The Trojan horse TR/StartPage.NBS1
 

kann mir jemand weiter helfen!bei jeder seite wenn ich im netz bin schaltet mein antivir diese meldung ein!!
ich halte das nicht haus!

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

http://www.cosgan.org/images/midi/froehlich/g010.gif

danke
 

ok aber erwarte nicht viel von dem rechner!!!
ist meinen vater und der hat nen kleines problem!

Logfile of HijackThis v1.99.0
Scan saved at 17:27:41, on 09.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Karli Wohllebe\Eigene Dateien\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\Programme\eScan\MWAVSCAN.COM" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB41B9D6-73DC-4E88-968A-DA7E55EC6F83}: NameServer = 62.26.136.136 195.185.185.195
O17 - HKLM\System\CCS\Services\Tcpip\..\{F48FBB62-0B4D-4958-9ECB-106458F556AE}: NameServer = 69.50.188.180,195.225.176.31
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

1.) eScan runterladen und updaten (noch nicht scannen). Anleitung vorher komplett lesen, am besten ausdrucken.

2.) führe das aus, was hier beschrieben ist.

3.) boote in den abgesicherten Modus.
fixe mit Hijackthis (mit HjT scannen, Haken setzen und "fix checked" anklicken)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

lösche manuell:
C:\WINDOWS\wtlbass32.dll
C:\WINDOWS\web\related.htm
c:\ied_s7.cab (falls vorhanden)

Scanne jetzt mit eScan und lösche die gefundenen Dateien manuell (bei Dateien, die als "not-a-virus" erkannt werden, bitte erst hier nachfragen).

Neustart

Windows-Update durchführen!
Alternativen Browser wählen!

neues HijackThis-Logfile posten. Problem gelöst?


PS: Falls du Probleme hast, die Dateien zu finden, nimm bitte folgende Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
fixe folgende Einträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

der Eintrag 015 kann nur gelöscht werden wie hier
beschrieben steht.

kennst Du folgende IP Adresse:

... hier ist das nslookup Ergebnis für 195.185.185.195 von Server ns1.kloth.net :

DNS-Server: ns1.kloth.net
DNS-Server-Adresse: 213.133.98.149#53

Non-authoritative answer:
195.185.185.195.in-addr.arpa name = cache1.tiscali.de.

Authoritative answers can be found from:
185.185.195.in-addr.arpa nameserver = ns.nacamar.net.
185.185.195.in-addr.arpa nameserver = dalx1.nacamar.de.
ns.nacamar.net internet address = 194.162.162.194
dalx1.nacamar.de internet address = 194.162.141.17

wenn nicht dann diesen Eintrag fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB41B9D6-73DC-4E88-968A-DA7E55EC6F83}: NameServer = 62.26.136.136 195.185.185.195


das selbe bei dieser IP:

. hier ist das nslookup Ergebnis für 195.225.176.31 von Server ns1.kloth.net :

DNS-Server: ns1.kloth.net
DNS-Server-Adresse: 213.133.98.149#53

Non-authoritative answer:
31.176.225.195.in-addr.arpa name = ip176-31.netcathost.com.

Authoritative answers can be found from:
176.225.195.in-addr.arpa nameserver = ns1.netcathost.com.
176.225.195.in-addr.arpa nameserver = ns2.netcathost.com.
ns1.netcathost.com internet address = 66.250.107.2
ns2.netcathost.com internet address = 66.250.171.66

wenn Du diese nicht kennst dann den Eintrag fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F48FBB62-0B4D-4958-9ECB-106458F556AE}: NameServer = 69.50.188.180,195.225.176.31

lösche von Hand folgende Datei:
C:\WINDOWS\wtlbass32.dll
c:\ied_s7.cab

Scanne Dein System mit eScan wie unten beschrieben


Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)


P.S.:Du musst unbedingt Dein System updaten, du bist offen wie ein Scheunentor

http://www.cosgan.org/images/midi/froehlich/n025.gif

@Haui
warst schneller, aber schau mal der 015: name = connect.online-dialer.com.

Da war ich wohl um 22 Minuten schneller :blabla:

hatte auch viel zu schreiben :crazy:

Du meinst O17. Das dürfte schon ok sein...

Ich auch ;)

ne ich meine schon den O15 - Trusted Zone:

Und, was soll damit sein?

name = connect.online-dialer.com.
ich meine das ist eine Dialerseite

Schau mal auf mein Posting #5 Punkt 2...

ok gebe mich geschlagen http://www.cosgan.org/images/midi/liebe/a080.gif
jetzt sollerst mal Carlosalmera ran hat ne Menge zu tun