Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/StartPage (https://www.trojaner-board.de/12480-tr-startpage.html)

kaejen 20.01.2005 15:45
TR/StartPage
 
Ich habe über Hijack This gescanned , aber bekomme den Trojaner nicht von meinem PC.

Es gab folgende Auswertung:

Logfile of HijackThis v1.99.0
Scan saved at 15:26:50, on 20.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
C:\WINDOWS\ANWENDUNGSDATEN\SETM.EXE
C:\WINDOWS\SYSTEM\XHKMFNL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {B5244B17-A0A4-A62E-843E-8C4DF7A773C5} - C:\WINDOWS\SYSTEM\PLRYX.DLL
O2 - BHO: (no name) - {D32F53C1-68AF-11D9-95C3-000D4C87CE6B} - C:\WINDOWS\SYSTEM\AIFE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\PROGRAMME\T-ONLINE\DIALERSCHUTZ-SOFTWARE\DEFENDER.EXE"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Windows AdService] C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Sodn] C:\WINDOWS\Anwendungsdaten\setm.exe
O4 - HKCU\..\Run: [Yfp] C:\WINDOWS\SYSTEM\xhkmfnl.exe
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O18 - Filter: text/html - {D32F53C0-68AF-11D9-95C3-000D23CB6BF0} - C:\WINDOWS\SYSTEM\AIFE.DLL
O18 - Filter: text/plain - {D32F53C0-68AF-11D9-95C3-000D23CB6BF0} - C:\WINDOWS\SYSTEM\AIFE.DLL

Wäre für Hilfe dankbar , wie ich den Trojaner löschen kann , da er den PC laufend lahm legt.

CU

Chris14 20.01.2005 18:37
das escan den virus nicht enfernt is normal. die freeversion kann nur finden nicht entfernen.
das musst du schon von hand erledigen

also führe das aus:

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
O2 - BHO: (no name) - {B5244B17-A0A4-A62E-843E-8C4DF7A773C5} - C:\WINDOWS\SYSTEM\PLRYX.DLL
O2 - BHO: (no name) - {D32F53C1-68AF-11D9-95C3-000D4C87CE6B} - C:\WINDOWS\SYSTEM\AIFE.DLL
O4 - HKLM\..\Run: [Windows AdService] C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
O4 - HKCU\..\Run: [Sodn] C:\WINDOWS\Anwendungsdaten\setm.exe
O4 - HKCU\..\Run: [Yfp] C:\WINDOWS\SYSTEM\xhkmfnl.exe
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O18 - Filter: text/html - {D32F53C0-68AF-11D9-95C3-000D23CB6BF0} - C:\WINDOWS\SYSTEM\AIFE.DLL
O18 - Filter: text/plain - {D32F53C0-68AF-11D9-95C3-000D23CB6BF0} - C:\WINDOWS\SYSTEM\AIFE.DLL

3.dateien löschen
-lösche die datei aife.dll im ordner c:\windows\system
-lösche die datei xhkmfnl.exe im ordner c:\windows\system
-lösche die datei PLRYX.DLL im ordner c:\windows\system
-lösche die datei setm.exe im ordner C:\WINDOWS\Anwendungsdaten
-lösche den ordner C:\PROGRAM FILES\WINDOWS ADSERVICE
-lösche auch alle von escan beanstandeten dateien

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

chaosman 20.01.2005 18:41
@kaejen
falls die O15 nicht zu löschen sind
das erste posting dieser seite ist wahrscheinlich die lösung
http://www.trojaner-board.de/showthr...9&page=4&pp=10

chaosman

Chris14 20.01.2005 20:28
@chaosman

oh, von der lösung wusste ich ja noch garnet. kommt doch gleichmal in meine bookmarks^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131