Sers Leute;
ich hoffe ihr könnt mir vielleicht helfen. Seit gestern abend hab ich einen Trojaner der TR/start page.ig.1 heißt auf meinem Rechner. könnt ihr mir vielleicht helfen? Os: WinXp home edition

Bitte liefere mal ein HijackThis-Log ab.
Links zu HijackThis findest du überall im Forum.

Logfile of HijackThis v1.98.0
Scan saved at 16:32:09, on 22.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\rmctrl.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\WINNT\system32\SPSPSPmssy.exe
C:\program files\internet optimizer\sim\msbb.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\internat.exe
F:\Programme\Skype\Phone\Skype.exe
C:\winnt\rundll32.exe
F:\WINNT\system32\winmm64.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\WINNT\explorer.exe
F:\Dokumente und Einstellungen\Rocketscientist\Desktop\antivir\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=F:\WINNT\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hellsuniverse
O21 - SSODL: System - {7015611E-FE75-4286-A797-56203A26FB64} - F:\WINNT\system32\system32.dll

Also:

Gleiches Prob, es geht um den TR/ Startpage.ig.1, welchen ich seit 2 Tagen auf dem Rechner hab. Weder Adaware, noch Antivir sind in der Lage ihn zu entfernen...wenn ich die Tips befolge die entsprechenden Dateien zu löschen und die Regeinträge zu ändern tut sich praktisch nichts. Das Rokop-Tool gegen die SP-spezies bringt auch nichts (war irgendwo anders in Zusammenhang mit dem gleichen/ähnlichen Prob verlinkt). Antivir meldet alle betroffenen Dateien erneut. (Alle paar Sekunden)
Das ist jetzt der Aktuellste Scan nachdem ich alles entfernt hab und alle Scanner die ich benutzen kann benutzt habe.

hier ist nochmal ein neuer scan eine Stunde später...

Logfile of HijackThis v1.98.0
Scan saved at 17:28:47, on 22.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\rmctrl.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\WINNT\system32\SPSPSPmssy.exe
C:\program files\internet optimizer\sim\msbb.exe
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\internat.exe
F:\Programme\Skype\Phone\Skype.exe
C:\winnt\rundll32.exe
F:\WINNT\system32\winmm64.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\WINNT\explorer.exe
F:\Dokumente und Einstellungen\Rocketscientist\Desktop\antivir\HijackThis.exe
F:\WINNT\System32\taskmgr.exe
F:\mIRC\mirc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = F:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = F:\WINNT\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = F:\WINNT\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=hc
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=hc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=hc
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=hc
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F:\WINNT\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F:\WINNT\secure.html
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=F:\WINNT\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hellsuniverse
O21 - SSODL: System - {7015611E-FE75-4286-A797-56203A26FB64} - F:\WINNT\system32\system32.dll

:-/

Hier deine Auswertung: http://www.hijackthis.de/logfiles/b7...e67c7fed5.html
Kannst du eigentlich so fixen. (im abgesicherten Modus)

Bei deinem Iinternet optimize ist scheinbar Spyware mit drin:
C:\program files\internet optimizer\sim\msbb.exe
Die Datei msbb.exe löschen.

Sieht ebenfalls nach Malware aus:
F:\WINNT\system32\SPSPSPmssy.exe

Lass mal Escan laufen:
http://www.trojaner-board.de/showthread.php?t=6083

Außerdem solltest du mal www.windowsupate.com besuchen und die aktuelle Updates und Patches installieren.
Um solche Hijacker zukünftig zu vermeiden, wechsle den Browser: www.firefox-browser.de

@Patrick

Las EScan laufen wie Christian sagt

Dann Fixe im abgesicherten MOdus dies in HiJAckThis


O4 - HKLM\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [SPSPSPmssy] F:\WINNT\system32\SPSPSPmssy.exe

Neustart und Log posten

Gruß paff

SPSPSPmssy.exe wird scheinbar noch von keinem erkannt.

Wäre also wichtig, wenn du die Datei mal an paff, mmk oder mich schickst.

Zitat:

Zitat von *Christian*

SPSPSPmssy.exe wird scheinbar noch von keinem erkannt.

Wäre also wichtig, wenn du die Datei mal an paff, mmk oder mich schickst.

paff = mike_hangover@gozomail.com

so habs dann gestern nach meinem letzten Post selber im abgesicherten Modus ohne Inet gemacht, diesmal aber alles abgeschossen (also auch die rundll etc.) was nicht zum laufenden sytem gehört, seitdem ists sauber, das simple killen der beschriebenen Prozesse und Regkeys hat vorher nicht ausgereicht!

die msbb.exe war und ist kein prob. erkannt wurden die auch alle (zumindest von antivir ---> spspspsmessy.exe ---> TR/startpage.ig.1), was dagegen aber nichts machen kann ausser vor (geblockten) Dateien zu warnen (alle 15 s)), selberlöschen ging natürlich nicht, Taskmanager ist ne Schießbude ohne echten Zugriff zum System, jede! Aktion in windows (klick auf start, arbeitsplatz, nen ordner oder ne datei) löst das script in der betreffenden Datei aus, also wird es immer wieder neu ausgelöst, jeder Klick auf Iex leitet auf die gehijackte Seite um (die kann man nicht ändern solange antivir läuft, weil antivir jeden klick in windows mit 5 fehlermeldungen kommentiert,...und nachdem man die alle bestätigt hat ist man wieder aufm desktop) das ganze war ne ziemlich verzwickte sache die ich vorher so noch nie erlebt habe und ich bin froh den scheiß wieder runter zu haben.
wer die datei mal haben will soll mir seine email geben
weg gehts wohl definitiv nur dann wenn man sowohl die .exe, die Prozesse, als auch die rundll mit HijackThis bearbeitet.

christian: was glaubste woher der firefoxprozess da kommt? vom iex? hast natürlich völlig recht, aber man kann sich ja leider nicht völlig davon frei machen...das die prozesse net gesund ist ist wohl jedem hier klar, ich wollte konkret wissen wie man dieses spezifische Problem 'antivirmeldung tr/startpage.ig.1' (oben kurz angerissen) löst. trotzdem vielen dank für die Hilfe allerseits.

mfG

Edit: da seit Ihr doch alle scharf drauf

Logfile of HijackThis v1.98.0
Scan saved at 17:44:59, on 23.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\ZoneLabs\vsmon.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\Explorer.EXE
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINNT\System32\internat.exe
C:\winnt\rundll32.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\mIRC\mirc.exe
F:\Dokumente und Einstellungen\Rocketscientist\Desktop\antivir\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=F:\WINNT\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hellsuniverse
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hellsuniverse

@Patrick

Das hier ist immer noch BÖSE
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe

Solltest du Fixen

Meine EMAil-Addy steht obendran , bitte die Datei dahin schicken

Gruß paff

Sorry, ich hatte den überlesen: F:\Programme\Mozilla Firefox\firefox.exe

Aber scheinbar nutzt du ja auch trotzdem noch den IE.
Mag schon sein, dass dir die msbb.exe keine Probleme bereitet:
Jedoch ist und bleibt dies Spyware.