Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: startdrv.exe - wie weiß ich ob noch aktiv?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.11.2007, 20:02   #1
famdamo
 
startdrv.exe - wie weiß ich ob noch aktiv? - Unglücklich

startdrv.exe - wie weiß ich ob noch aktiv?



Hallo,

ich habe das Forum schon ein bißchen durchforstet. Ich habe oder hatte den startdrv.exe auf meinem PC.
Laut Anleitung habe ich über Virustotal nach folgenden Dateien gesucht:

C:\Programme\mrotazwn\yrenozcx.dll
C:\WINDOWS\avp.exe
C:\WINDOWS\Temp\startdrv.exe
C:\WINDOWS\system32\nnnljgg.dll
C:\WINDOWS\SYSTEM32\igfxsrvc.dll
C:\WINDOWS\SYSTEM32\winmfu32.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dkxezatq.dll
C:\WINDOWS\system32\userinit.exe


folgende wurde auch gefunden:
C:\WINDOWS\Temp\startdrv.exe

die Meldung dazu:

MD5: 424147fd6f568e3e2026dbd0a94b2ce6
Date: 2007.11.27 15:34:23 (CET) [<1D]
Results: 16/32
Permalink: resultado.html?e2b3babf7f3ce7d0804a823899eaca17


Was hat das zu bedeuten?
Ich habe die startdrv.exe aus meinem Temp gelöscht und den PC neu gestartet.
Nach dem Neustart die Fehlermeldung:
startdrv.exe hat einen Fehler verursacht. Bitte starten sie das Programm neu. Es wird ein Fehlerprotokoll erstellt.

Ich habe mit OK bestätigt. Die startdrv.exe ist aber wieder in meinem Temp Verzeichnis. Wie kriege ich die weg? Wo steht es, daß sie sich immer in mein Temp schreibt?

Anbei noch das log vom Hijack Programm:

Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure\Common\FSAA.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FSGK32.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINNT\System32\internat.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\mmbin.exe
C:\WINNT\System32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\mmgr.exe
C:\WINNT\mmregalka.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
D:\Eigene Dateien\Software\Viruserkennungsdatei\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.salzburg.com/
F3 - REG:win.ini: run=C:\WINNT\mmall.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Microsoft all2] C:\WINNT\mmall2.exe
O4 - HKLM\..\Run: [Microsoft all] C:\WINNT\mmall.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft all2] C:\WINNT\mmall2.exe
O4 - HKCU\..\Run: [Microsoft all] C:\WINNT\mmall.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Programme\F-Secure\BackWeb\7681197\Program\fsbwlan.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE

--
End of file - 4133 bytes


Dort ist sie nicht aufzufinden. Habe ich da noch etwas anderes "gefährliches drinnen.

Ich hoffe ihr könnt mir weiterhelfen!!
Danke einstweilen.
Grüße

Alt 27.11.2007, 20:25   #2
Jaipur
 
startdrv.exe - wie weiß ich ob noch aktiv? - Standard

startdrv.exe - wie weiß ich ob noch aktiv?



Hallo famdamo,

bei der "startdrv.exe" handelt es sich um diesen hier Troj/DropRk-A - Trojaner - Sophos Bedrohungsanalyse.

Das ist ein Rootkit-Trojaner. Auch wenn der "nur" in einer Temp- Datei gefunden wurde (zumal er laut Deiner Aussage dort nach Löschen und Neustart wieder vorhanden ist) würde ich den PC neuaufsetzen.

Und bei diesem Patch- Stand
Zitat:
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
erübrigen sich eigentlich sowieso alle weiteren Diskussionen. Warum ist das SP4 nicht installiert ???


Gruß

Jaipur
__________________


Alt 28.11.2007, 07:55   #3
famdamo
 
startdrv.exe - wie weiß ich ob noch aktiv? - Icon22

startdrv.exe - wie weiß ich ob noch aktiv?



Hallo Jaipur,

danke für die schnelle Antwort.
Gestern habe ich nach meinem Eintrag noch schnell die Registry durchsuchen lassen, ihn da gefunden und gelöscht.
Weiß nicht ob das viel geändert hat.
SP4 versuche ich schon dauernd zu installieren. Er bricht immer während der Installation ab. Während des Downloads der Patchdatei startet er einfach den PC neu und das wars dann.

