Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.06.2004, 20:35   #1
SimNik
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



Sers Leute;
ich hoffe ihr könnt mir vielleicht helfen. Seit gestern abend hab ich einen Trojaner der TR/start page.ig.1 heißt auf meinem Rechner. könnt ihr mir vielleicht helfen? Os: WinXp home edition

Alt 01.07.2004, 21:42   #2
*Christian*
Gast
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



Bitte liefere mal ein HijackThis-Log ab.
Links zu HijackThis findest du überall im Forum.
__________________


Alt 22.07.2004, 15:40   #3
Patrick79
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



Logfile of HijackThis v1.98.0
Scan saved at 16:32:09, on 22.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\rmctrl.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\WINNT\system32\SPSPSPmssy.exe
C:\program files\internet optimizer\sim\msbb.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\internat.exe
F:\Programme\Skype\Phone\Skype.exe
C:\winnt\rundll32.exe
F:\WINNT\system32\winmm64.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\WINNT\explorer.exe
F:\Dokumente und Einstellungen\Rocketscientist\Desktop\antivir\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=F:\WINNT\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hellsuniverse
O21 - SSODL: System - {7015611E-FE75-4286-A797-56203A26FB64} - F:\WINNT\system32\system32.dll

Also:

Gleiches Prob, es geht um den TR/ Startpage.ig.1, welchen ich seit 2 Tagen auf dem Rechner hab. Weder Adaware, noch Antivir sind in der Lage ihn zu entfernen...wenn ich die Tips befolge die entsprechenden Dateien zu löschen und die Regeinträge zu ändern tut sich praktisch nichts. Das Rokop-Tool gegen die SP-spezies bringt auch nichts (war irgendwo anders in Zusammenhang mit dem gleichen/ähnlichen Prob verlinkt). Antivir meldet alle betroffenen Dateien erneut. (Alle paar Sekunden)
Das ist jetzt der Aktuellste Scan nachdem ich alles entfernt hab und alle Scanner die ich benutzen kann benutzt habe.

hier ist nochmal ein neuer scan eine Stunde später...

Logfile of HijackThis v1.98.0
Scan saved at 17:28:47, on 22.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\rmctrl.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\WINNT\system32\SPSPSPmssy.exe
C:\program files\internet optimizer\sim\msbb.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\internat.exe
F:\Programme\Skype\Phone\Skype.exe
C:\winnt\rundll32.exe
F:\WINNT\system32\winmm64.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\WINNT\explorer.exe
F:\Dokumente und Einstellungen\Rocketscientist\Desktop\antivir\HijackThis.exe
F:\WINNT\System32\taskmgr.exe
F:\mIRC\mirc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = F:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = F:\WINNT\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = F:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F:\WINNT\secure.html
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=F:\WINNT\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hellsuniverse
O21 - SSODL: System - {7015611E-FE75-4286-A797-56203A26FB64} - F:\WINNT\system32\system32.dll

:-/
__________________

Geändert von Patrick79 (22.07.2004 um 16:31 Uhr)

Alt 22.07.2004, 19:49   #4
*Christian*
Gast
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



Hier deine Auswertung: http://www.hijackthis.de/logfiles/b7...e67c7fed5.html
Kannst du eigentlich so fixen. (im abgesicherten Modus)

Bei deinem Iinternet optimize ist scheinbar Spyware mit drin:
C:\program files\internet optimizer\sim\msbb.exe
Die Datei msbb.exe löschen.

Sieht ebenfalls nach Malware aus:
F:\WINNT\system32\SPSPSPmssy.exe

Lass mal Escan laufen:
http://www.trojaner-board.de/showthread.php?t=6083

Außerdem solltest du mal www.windowsupate.com besuchen und die aktuelle Updates und Patches installieren.
Um solche Hijacker zukünftig zu vermeiden, wechsle den Browser: www.firefox-browser.de

Alt 22.07.2004, 21:08   #5
paff
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



@Patrick

Las EScan laufen wie Christian sagt

Dann Fixe im abgesicherten MOdus dies in HiJAckThis


O4 - HKLM\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe

Neustart und Log posten

Gruß paff


Alt 22.07.2004, 22:55   #6
*Christian*
Gast
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



SPSPSPmssy.exe wird scheinbar noch von keinem erkannt.

Wäre also wichtig, wenn du die Datei mal an paff, mmk oder mich schickst.

Alt 22.07.2004, 23:18   #7
paff
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



Zitat:
Zitat von *Christian*
SPSPSPmssy.exe wird scheinbar noch von keinem erkannt.

Wäre also wichtig, wenn du die Datei mal an paff, mmk oder mich schickst.
paff = mike_hangover@gozomail.com

Alt 23.07.2004, 16:39   #8
Patrick79
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



so habs dann gestern nach meinem letzten Post selber im abgesicherten Modus ohne Inet gemacht, diesmal aber alles abgeschossen (also auch die rundll etc.) was nicht zum laufenden sytem gehört, seitdem ists sauber, das simple killen der beschriebenen Prozesse und Regkeys hat vorher nicht ausgereicht!

