So...Tag 2 nach der Trojanerbereinigung und ich kann, denke ich, mit ziemlicher Sicherheit sagen, dass mein System trojanerfrei ist. Mission geglückt sozusagen...HiJackthis findet nix mehr und es kommen auch keine ungewollten Seiten mehr im IE...Vielen Dank nochmal Lutz [img]redface.gif[/img] )

Viele Grüßles
Benji

Antwort

Themen zu Trojan.Win32.StartPage.gv? pkiggb.dll?
adobe, antivirus, askbar, bho, dateien, diverse, drivers, excel, explorer, file missing, firewall, foren, gelöscht, hijack, hijackthis, icq, internet, internet explorer, meinem, messenger, microsoft, nicht, obfuscated, programme, rundll, shockwave, software, sun java, system, t-online, tcpip, trojaner, träge, windows xp, windowsxp, yahoo



Ähnliche Themen: Trojan.Win32.StartPage.gv? pkiggb.dll?


  1. Win32/StartPage.OPH trojan in C:\Users\uli\Downloads\vlc-2.0.0-win32.exe
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (30)
  2. habe Mind. 2 Trojaner Trojan.StartPage.bfa + Trojan.Win32.Jaludle!
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (1)
  3. Trojan.win32.StartPage
    Plagegeister aller Art und deren Bekämpfung - 16.09.2006 (2)
  4. trojan.win32.startpage.he entfernen?
    Plagegeister aller Art und deren Bekämpfung - 09.09.2005 (5)
  5. Trojan.Win32.StartPage.bf
    Plagegeister aller Art und deren Bekämpfung - 02.09.2005 (7)
  6. Trojan.Win32.StartPage.my???
    Plagegeister aller Art und deren Bekämpfung - 06.05.2005 (8)
  7. Trojan.Win32.StartPage.uz
    Plagegeister aller Art und deren Bekämpfung - 04.05.2005 (4)
  8. Trojan.Win32.StartPage.nk
    Plagegeister aller Art und deren Bekämpfung - 05.04.2005 (5)
  9. trojan.win32.startpage.ws
    Plagegeister aller Art und deren Bekämpfung - 28.03.2005 (3)
  10. Trojan.Win32.StartPage.tr
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (14)
  11. Trojan.win32.startpage.qh Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 10.01.2005 (3)
  12. Trojan.Win32.StartPage.ig
    Log-Analyse und Auswertung - 09.01.2005 (5)
  13. problem mit trojan.win32.startpage.is
    Log-Analyse und Auswertung - 19.08.2004 (7)
  14. Trojan.Win32.StartPage.au
    Plagegeister aller Art und deren Bekämpfung - 29.07.2004 (4)
  15. Trojan.win32.StartPage.is
    Log-Analyse und Auswertung - 26.07.2004 (4)
  16. Trojan.Win32.StartPage.is
    Plagegeister aller Art und deren Bekämpfung - 01.07.2004 (2)
  17. Trojan.Win32.StartPage.ee
    Plagegeister aller Art und deren Bekämpfung - 10.04.2004 (7)

Zum Thema Trojan.Win32.StartPage.gv? pkiggb.dll? - Hallo zusammen, Laut Kaperskys Antivirus Service ist die Datei pkiggb.dll im System32-Verzeichnis meines WindowsXP der Trojaner "Trojan.Win32.StartPage.gv". Den Trojaner hab ich in diverse Foren, etc. schon mit allen möglichen Endungen - Trojan.Win32.StartPage.gv? pkiggb.dll?...
Archiv
Du betrachtest: Trojan.Win32.StartPage.gv? pkiggb.dll? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.