Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: problem mit trojan.win32.startpage.is

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.08.2004, 00:18   #1
AW1
 
problem mit trojan.win32.startpage.is - Standard

problem mit trojan.win32.startpage.is



hallo,
ich hab seit ca. 2 wochen schwierigkeiten mit einem trojan.win32.startpage.is. hab schon einiges versucht ihn
wegzubringen, aber das ding kommt immer wieder. cws-shredder, avp, spybot s+d habens alle nicht geschafft. hab auch schonmal einige sachen mit dem HijackThis gefixt, wie es hier in dem board schon mal geraten wurde bei der art von trojaner, doch hat alles nix gebracht. hier mal ein aktuelles log von hijack this. vielleicht kann mir endlich jemand helfen, den trojaner wieder loszukriegen.

Logfile of HijackThis v1.97.7
Scan saved at 01:21:32, on 16.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\ANTIVIRAL TOOLKIT PRO\AVPM.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\PROGRAMME\HIJACKTHIS V1.97.7\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.37.com"); (C:\Programme\Netscape\Users\default\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot 1.3\SDHelper.dll
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\SYSTEM\ISAZIXO.DLL
O2 - BHO: (no name) - {5D1AC622-EE5B-11D8-B97A-00A072857F0F} - C:\WINDOWS\SYSTEM\FLCIA.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\NPQTPL~1.DLL
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .com/d/sr?xargs=02u3hs9yoajlUOuyDCRQClfyMTKkUdLcQY7OIP4BaQ0lqQ8ODHa9+JrZd63JvcnPKc5n8ybI5QrLCztedBmRe8zK1sTX0DYIUx0mEq4HZjMipmq4KZVJlJLK/Fy0vqBd9IoYsn46LRhl1Rgu867O4RQMKqs+Kjn8sMt2MZ/I2q3PiM3QxVc714IcfAzOZ4MZcCPdX9: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab

Alt 16.08.2004, 06:29   #2
Cidre
Administrator, a.D.
 
problem mit trojan.win32.startpage.is - Standard

problem mit trojan.win32.startpage.is



Hallo,

dein System ist nicht ausreichend gepatcht!
http://v4.windowsupdate.microsoft.com/de/default.asp
Zitat:
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.37.com"); (C:\Programme\Netscape\Users\default\prefs.js)
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\SYSTEM\ISAZIXO.DLL
O2 - BHO: (no name) - {5D1AC622-EE5B-11D8-B97A-00A072857F0F} - C:\WINDOWS\SYSTEM\FLCIA.DLL (file missing)
O12 - Plugin for .com/d/sr?xargs=02u3hs9yoajlUOuyDCRQClfyMTKkUdLcQY7OIP4BaQ0l qQ8ODHa9+JrZd63JvcnPKc5n8ybI5QrLCztedBmRe8zK1sTX0D YIUx0mEq4HZjMipmq4KZVJlJLK/Fy0vqBd9IoYsn46LRhl1Rgu867O4RQMKqs+Kjn8sMt2MZ/I2q3PiM3QxVc714IcfAzOZ4MZcCPdX9: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -

Wechsle in den abgesicherten Modus und lösche diese Datei:
C:\WINDOWS\SYSTEM\ISAZIXO.DLL

- Scanne mit aktualisierten ANTIVIRAL TOOLKIT PRO
- Neustart
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
- neues Log-File posten
__________________

__________________

Alt 17.08.2004, 02:54   #3
AW1
 
problem mit trojan.win32.startpage.is - Standard

problem mit trojan.win32.startpage.is



okay, hab die einträge gefixt. allerdings gab es auf meiner festplatte keine datei namens isazixo.dll

hab dann im abgesicherten modus nochmal cws-shredder
und dann avp durchlaufen lassen. beide fanden nichts mehr, was aber schon öfter der fall war. plötzlich war der
trojaner immer wieder da. naja, vielleicht ist er nun ja endgültig weg, ich hoffe es jedenfalls. updaten werde ich in den nächsten tagen und den firefox werd ich mir auch draufladen.

hier nun das neue hijack this logfile:

Logfile of HijackThis v1.97.7
Scan saved at 03:53:14, on 17.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS V1.97.7\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (C:\Programme\Netscape\Users\default\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot 1.3\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\NPQTPL~1.DLL
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
__________________

Alt 17.08.2004, 03:37   #4
Shadowdance
 
problem mit trojan.win32.startpage.is - Standard

problem mit trojan.win32.startpage.is



Hallo AW1,

lade dir vorsichtshalber entsprechend der Anweisung in diesem Thread eScan runter und update es online. Scanne damit Dein System im abgesicherten Modus offline.

