Trojaner-Board - TR/StarPage.NK.3

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/StarPage.NK.3 (https://www.trojaner-board.de/8963-tr-starpage-nk-3-a.html)

TR/StarPage.NK.3

Hallo,
Hab kleines Problem..Trojaner drauf Name ist Titel.
Hat sich im Pfad C:\Dokumente und Einstellungen\D4rK4nG3l\Lokale Einstellungen\Temporary Internet Files\Content.IE5 festgesetzt [heißt Protector[1]/[2]]
Spybot/Adaware erkennen nichts.
Bei jedem Neustart wird er von Antivir neu angezeigt.Öffnen sich dann lauter Pornoseiten.
Clearprog hab ich schon durchlaufen lassen.Hab im abgesicherten Modus Logfile gemacht.Ich weiß System ist sehr alt,mir im Moment egal hauptsache der Trojaner ist weg.
Wäre um jede Hilfe dankbar!!

Logfile of HijackThis v1.98.2
Scan saved at 16:28:57, on 29.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\D4RK4N~1\LOKALE~1\Temp\Rar$EX01.140\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmiracle.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] SP2.exe
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Microsoft] Microsoft.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] SP2.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft] Microsoft.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] SP2.exe
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://irc.whv-chat.de:8001/Java/cfs31229.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab

Gruß Sergio

Hallo Sergio2k, kleines Problem?!
Ich bin neu hier und möchte keine Lippe riskieren, aber dein Log ist für mich eine Katastrophe, habe beim Überfliegen, gleich ca. 15 Sachen gefunden, die schnell weg müssen.
Aber die Experten kommen sicher gleich und sagen was zu machen ist.
Liebe Grüße, Wusel

Kann mich da nur anschließen. Kleines Problem ist nett ausgedrückt. Kann Dir aber leider da auch nicht helfen, da ich gerade erst angefangen habe mich mit solchen Dingen zu beschäftigen. Aber es sieht wirklich nicht gut aus.

Mal ne Frage an die anderen:
Ich erkenne "O4 - HKCU\..\Run: [Microsoft Update Machine] SP2.exe" , aber wieso ist das System nicht auf dem neusten Stand ?
"Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)"

Zudem würde ich mich schonmal hier einlesen:
http://www.trojaner-board.de/42731-escan-anleitung.html
verlinken hat nicht geklappt! :mad:

Aber warte auf jeden Fall noch bis sich die Experten hier damit beschäftigt haben! Wird nicht mehr lange dauern!!!

Zitat:

Mal ne Frage an die anderen:
Ich erkenne "O4 - HKCU\..\Run: [Microsoft Update Machine] SP2.exe" , aber wieso ist das System nicht auf dem neusten Stand ?

Das hat nichts mit dem ServicePack2 zu tun => http://www.trendmicro.com/vinfo/viru...WORM_SPYBOT.FP

@Sergio2k
auf deinem System sind wahrscheinlich einiger Backdoortrojaner aktiv. Führe bitte eScan im abgesicherten Modus aus und poste die gefundenen Viren ist Forum.

mfg Haui

@Haui45, ja nicht überall wo Microsoft draufsteht, ist auch Microsoft drin.
Das Teil muss auf alle Fälle weg!
Was meinst du was sich nicht alles unter MS tarnt, ist doch nur ein Name, damit kannst du fast jedes Schadprogramm benennen.
Liebe Grüße, Wusel

Soll ich das dann außer Gefecht setzen?
"O4 - HKCU\..\Run: [Microsoft Update Machine] SP2.exe"

Hab eScan drüber laufen lassen, soll ich das ganze sau lange log reinkopieren?

Hab paar Ausschnitte wo er was erkannt hat:
Sat Oct 30 16:05:42 2004 => Scanning File C:\WINDOWS\System32\SP2.exe
Sat Oct 30 16:05:42 2004 => File C:\WINDOWS\System32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:05:01 2004 => Scanning File C:\WINDOWS\System32\Msbb.exe
Sat Oct 30 16:05:01 2004 => File C:\WINDOWS\System32\Msbb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:04:56 2004 => Scanning File C:\WINDOWS\System32\mntcgf032.exe
Sat Oct 30 16:04:57 2004 => File C:\WINDOWS\System32\mntcgf032.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Frage zwischendurch was heißt das?
Sat Oct 30 16:03:40 2004 => Scanning File C:\WINDOWS\System32\gearsec.exe
Sat Oct 30 16:03:40 2004 => ERROR!!! Invalid Entry \??\D:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...

und weiter gehts mit der SP2.exe
Sat Oct 30 16:03:35 2004 => Scanning File C:\WINDOWS\system32\mntcgf032.exe
Sat Oct 30 16:03:35 2004 => File C:\WINDOWS\system32\mntcgf032.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:35 2004 => Scanning File C:\WINDOWS\system32\SP2.exe
Sat Oct 30 16:03:35 2004 => File C:\WINDOWS\system32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:35 2004 => Scanning File C:\WINDOWS\system32\Msbb.exe
Sat Oct 30 16:03:35 2004 => File C:\WINDOWS\system32\Msbb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:33 2004 => Scanning File C:\WINDOWS\system32\mntcgf032.exe
Sat Oct 30 16:03:33 2004 => File C:\WINDOWS\system32\mntcgf032.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:33 2004 => Scanning File C:\WINDOWS\system32\SP2.exe
Sat Oct 30 16:03:34 2004 => File C:\WINDOWS\system32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:34 2004 => Scanning File C:\WINDOWS\system32\Msbb.exe
Sat Oct 30 16:03:34 2004 => File C:\WINDOWS\system32\Msbb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Oct 30 16:03:34 2004 => ERROR!!! Invalid Entry Microsoft = Microsoft.exe. Removing it.

Sat Oct 30 16:06:03 2004 => Scanning File C:\silent53.exe
Sat Oct 30 16:06:04 2004 => File C:\silent53.exe tagged as not-a-virus:AdWare.ToolBar.EliteBar.q. No Action Taken.

Das wars was er entdeckt hatte..bitte um weitere Hilfe.Trojaner scheint weg zu sein.Hab Antivir im abgesicherten Modus drüber laufen lassen.Hat paar Einträge gefunden und gelöscht->wird nicht mehr angezeigt..

Da gibts leider nur einen Ausweg: formatieren und neu aufsetzen und dabei nach dieser Anleitung vorgehen
Infos zu Rbot: http://www.sophos.de/virusinfo/analyses/w32rbotlt.html

Zitat:

# Ermöglicht Dritten den Zugriff auf den Computer
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen

=> das System ist kompromittiert