TR/StartPage.aop.8

r4p1 · 24.06.2007, 18:34

Ich habe heute nach dem Programm Cool Edit Pro gesucht, und es von der Seite
h**p://deutsch.eazel.com/lv/group/view/kl36218/Cool_Edit_Pro.htm
runtergeladen, die Datei auch ausgeführt und das Programm installiert.

Als ich einige Zeit später mein Antivir updatete, bekam ich folgende Meldung:

"In der Datei 'D:\installer-24029-32-Cool-Edit-Pro-2-1-Deutsch.exe' wurde ein Virus oder unerwünschtes Programm 'TR/StartPage.aop.8' [TR/StartPage.aop.8] gefunden."

Ich habe zu diesem speziellen Trojaner über Google nichts gefunden, die Datei ist auf der entsprechenden Downloadseite komischerweise nichtmehr verfügbar. Ein Antivir-Suchlauf hat außer im Firefox-Cache nichtsmehr gefunden.

Hat jemand Informationen über StartPage.aop.8 oder darüber ob die Seite "eazel.com" vertrauenswürdig ist, und kann mir vielleicht sagen wie ich jetzt weiter verfahren sollte?

Vielen Dank!

cosinus · 24.06.2007, 21:46

Hm, ist recht schwer zu sagen, ob dort wirklich ein Schädling drin ist oder ob es nur ein Fehlalarm war. Eazel.com macht auf mich zwar keinen vertrauensunwürdigen Eindruck, aber es hat sich bewährt, Software nur von der Herstellerseite zu laden. Bei genauerem Blick ist es etwas merkwürdig, hab auch mal testweise eine Installdatei von WinRAR dort heruntergeladen, und die hat die gleiche größe wie von dem CoolEdit.
Ich hab mal spaßeshalber die Setupdatei heruntergeladen (ist noch downloadbar über den eazel.com-Link), und bei Virustotal auswerten lassen, einige Virenscanner sprangen dort an mit der Meldung "suspicious file" (verdächtige Datei) oder so ähnlich.

Ich würde an deiner Stelle erstmal *.eazel.com meiden. Poste doch auch mal bitte ein Hijackthis-Logfile.

r4p1 · 25.06.2007, 11:03

Dass die Dateien alle die gleiche Größe haben, liegt daran, dass es jeweils nur eine Art Downloadmanager ist, der die eigentlichen Installationsdateien für die Programme dann runterlädt und gleich ausführt.

---

Logfile of HijackThis v1.99.1
Scan saved at 11:49:34, on 25.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
D:\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\system32\ctfmon.exe
D:\mIRC\mirc.exe
D:\FIREFOX\FIREFOX.EXE
D:\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\1] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\atl.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\2] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\cpeaut32.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\3] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msjet35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\4] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msrd2x35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\5] C:\WINDOWS\system32\REGSVR32.EXE /s D:\OrCAD_Demo\Capture\pipspice.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\6] D:\OrCAD_Demo\PSpice\pspice.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\7] D:\OrCAD_Demo\PSpice\stmed.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\8] D:\OrCAD_Demo\PSpice\modeled.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\9] D:\OrCAD_Demo\PSpice\optimize.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\10] D:\OrCAD_Demo\PSpice\simsrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\11] D:\OrCAD_Demo\PSpice\mrksrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\12] D:\OrCAD_Demo\PSpice\appmgr.exe /regserver
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138526031187
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

cosinus · 25.06.2007, 17:58

Zitat:

O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\1] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\atl.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\2] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\cpeaut32.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\3] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msjet35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\4] C:\WINDOWS\system32\REGSVR32.EXE /s C:\WINDOWS\system32\msrd2x35.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\5] C:\WINDOWS\system32\REGSVR32.EXE /s D:\OrCAD_Demo\Capture\pipspice.dll
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\6] D:\OrCAD_Demo\PSpice\pspice.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\7] D:\OrCAD_Demo\PSpice\stmed.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\8] D:\OrCAD_Demo\PSpice\modeled.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\9] D:\OrCAD_Demo\PSpice\optimize.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\10] D:\OrCAD_Demo\PSpice\simsrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\11] D:\OrCAD_Demo\PSpice\mrksrvr.exe /regserver
O4 - HKLM\..\RunOnce: [.\PSpice Student 9.1\12] D:\OrCAD_Demo\PSpice\appmgr.exe /regserver

Ja hallo

was sind das denn für Einträge?
Hastdu zufällig die Software PSpice Student 9.1 installiert, den Rechner noch nicht neu gebootet und dann das HJT-Logfile erstellt?

nochdigger · 25.06.2007, 18:06

Moin cosinus,

zur Info :
Orcad ist ein Cad Programm aus der Richtung Elektrotechnik (ich durfte lernen damit umzugehen:aplaus: ) zum erstellen von Schaltungen.

MFG

EDIT in wie weit die Dateien sauber sind, vermag ich natürlich nicht zu sagen.

r4p1 · 27.06.2007, 15:21

Jo, das Programm hab ich aber von einer vertrauenswürdigen Seite runtergeladen, auf die Einträge muss man sich also nicht konzentrieren glaube ich ;-)

TR/StartPage.aop.8

Plagegeister aller Art und deren Bekämpfung: TR/StartPage.aop.8