die msbb.exe war und ist kein prob. erkannt wurden die auch alle (zumindest von antivir ---> spspspsmessy.exe ---> TR/startpage.ig.1), was dagegen aber nichts machen kann ausser vor (geblockten) Dateien zu warnen (alle 15 s)), selberlöschen ging natürlich nicht, Taskmanager ist ne Schießbude ohne echten Zugriff zum System, jede! Aktion in windows (klick auf start, arbeitsplatz, nen ordner oder ne datei) löst das script in der betreffenden Datei aus, also wird es immer wieder neu ausgelöst, jeder Klick auf Iex leitet auf die gehijackte Seite um (die kann man nicht ändern solange antivir läuft, weil antivir jeden klick in windows mit 5 fehlermeldungen kommentiert,...und nachdem man die alle bestätigt hat ist man wieder aufm desktop) das ganze war ne ziemlich verzwickte sache die ich vorher so noch nie erlebt habe und ich bin froh den scheiß wieder runter zu haben.
wer die datei mal haben will soll mir seine email geben
weg gehts wohl definitiv nur dann wenn man sowohl die .exe, die Prozesse, als auch die rundll mit HijackThis bearbeitet.

christian: was glaubste woher der firefoxprozess da kommt? vom iex? hast natürlich völlig recht, aber man kann sich ja leider nicht völlig davon frei machen...das die prozesse net gesund ist ist wohl jedem hier klar, ich wollte konkret wissen wie man dieses spezifische Problem 'antivirmeldung tr/startpage.ig.1' (oben kurz angerissen) löst. trotzdem vielen dank für die Hilfe allerseits.

mfG

Edit: da seit Ihr doch alle scharf drauf

Logfile of HijackThis v1.98.0
Scan saved at 17:44:59, on 23.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\Explorer.EXE
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\internat.exe
C:\winnt\rundll32.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\mIRC\mirc.exe
F:\Dokumente und Einstellungen\Rocketscientist\Desktop\antivir\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=F:\WINNT\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hellsuniverse

Geändert von Patrick79 (23.07.2004 um 16:58 Uhr)

Alt 23.07.2004, 17:02   #9
paff
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



@Patrick

Das hier ist immer noch BÖSE
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe

Solltest du Fixen

Meine EMAil-Addy steht obendran , bitte die Datei dahin schicken

Gruß paff

Alt 23.07.2004, 17:12   #10
*Christian*
Gast
 
wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Standard

wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter



Sorry, ich hatte den überlesen: F:\Programme\Mozilla Firefox\firefox.exe

Aber scheinbar nutzt du ja auch trotzdem noch den IE.
Mag schon sein, dass dir die msbb.exe keine Probleme bereitet:
Jedoch ist und bleibt dies Spyware.

Antwort

Themen zu wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter
abend, edition, gestern, hoffe, home, leute, meinem, rechner, runter, troja, trojaner, winxp, winxp home, xp home



Ähnliche Themen: wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter


  1. habe youtubeadblocke-malware auf meinem Rechner. Wie bekomme ich es wieder runter?
    Plagegeister aller Art und deren Bekämpfung - 01.09.2015 (11)
  2. Win 8: Sweet-Page und andere Malware auf meinem Rechner
    Log-Analyse und Auswertung - 26.09.2014 (9)
  3. My Start- Incredibar - noch immer auf meinem Rechner?
    Log-Analyse und Auswertung - 07.01.2013 (41)
  4. Chatzum und yontoo: wie bekomme ich dies wieder von meinem Rechner?
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (19)
  5. Rechner stürzt willkürlich ab und faehrt wieder runter
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (35)
  6. Trojan.Start.Page & Hijack.Start.Page
    Log-Analyse und Auswertung - 24.06.2012 (1)
  7. Virus auf meinem Rechner - MSE findet Sirefef immer wieder
    Log-Analyse und Auswertung - 03.03.2012 (16)
  8. PC lahmt/fährt nach dem Start gelegentlich wieder runter/avira update geht nicht mehr
    Log-Analyse und Auswertung - 06.12.2010 (17)
  9. Antivir lässt sich nicht aktivieren, und der Rechner fährt immer wieder runter!
    Antiviren-, Firewall- und andere Schutzprogramme - 10.12.2008 (0)
  10. Trojaner auf meinem Rechner bekomme sie nicht runter
    Plagegeister aller Art und deren Bekämpfung - 03.12.2008 (0)
  11. Nach dem start eines Spiel fährt mein rechner runter
    Plagegeister aller Art und deren Bekämpfung - 19.11.2008 (5)
  12. ntos.exe trojaner auf meinem rechner, bekomm den aber nicht weg :( was kann ich tun
    Log-Analyse und Auswertung - 15.10.2007 (4)
  13. Hifacker start page.anv sitzt im Rechner fest
    Log-Analyse und Auswertung - 15.04.2007 (4)
  14. mein rechner immer selbstständig runter un wieder hoch
    Alles rund um Windows - 29.03.2006 (1)
  15. bitte wie bekomm ich das alles runter ?
    Log-Analyse und Auswertung - 27.01.2006 (7)
  16. Rechner fährt immer wieder runter
    Plagegeister aller Art und deren Bekämpfung - 23.01.2006 (7)
  17. IRC Start = Rechner fährt runter ?!
    Log-Analyse und Auswertung - 20.09.2005 (2)

Zum Thema wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter - Sers Leute; ich hoffe ihr könnt mir vielleicht helfen. Seit gestern abend hab ich einen Trojaner der TR/start page.ig.1 heißt auf meinem Rechner. könnt ihr mir vielleicht helfen? Os: WinXp - wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter...
Archiv
Du betrachtest: wie bekomm ich den TR/start page.ig.1 von meinem rechner wieder runter auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.