Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/StartPage (https://www.trojaner-board.de/12480-tr-startpage.html)

kaejen 20.01.2005 15:45
TR/StartPage
 
Ich habe über Hijack This gescanned , aber bekomme den Trojaner nicht von meinem PC.

Es gab folgende Auswertung:

Logfile of HijackThis v1.99.0
Scan saved at 15:26:50, on 20.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
C:\WINDOWS\ANWENDUNGSDATEN\SETM.EXE
C:\WINDOWS\SYSTEM\XHKMFNL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {B5244B17-A0A4-A62E-843E-8C4DF7A773C5} - C:\WINDOWS\SYSTEM\PLRYX.DLL
O2 - BHO: (no name) - {D32F53C1-68AF-11D9-95C3-000D4C87CE6B} - C:\WINDOWS\SYSTEM\AIFE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\PROGRAMME\T-ONLINE\DIALERSCHUTZ-SOFTWARE\DEFENDER.EXE"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Windows AdService] C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Sodn] C:\WINDOWS\Anwendungsdaten\setm.exe
O4 - HKCU\..\Run: [Yfp] C:\WINDOWS\SYSTEM\xhkmfnl.exe
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O18 - Filter: text/html - {D32F53C0-68AF-11D9-95C3-000D23CB6BF0} - C:\WINDOWS\SYSTEM\AIFE.DLL
O18 - Filter: text/plain - {D32F53C0-68AF-11D9-95C3-000D23CB6BF0} - C:\WINDOWS\SYSTEM\AIFE.DLL

Wäre für Hilfe dankbar , wie ich den Trojaner löschen kann , da er den PC laufend lahm legt.

CU

Chris14 20.01.2005 18:37
das escan den virus nicht enfernt is normal. die freeversion kann nur finden nicht entfernen.
das musst du schon von hand erledigen

also führe das aus:

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
O2 - BHO: (no name) - {B5244B17-A0A4-A62E-843E-8C4DF7A773C5} - C:\WINDOWS\SYSTEM\PLRYX.DLL
O2 - BHO: (no name) - {D32F53C1-68AF-11D9-95C3-000D4C87CE6B} - C:\WINDOWS\SYSTEM\AIFE.DLL
O4 - HKLM\..\Run: [Windows AdService] C:\PROGRAM FILES\WINDOWS ADSERVICE\WINADSERV.EXE
O4 - HKCU\..\Run: [Sodn] C:\WINDOWS\Anwendungsdaten\setm.exe
O4 - HKCU\..\Run: [Yfp] C:\WINDOWS\SYSTEM\xhkmfnl.exe
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O18 - Filter: text/html - {D32F53C0-68AF-11D9-95C3-000D23CB6BF0} - C:\WINDOWS\SYSTEM\AIFE.DLL
O18 - Filter: text/plain - {D32F53C0-68AF-11D9-95C3-000D23CB6BF0} - C:\WINDOWS\SYSTEM\AIFE.DLL

3.dateien löschen
-lösche die datei aife.dll im ordner c:\windows\system
-lösche die datei xhkmfnl.exe im ordner c:\windows\system
-lösche die datei PLRYX.DLL im ordner c:\windows\system
-lösche die datei setm.exe im ordner C:\WINDOWS\Anwendungsdaten
-lösche den ordner C:\PROGRAM FILES\WINDOWS ADSERVICE
-lösche auch alle von escan beanstandeten dateien

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

chaosman 20.01.2005 18:41
@kaejen
falls die O15 nicht zu löschen sind
das erste posting dieser seite ist wahrscheinlich die lösung
http://www.trojaner-board.de/showthr...9&page=4&pp=10

chaosman

Chris14 20.01.2005 20:28
@chaosman

oh, von der lösung wusste ich ja noch garnet. kommt doch gleichmal in meine bookmarks^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55