Also wenns denn wirklich keine bessere Möglichkeit gibt, muß ich ja wohl neu aufsetzen.
Zum Schluß eine "dumme" Frage noch. Hätte ich den Trojaner verhindert, wenn ich ein neueres BS auf meinen PC gehabt hätte?
Wenn ich neu installiere würde ich nämlich wieder Win2000 nehmen. Genügt an sich für meine Zwecke.

Grüße
famdamo
__________________

Alt 28.11.2007, 17:00   #4
Jaipur
 
startdrv.exe - wie weiß ich ob noch aktiv? - Standard

startdrv.exe - wie weiß ich ob noch aktiv?



Hallo famdamo,

Zitat:
Hätte ich den Trojaner verhindert, wenn ich ein neueres BS auf meinen PC gehabt hätte?
Kann man nicht einfach mit "Ja" oder "Nein" beantworten. Wichtig ist, dass Du dein System immer auf dem neusten Patch- Stand hältst.

Ob Du eine Infektion mit einem Trojaner vermeiden kannst hängt natürlich auch entscheidend von Deinen Surf- und Downloadgewohnheiten sowie von der Benutzung eines eingeschränkten Benutzerkontos ab.

Zitat:
Wenn ich neu installiere würde ich nämlich wieder Win2000 nehmen. Genügt an sich für meine Zwecke.
Kannst Du bedenkenlos machen. Aber eben bitte immer aktuell gepatcht. Der Extended Support (= sicherheitskritische Updates) für W2k läuft meines Wissens nach noch bis Juli 2010.

Beste Grüße

Jaipur

Antwort

Themen zu startdrv.exe - wie weiß ich ob noch aktiv?
adobe, bho, dateien, einstellungen, explorer, f-secure, fehlermeldung, file, helper, hijack, hijackthis, internet, internet explorer, lan, log, microsoft, neu, neustart, outlook express, pdf, pdfcreator, programme, software, starten, system, temp, unknown file in winsock lsp, userinit.exe, virus, windows, windows\temp



Ähnliche Themen: startdrv.exe - wie weiß ich ob noch aktiv?


  1. Flashback: Mac-Botnetz angeblich noch aktiv
    Nachrichten - 10.01.2014 (0)
  2. GVU-Virus noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 06.07.2013 (11)
  3. ca.exe verschwunden aber noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (5)
  4. GVU-Trojaner nach Systemwiderherstellung noch aktiv ?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2012 (18)
  5. GUV Trojaner noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 29.08.2012 (21)
  6. Verschlüsselungstrojaner noch aktiv ? / Trojan.Randsom.A
    Log-Analyse und Auswertung - 16.08.2012 (34)
  7. Bundespolizei-Trojaner wohl doch noch aktiv....?
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (17)
  8. GVU-Trojaner nach Kaspersky Rescue noch aktiv?
    Log-Analyse und Auswertung - 07.08.2012 (13)
  9. Gema Virus: Nach der Entschlüsselung noch aktiv?
    Plagegeister aller Art und deren Bekämpfung - 08.06.2012 (1)
  10. Trojan ADH trotz format C: immer noch aktiv
    Log-Analyse und Auswertung - 14.02.2011 (1)
  11. hotkeyshook immer noch aktiv ?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2010 (7)
  12. Trojaner immer noch aktiv?
    Log-Analyse und Auswertung - 26.03.2010 (1)
  13. MSN Virus nach Formatierung noch aktiv
    Plagegeister aller Art und deren Bekämpfung - 17.05.2009 (3)
  14. Internet blockiert, Bagle noch aktiv?
    Log-Analyse und Auswertung - 28.04.2009 (4)
  15. Tojaner weg oder noch aktiv..
    Antiviren-, Firewall- und andere Schutzprogramme - 21.04.2009 (10)
  16. Trojaner noch aktiv???
    Log-Analyse und Auswertung - 05.05.2007 (28)
  17. rbot auch nach format noch aktiv...
    Plagegeister aller Art und deren Bekämpfung - 22.04.2005 (4)

Zum Thema startdrv.exe - wie weiß ich ob noch aktiv? - Hallo, ich habe das Forum schon ein bißchen durchforstet. Ich habe oder hatte den startdrv.exe auf meinem PC. Laut Anleitung habe ich über Virustotal nach folgenden Dateien gesucht: C:\Programme\mrotazwn\yrenozcx.dll C:\WINDOWS\avp.exe - startdrv.exe - wie weiß ich ob noch aktiv?...
Archiv
Du betrachtest: startdrv.exe - wie weiß ich ob noch aktiv? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.