Auf den Seiten der Trojaner-Info.de kannst Du Dich u.a. über vorbeugende Maßnahmen, wie beispielsweise einen Browserwechsel umfassend informieren.

Bitte poste nochmal ein logfile, wenn der Scan beendet ist und lass uns wissen, ob Dein Problem behoben ist.

Lieben Gruss,
SD

Alt 18.08.2004, 01:01   #5
AW1
 
problem mit trojan.win32.startpage.is - Standard

problem mit trojan.win32.startpage.is



okay, ich hab escan downgeloaded und es durchlaufen lassen. er fand auch ein paar sachen, die er umbenannt hat. aufgefallen ist mir, daß manchmal der task Iexplore mitläuft, auch wenn ich den internet-explorer gar nicht geöffnet hab, sondern z.b. den netscape. der task bleibt dann auch wenn ich nicht mehr im internet bin. das war
bislang nicht so.
nach wie vor, hab ich die eigentliche datei, die den ganzen ärger verursacht noch nicht gefunden, denk ich jedenfalls. denn diese isazixo.dll oder auch sonst irgendne neue dll ist nicht zu finden auf meinem PC.

windows update hab ich auch versucht, aber der PC installiert ne ewigkeit und zeigt dann nicht an, daß der update abgeschlossen wurde (auch nicht nach 4 stunden). komisch, naja. weis nun nicht genau, ob der update funktioniert hat, ich denk aber, daß es nicht vollständig fertig war.

hier nun also nochmal mein hijack-log.

Logfile of HijackThis v1.97.7
Scan saved at 01:55:56, on 18.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS V1.97.7\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.37.com/
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (C:\Programme\Netscape\Users\default\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot 1.3\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\NPQTPL~1.DLL
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...215.8071064815


Alt 18.08.2004, 09:08   #6
mmk
 
problem mit trojan.win32.startpage.is - Standard

problem mit trojan.win32.startpage.is



Benutze mal bitte eine neue HijackThis-Version zum Erstellen eines LogFiles und editiere dann deinen vorhergegangenen Beitrag. Ersetze das zuletzt gepostete Log durch das neue!

Zitat:
okay, ich hab escan downgeloaded und es durchlaufen lassen. er fand auch ein paar sachen, die er umbenannt hat.
Welche "paar Sachen"? Poste hier bitte das ScanLogFile von eScan!


Das Windowsupdate hat leider nicht funktioniert.
__________________
--> problem mit trojan.win32.startpage.is

Alt 18.08.2004, 11:53   #7
acesulfam
 
problem mit trojan.win32.startpage.is - Standard

problem mit trojan.win32.startpage.is



HI,
kämpfe auch seit einiges zeit mit dem kerl, leider bislang ohne erfolg,

ist in diesem fred behandelt.

Vieleicht hilft euch ja das (und mir )

mfg
aces

Alt 19.08.2004, 21:58   #8
AW1
 
problem mit trojan.win32.startpage.is - Standard

problem mit trojan.win32.startpage.is



okay hab jetzt neues hijack this drauf (v1.98.2). ausserdem hab ich hier jetzt auch das escan-logfile.
übrigens war der trojaner zwischendurch wieder da. der avp-monitor meldete ihn plötzlich wieder. der vorgang ist immer der gleiche. zuerst kommt immer ne meldung:

trojan.win32.startpage.is found in c:/windows/temporary internet files/content.ie5/wlwdg9mr/m[1].bin

direkt danach kommt dann meldung, daß irgendeine neue dll datei (die jedesmal einen anderen namen hat) im
windows/system ordner ist.

komischerweise kann ich die dll datei problemlos löschen, finde allerdings diese m[1].bin nie in den temporären
internet files (obwohl mein explorer auf alle dateien anzeigen ist und ich schon direkt nach dem file gesucht
habe ist nie ein m[1].bin zu finden)

echt zum kotzen, wie kriegt man den mist hier wieder los.

hier die logfiles:

escan V4.4.6

[0xfff80597] 17/08/2004 12:49:41:840 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM
[0xfff80597] 17/08/2004 12:49:41:840 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfff80597] 17/08/2004 12:49:45:250 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfff80597] 17/08/2004 12:49:45:250 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfff80597] 17/08/2004 12:49:45:250 :[msvLclnt.dll]TimeOut : ffffffff
[0xfff80597] 17/08/2004 12:49:45:250 :[msvLclnt.dll]Priority : NORMAL
[0xfff80597] 17/08/2004 12:49:45:850 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfff865df] 17/08/2004 12:49:57:770 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM
[0xfff865df] 17/08/2004 12:49:57:770 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfff865df] 17/08/2004 12:49:59:310 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfff865df] 17/08/2004 12:49:59:310 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfff865df] 17/08/2004 12:49:59:310 :[msvLclnt.dll]TimeOut : ffffffff
[0xfff865df] 17/08/2004 12:49:59:310 :[msvLclnt.dll]Priority : NORMAL
[0xfff865df] 17/08/2004 12:50:00:130 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfff86207] 17/08/2004 12:50:32:650 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\E-SCAN\MWAVSCAN.COM
[0xfff86207] 17/08/2004 12:50:32:650 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfff86207] 17/08/2004 12:50:34:130 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfff86207] 17/08/2004 12:50:34:130 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfff86207] 17/08/2004 12:50:34:130 :[msvLclnt.dll]TimeOut : ffffffff
[0xfff86207] 17/08/2004 12:50:34:130 :[msvLclnt.dll]Priority : NORMAL
[0xfff86207] 17/08/2004 12:50:34:740 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfff66197] 17/08/2004 12:53:39:890 :[msvLclnt.dll]ModuleName = C:\PROGRAMME\E-SCAN V4.4.6\MWAVSCAN.COM
[0xfff66197] 17/08/2004 12:53:39:890 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfff66197] 17/08/2004 12:53:41:430 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfff66197] 17/08/2004 12:53:41:430 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfff66197] 17/08/2004 12:53:41:430 :[msvLclnt.dll]TimeOut : ffffffff
[0xfff66197] 17/08/2004 12:53:41:430 :[msvLclnt.dll]Priority : NORMAL
[0xfff66197] 17/08/2004 12:53:42:090 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfffd9bd3] 18/08/2004 01:06:59:390 :[msvLclnt.dll]ModuleName = C:\PROGRAMME\E-SCAN V4.4.6\MWAVSCAN.COM
[0xfffd9bd3] 18/08/2004 01:06:59:390 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfffd9bd3] 18/08/2004 01:07:04:060 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfffd9bd3] 18/08/2004 01:07:04:060 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfffd9bd3] 18/08/2004 01:07:04:060 :[msvLclnt.dll]TimeOut : ffffffff
[0xfffd9bd3] 18/08/2004 01:07:04:060 :[msvLclnt.dll]Priority : NORMAL
[0xfffd9bd3] 18/08/2004 01:07:05:150 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfffd4a0f] 18/08/2004 01:07:59:260 :[msvLclnt.dll][00000001] File C:\WINDOWS\hcwsvins.exe infected by not-a-virus:Tool.Win32.Reboot
[0xfffd4a0f] 18/08/2004 01:10:46:180 :[msvLclnt.dll][00000001] File C:\W98INST\EBD.CAB infected by not-a-virus:Tool.DOS.Restart
[0xfffd4a0f] 18/08/2004 01:15:46:560 :[msvLclnt.dll][00000001] File C:\WINDOWS\COMMAND\EBD\EBD.CAB infected by not-a-virus:Tool.DOS.Restart
[0xfffd4a0f] 18/08/2004 01:20:40:410 :[msvLclnt.dll][00000001] File C:\WINDOWS\hcwsvins.exe infected by not-a-virus:Tool.Win32.Reboot
[0xfffd4a0f] 18/08/2004 01:32:39:220 :[msvLclnt.dll][00000001] File C:\Programme\Sound Forge 4.5\UEX_FORG.EXE infected by not-a-virus:Tool.Win32.Reboot
[0xfffd4a0f] 18/08/2004 01:44:41:160 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfffd9bd3] 18/08/2004 01:49:33:810 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfffd6e9d] 19/08/2004 20:29:24:990 :[msvLclnt.dll]ModuleName = C:\PROGRAMME\E-SCAN V4.4.6\MWAVSCAN.COM
[0xfffd6e9d] 19/08/2004 20:29:25:040 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfffd6e9d] 19/08/2004 20:29:30:750 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfffd6e9d] 19/08/2004 20:29:30:750 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfffd6e9d] 19/08/2004 20:29:30:750 :[msvLclnt.dll]TimeOut : ffffffff
[0xfffd6e9d] 19/08/2004 20:29:30:750 :[msvLclnt.dll]Priority : NORMAL
[0xfffd6e9d] 19/08/2004 20:29:33:010 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfffd522d] 19/08/2004 20:30:45:560 :[msvLclnt.dll][00000001] File C:\WINDOWS\hcwsvins.exe infected by not-a-virus:Tool.Win32.Reboot
[0xfffd522d] 19/08/2004 20:33:32:650 :[msvLclnt.dll][00000001] File C:\W98INST\EBD.CAB infected by not-a-virus:Tool.DOS.Restart
[0xfffd522d] 19/08/2004 20:38:45:120 :[msvLclnt.dll][00000001] File C:\WINDOWS\COMMAND\EBD\EBD.CAB infected by not-a-virus:Tool.DOS.Restart
[0xfffd522d] 19/08/2004 20:43:47:150 :[msvLclnt.dll][00000001] File C:\WINDOWS\hcwsvins.exe infected by not-a-virus:Tool.Win32.Reboot
[0xfffd522d] 19/08/2004 20:55:55:350 :[msvLclnt.dll][00000001] File C:\Programme\Sound Forge 4.5\UEX_FORG.EXE infected by not-a-virus:Tool.Win32.Reboot
[0xfffd522d] 19/08/2004 21:07:57:680 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09
[0xfffd6e9d] 19/08/2004 22:17:43:170 :[msvLclnt.dll]VirusCount = 100135 Latest Date = 2004/08/09

