Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/StartPage.IG.1 (https://www.trojaner-board.de/6454-tr-startpage-ig-1-a.html)

Arriba99 23.07.2004 03:21
TR/StartPage.IG.1
 
Hi,

hab mir den Trojaner "StartPage.IG.1" eingefangen und werd Ihn nicht mehr los. AntiVir findet Ihn immer in Windows/Hosts. Hab schon Ad-Aware, CWShredder & Spybot ohne Erfolg laufen lassen. Gibt´s ´ne Chance den wegzukriegen oder muss ich den Rechner neu aufsetzen?

Gruss, Arriba!!!


HijackThis Log:

Logfile of HijackThis v1.98.0
Scan saved at 04:22:53, on 23.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Extensis\Suitcase\Suitcase.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\PROGRA~1\PESTPA~1\ppcontrol.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\temp\xxx\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {C246B72A-8F63-433A-9B27-221AC97A3400} - C:\WINDOWS\System32\lcbh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [mtG-CAPRI-Client] C:\PROGRA~1\MTG-CA~1\Ghost.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/052f427a...dxIE601_de.cab
O16 - DPF: {AD684060-16D6-40C3-AF27-53956783430D} - http://www.xpehbam.biz/exploit.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{608CFAAC-94A3-4A45-AD02-1963DE09FFCA}: NameServer = 192.168.120.252,192.168.120.253

Remover 23.07.2004 10:16
Lade dir den unten erwahnten Scanner runter und update ihn wie beschrieben....

Dann Systemwiederherstellung unbedingt DEAKTIVIEREN

Abgesicherter Modus gehen (F8 beim booten) WICHTIG
im Explorer unter Extras Ordneroptionen (Ansicht) den haken bei
Erweiterungen bei bekannten Dateitypen ausblenden und
geschuetzte systemdateien ausblenden rausnehmen.
Sowie den Button bei ALLE Dateien und Ordner anzeigen setzen.

Hijackthis aufrufen und dann folgendes fixen:
(kein Explorer Fenster darf dabei offen sein, alles schliessen ausser Hijackthis)

Alle R - Eintraege
O2 - BHO: (no name) - {C246B72A-8F63-433A-9B27-221AC97A3400} - C:\WINDOWS\System32\lcbh.dll (file missing)
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {AD684060-16D6-40C3-AF27-53956783430D} - http://www.xpehbam.biz/exploit.exe

Loesche dann alle Temporaeren Verzeichnisinhalte samt Internet Explorer Cache auch das Temp in Dokumenten und Einstellungen/Username!!!¨


Scanne dein System am besten nach den Fixen nochmal hiermit (auch im abgesicherten Modus):
http://www.mwti.net/antivirus/free_utilities.asp

Scanner herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann im abgesicherten Modus, mit mwavscan.com deinen Rechner komplett scannen

Du solltest die Haken bei Memory, Registry , Startup Foldes, ,System Folders und Services, Drive, All Local Drives, Scan All Files setzen.
Dann den button Scan & Clean und das alles aus dem abgesicherten Modus raus.

Windows Update machen und alternativen Browser (z.b. Mozilla Firefox) installieren, wuerde ich dir empfehlen!

Arriba99 23.07.2004 13:03
Hey,

scheint tatsächlich funktioniert zu haben.

Ganz dickes Dankeschön!!!

Remover 23.07.2004 13:42
Keine problem...gern geschehen.

Sollte er aber morgen trotzdem wieder auftauchen
downloade das hier, starte das !Log!.bat im abgesicherten Modus
und wiederhole die Schritte von mir:
http://downloads.subratam.org/FINDnFIX.exe

Das ergibt dann ein ouput.txt das du hier auch rein posten kannst.
Dies als reine Vorsichtsmassnahme.....

Ansonsten wie gesagt....ein alternativer Browser wie Mozilla Firefox
ist nie verkehrt. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:24 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129