Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/StarPage.NK.3

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.10.2004, 17:32   #1
Sergio2k
 
TR/StarPage.NK.3 - Standard

TR/StarPage.NK.3



Hallo,
Hab kleines Problem..Trojaner drauf Name ist Titel.
Hat sich im Pfad C:\Dokumente und Einstellungen\D4rK4nG3l\Lokale Einstellungen\Temporary Internet Files\Content.IE5 festgesetzt [heißt Protector[1]/[2]]
Spybot/Adaware erkennen nichts.
Bei jedem Neustart wird er von Antivir neu angezeigt.Öffnen sich dann lauter Pornoseiten.
Clearprog hab ich schon durchlaufen lassen.Hab im abgesicherten Modus Logfile gemacht.Ich weiß System ist sehr alt,mir im Moment egal hauptsache der Trojaner ist weg.
Wäre um jede Hilfe dankbar!!

Logfile of HijackThis v1.98.2
Scan saved at 16:28:57, on 29.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\D4RK4N~1\LOKALE~1\Temp\Rar$EX01.140\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmiracle.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] SP2.exe
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Microsoft] Microsoft.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] SP2.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft] Microsoft.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] SP2.exe
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://irc.whv-chat.de:8001/Java/cfs31229.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab


Gruß Sergio

Alt 29.10.2004, 17:52   #2
wusel
 
TR/StarPage.NK.3 - Standard

TR/StarPage.NK.3



Hallo Sergio2k, kleines Problem?!
Ich bin neu hier und möchte keine Lippe riskieren, aber dein Log ist für mich eine Katastrophe, habe beim Überfliegen, gleich ca. 15 Sachen gefunden, die schnell weg müssen.
Aber die Experten kommen sicher gleich und sagen was zu machen ist.
Liebe Grüße, Wusel
__________________


Alt 29.10.2004, 18:27   #3
michiman
 
TR/StarPage.NK.3 - Standard

TR/StarPage.NK.3



Kann mich da nur anschließen. Kleines Problem ist nett ausgedrückt. Kann Dir aber leider da auch nicht helfen, da ich gerade erst angefangen habe mich mit solchen Dingen zu beschäftigen. Aber es sieht wirklich nicht gut aus.

Mal ne Frage an die anderen:
Ich erkenne "O4 - HKCU\..\Run: [Microsoft Update Machine] SP2.exe" , aber wieso ist das System nicht auf dem neusten Stand ?
"Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)"

Zudem würde ich mich schonmal hier einlesen:
http://www.trojaner-board.de/42731-escan-anleitung.html
verlinken hat nicht geklappt!

Aber warte auf jeden Fall noch bis sich die Experten hier damit beschäftigt haben! Wird nicht mehr lange dauern!!!
__________________

Alt 29.10.2004, 18:39   #4
Haui45
 
TR/StarPage.NK.3 - Standard

TR/StarPage.NK.3



Zitat:
Mal ne Frage an die anderen:
Ich erkenne "O4 - HKCU\..\Run: [Microsoft Update Machine] SP2.exe" , aber wieso ist das System nicht auf dem neusten Stand ?
Das hat nichts mit dem ServicePack2 zu tun => http://www.trendmicro.com/vinfo/viru...WORM_SPYBOT.FP

@Sergio2k
auf deinem System sind wahrscheinlich einiger Backdoortrojaner aktiv. Führe bitte eScan im abgesicherten Modus aus und poste die gefundenen Viren ist Forum.

mfg Haui

Alt 29.10.2004, 18:56   #5
wusel
 
TR/StarPage.NK.3 - Standard

TR/StarPage.NK.3



@Haui45, ja nicht überall wo Microsoft draufsteht, ist auch Microsoft drin.
Das Teil muss auf alle Fälle weg!
Was meinst du was sich nicht alles unter MS tarnt, ist doch nur ein Name, damit kannst du fast jedes Schadprogramm benennen.
Liebe Grüße, Wusel


Alt 30.10.2004, 16:33   #6
Sergio2k
 
TR/StarPage.NK.3 - Standard

TR/StarPage.NK.3



Soll ich das dann außer Gefecht setzen?
"O4 - HKCU\..\Run: [Microsoft Update Machine] SP2.exe"


Hab eScan drüber laufen lassen, soll ich das ganze sau lange log reinkopieren?