hier nun noch das HijackThis v1.98.2 log:

Logfile of HijackThis v1.98.2
Scan saved at 22:47:14, on 19.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ANTIVIRAL TOOLKIT PRO\AVPM.EXE
C:\DISK\HIJACKTHIS\HIJACKTHIS.EXE
C:\PROGRAMME\ULTRAEDIT\UEDIT32.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.37.com/
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (C:\Programme\Netscape\Users\default\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot 1.3\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\NPQTPL~1.DLL
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

ich weis nun echt nicht mehr was ich noch machen soll, ich will doch nicht den ganzen PC neu installieren nur wegen so nem blöden trojaner.

Antwort

Themen zu problem mit trojan.win32.startpage.is
.com, .inf, avp, bho, bla, button, explorer, file missing, hijack, hijackthis, internet, internet explorer, links, log, logitech, microsoft, object, problem, programme, registry, rundll32.exe, shockwave, software, spybot, system, temp, trojaner, windows, windows\temp



Ähnliche Themen: problem mit trojan.win32.startpage.is


  1. Win32/StartPage.OPH trojan in C:\Users\uli\Downloads\vlc-2.0.0-win32.exe
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (30)
  2. habe Mind. 2 Trojaner Trojan.StartPage.bfa + Trojan.Win32.Jaludle!
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (1)
  3. Trojan.win32.StartPage
    Plagegeister aller Art und deren Bekämpfung - 16.09.2006 (2)
  4. Trojan.Win32.StartPage.bf
    Plagegeister aller Art und deren Bekämpfung - 02.09.2005 (7)
  5. Trojan.Win32.StartPage.my???
    Plagegeister aller Art und deren Bekämpfung - 06.05.2005 (8)
  6. Trojan.Win32.StartPage.uz
    Plagegeister aller Art und deren Bekämpfung - 04.05.2005 (4)
  7. Trojan.Win32.StartPage.nk
    Plagegeister aller Art und deren Bekämpfung - 05.04.2005 (5)
  8. trojan.win32.startpage.ws
    Plagegeister aller Art und deren Bekämpfung - 28.03.2005 (3)
  9. Trojan Win32.Startpage.gn, gr, ix,ti uh, HILFE
    Plagegeister aller Art und deren Bekämpfung - 09.03.2005 (3)
  10. Trojan.Win32.StartPage.tr
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (14)
  11. Trojan.Win32.StartPage.ig
    Log-Analyse und Auswertung - 09.01.2005 (5)
  12. Trojan.Win32.StartPage.nk will nicht weg
    Plagegeister aller Art und deren Bekämpfung - 15.12.2004 (1)
  13. Trojan.Win32.StartPage.au
    Plagegeister aller Art und deren Bekämpfung - 29.07.2004 (4)
  14. Trojan.win32.StartPage.is
    Log-Analyse und Auswertung - 26.07.2004 (4)
  15. Trojan.Win32.StartPage.is
    Plagegeister aller Art und deren Bekämpfung - 01.07.2004 (2)
  16. trojan.win32.Startpage. is Tipp?
    Log-Analyse und Auswertung - 26.06.2004 (3)
  17. Trojan.Win32.StartPage.ee
    Plagegeister aller Art und deren Bekämpfung - 10.04.2004 (7)

Zum Thema problem mit trojan.win32.startpage.is - hallo, ich hab seit ca. 2 wochen schwierigkeiten mit einem trojan.win32.startpage.is. hab schon einiges versucht ihn wegzubringen, aber das ding kommt immer wieder. cws-shredder, avp, spybot s+d habens alle nicht - problem mit trojan.win32.startpage.is...
Archiv
Du betrachtest: problem mit trojan.win32.startpage.is auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.