|
habe mir diesen trojaner eigefangen: "Troj/StartPg-BG alias:Trojan.Win32.StartPage.bg". habe alles versucht ihn wegzubekommen (hijack this/cwshredder/ norton) , hat aber alles nichts genützt. nach wie vor erscheint beim browseraufruf die seite "search the web". wie krieg ich diesen dreck wieder weg??? wer ist so nett und erklärt mir was ich dagegen tun kann. wenn möglich in einfachen schritten, bin nicht allzu bewandert mit systemeinstellungen und ähnlichem. vielen dank im voraus gerd p.s. wenn von mir keine antwort auf evtl. postings von euch kommen sollte, bitte nicht als ignoranz oder gar undankbarkeit auslegen. bin erst ab ca. 23:00 uhr am pc. |
Moin geebee und Willkommen im Board, als erstes wäre es für uns ganz hilfreich, wenn DU uns sagen kannst, wer (welches Programm) wo (an welcher Stelle = Dateipfad) Dir den Trojaner angezeigt hat. Ansonsten stelle doch bitte einmal die mittels HijackThis (hast Du ja nach Deiner Aussage schon installiert) erstellte Log-Datei hier in den Beitrag*1, damit wir uns die Sache mal anschauen können. *1 Bei HijackThis nach 'Scan' auf 'Save log' klicken und die somit erstellte Datei mit Kopieren & Einfügen hierhin kopieren. tschööö, DerBilk |
Eventuell dieser hier ? Dort ist alles näher beschrieben. [img]smile.gif[/img] Ich lege Dir auch einen Browserwechsel nahe! ;) Empfohlen: Mozilla Mozilla Firefox Opera K Meleon Matane Ryuu [ 11. März 2004, 20:11: Beitrag editiert von: Ryuu ] |
Logfile of HijackThis v1.97.7 Scan saved at 10:15:14, on 12.03.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\SOINTGR.EXE C:\PROGRA~1\OPTICA~1\4DMAIN.EXE C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Kill Window 2.0\Kill Window 2.0.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Iomega\AutoDisk\ADUserMon.exe C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe C:\KMaestro\Key_g.EXE C:\Programme\Spamihilator\spamihilator.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Iomega\AutoDisk\ADService.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\mozilla.org\Firebird\MozillaFirebird.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe c:\progra~1\softwin\bitdef~1\bdmcon.exe C:\Dokumente und Einstellungen\geebee\Eigene Dateien\hijackthis\hijackthis\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://list2004.com/sweb/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Kill Window] "C:\Programme\Kill Window 2.0\Kill Window 2.0.exe" O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O15 - Trusted Zone: www.allmusic.com O15 - Trusted Zone: www.arcor.de O15 - Trusted Zone: www.home.arcor.de O15 - Trusted Zone: www.biebesheim.de O15 - Trusted Zone: www.freenet.de O15 - Trusted Zone: www.people.freenet.de O15 - Trusted Zone: www.gmx.de O15 - Trusted Zone: www.google.de O15 - Trusted Zone: www.microsoft.de O15 - Trusted Zone: http://www.reichelt.de O15 - Trusted Zone: www.swr.de O15 - Trusted Zone: www.web.de O15 - Trusted Zone: www.yahoo.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...?37904.6528125 O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} (IEAnimBehaviorFactory Class) - http://download.microsoft.com/downlo...-US/msorun.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4A753D26-C09E-4BC6-ABC0-A0260DF0FAB6}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96} |
@ ryuu browser hab ich schon gewechselt. bin jetzt nur noch mit opera und mozilla firebird unterwegs. outlook habe ich auch durch mozilla thunderbird ersetzt. ;) gruß gerd |
Moin geebee, </font><blockquote>Zitat:</font><hr /> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://list2004.com/sweb/ <- da steckt CoolWebSearch hinter! O1 - Hosts: 213.159.117.235 auto.search.msn.com <- hier wird jede Suchanfrage an search.msn auf 'Search the web' umgeleitet O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe <- gilt als Adware O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}</font>[/QUOTE]Diese Einträge solltest Du mit HijackThis 'fix'en. Also nach einem 'Scan' am Anfang der jeweiligen Zeilen durch klicken in das kleine Quadrat die Zeilen markieren und anschließend auf 'Fix checked' klicken. </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Kill Window] "C:\Programme\Kill Window 2.0\Kill Window 2.0.exe"</font>[/QUOTE]Das ist mir unbekannt, aber ich kenne natürlich auch nicht alles... ;) Du kannst die Datei mal bei Kaspersky online überprüfen: http://www.kaspersky.com/de/remoteviruschk.html </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe</font>[/QUOTE]Hattest Du außer Norton auch mal einen Virenscanner von Bitdefender installiert? Es scheint sich hier um einen 'übriggebliebenen Aufruf zu handeln... Ansonsten sehe ich nichts, was sonst noch auf den Trojaner-Befall hinweisen würde. Deswegen noch einmal meine Frage von gestern: Wer (welches Programm) zeigt Dir wo (an welcher Stelle = Dateipfad) den Trojaner an? tschööö, DerBilk |
hallo bilk, bei dem eintrag "kill window" handelt es sich um einen pop up killer. der ist sauber. daß es sich um einen trojaner handelt ist nur eine vermutung von mir, da ich schon mal (vor ca. 3 wochen)mit "hijack this" gescannt habe. und nachdem immer noch der browser umgeleitet wurde habe ich mit ad aware, cw shredder und bitdefender versucht den dreck wegzukriegen. bestimmt war das alles falsch, was ich da gemacht habe. ich weiß wirklich nicht, was ich noch machen soll. [img]graemlins/heulen.gif[/img] werd jetzt erst mal,wie von dir vorgeschlagen, die einträge aus dem logfile mit hijack fixen. meld mich dann wieder. danke erstmal gerd |
@ bilk juhuuuuu, es hat geklappt. seite wird nicht mehr umgeleitet. werde aber trotzdem nur noch mit firebird und opera unterwegs sein. ist mir sicherer und mittlerweile hab ich mich auch drangewöhnt, :) vielen herzlichen dank für deine hilfe gerd |
Hallo Gerd, freut mich zu lesen, dass Du Dein Problem in den Griff bekommen hast! [img]graemlins/daumenhoch.gif[/img] In diesem Fall war offensichtlich der HOST-Eintrag der Hauptschuldige. Das Fixen der anderen beiden Einträge war aber trotzdem richtig!! Nur noch als ergänzende Info: Firebird heißt jetzt (ab der Version 0.8) Firefox. Das hatte namensrechtliche Gründe. Das Prdukt ist das Gleiche (abgesehen von der Weiterentwicklung natürlich...). Und wie Du gesehen hast, tut ein Umstieg auch gar nicht weh. [img]graemlins/lach.gif[/img] Gruß, Lutz |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board