Hab paar Ausschnitte wo er was erkannt hat:
Sat Oct 30 16:05:42 2004 => Scanning File C:\WINDOWS\System32\SP2.exe
Sat Oct 30 16:05:42 2004 => File C:\WINDOWS\System32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:05:01 2004 => Scanning File C:\WINDOWS\System32\Msbb.exe
Sat Oct 30 16:05:01 2004 => File C:\WINDOWS\System32\Msbb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:04:56 2004 => Scanning File C:\WINDOWS\System32\mntcgf032.exe
Sat Oct 30 16:04:57 2004 => File C:\WINDOWS\System32\mntcgf032.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Frage zwischendurch was heißt das?
Sat Oct 30 16:03:40 2004 => Scanning File C:\WINDOWS\System32\gearsec.exe
Sat Oct 30 16:03:40 2004 => ERROR!!! Invalid Entry \??\D:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...

und weiter gehts mit der SP2.exe
Sat Oct 30 16:03:35 2004 => Scanning File C:\WINDOWS\system32\mntcgf032.exe
Sat Oct 30 16:03:35 2004 => File C:\WINDOWS\system32\mntcgf032.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:35 2004 => Scanning File C:\WINDOWS\system32\SP2.exe
Sat Oct 30 16:03:35 2004 => File C:\WINDOWS\system32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:35 2004 => Scanning File C:\WINDOWS\system32\Msbb.exe
Sat Oct 30 16:03:35 2004 => File C:\WINDOWS\system32\Msbb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:33 2004 => Scanning File C:\WINDOWS\system32\mntcgf032.exe
Sat Oct 30 16:03:33 2004 => File C:\WINDOWS\system32\mntcgf032.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:33 2004 => Scanning File C:\WINDOWS\system32\SP2.exe
Sat Oct 30 16:03:34 2004 => File C:\WINDOWS\system32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:34 2004 => Scanning File C:\WINDOWS\system32\Msbb.exe
Sat Oct 30 16:03:34 2004 => File C:\WINDOWS\system32\Msbb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:34 2004 => ERROR!!! Invalid Entry Microsoft = Microsoft.exe. Removing it.

Sat Oct 30 16:06:03 2004 => Scanning File C:\silent53.exe
Sat Oct 30 16:06:04 2004 => File C:\silent53.exe tagged as not-a-virus:AdWare.ToolBar.EliteBar.q. No Action Taken.


Das wars was er entdeckt hatte..bitte um weitere Hilfe.Trojaner scheint weg zu sein.Hab Antivir im abgesicherten Modus drüber laufen lassen.Hat paar Einträge gefunden und gelöscht->wird nicht mehr angezeigt..

Alt 30.10.2004, 16:41   #7
Haui45
 
TR/StarPage.NK.3 - Standard

TR/StarPage.NK.3



Da gibts leider nur einen Ausweg: formatieren und neu aufsetzen und dabei nach dieser Anleitung vorgehen
Infos zu Rbot: http://www.sophos.de/virusinfo/analyses/w32rbotlt.html

Zitat:
# Ermöglicht Dritten den Zugriff auf den Computer
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
=> das System ist kompromittiert

Antwort

Themen zu TR/StarPage.NK.3
abgesicherten modus, antivir, avgnt.exe, bho, boot, button, content.ie5, ctfmon.exe, desktop, einstellungen, explorer, hijack, hijackthis, hilfe, internet, internet explorer, logfile, logitech, messenger, microsoft, neustart, nvcpl.dll, programme, rundll, rundll32.exe, software, sun java, system, system32, windows, windows xp



Ähnliche Themen: TR/StarPage.NK.3


  1. TR/Dldr.Troxen.804 , TR/starPage.PVU
    Log-Analyse und Auswertung - 30.11.2011 (1)
  2. Bekomme Trojaner TR/Starpage.sm nicht weg!
    Log-Analyse und Auswertung - 16.10.2005 (1)
  3. adclicker.ba & starpage.tr - externe festplatte als lösung?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2005 (3)
  4. Trojanisches Pferd TR/Starpage.qr.DLL
    Log-Analyse und Auswertung - 11.04.2005 (1)
  5. Starpage.nbs1 in Windows XP
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (1)

Zum Thema TR/StarPage.NK.3 - Hallo, Hab kleines Problem..Trojaner drauf Name ist Titel. Hat sich im Pfad C:\Dokumente und Einstellungen\D4rK4nG3l\Lokale Einstellungen\Temporary Internet Files\Content.IE5 festgesetzt [heißt Protector[1]/[2]] Spybot/Adaware erkennen nichts. Bei jedem Neustart wird er von - TR/StarPage.NK.3...
Archiv
Du betrachtest: TR/StarPage.NK.3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.