Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Kann mir bitte jemand helfen TR/ Startpage.fw (https://www.trojaner-board.de/1520-mir-bitte-jemand-helfen-tr-startpage-fw.html)

peter24 23.04.2004 19:12
Hallo allesamt
Ich habe ein problem mit dem ich nicht zurechtkomme.
Die blöde startseite Greatsearch habe ich ja erfolgreich Fixen können,auch die totale sperre von Internetoptionen habe ich erfolgreich bekämpfen können.
Aber Antivir Findet ständig Trojaner und Löscht sie ,aber sie kommen immer wieder.
Außerdem findet Antivir 4617 Warnungen 7 Hinweise und 2 TR Löscht er.
.Der CWShredder Findet nichts.
Kann mir jemand Hefen?
Habe auch ständig das Problem,das XP nicht geladen wird beim Hochfahren
PS leider hab ich keine Englisch kentnisse


Logfile of HijackThis v1.97.7
Scan saved at 01:10:13, on 24.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Peter\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Dasヨrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - hxxp://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - hxxp://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38085.0609375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - hxxp://toolbar.dasoertliche-marketing.de/toolbar/normal/download/DasOertlicheSuchLeiste.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{05A9AAC3-E22C-49FC-A3AA-14F73523F22B}: NameServer = 217.237.151.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{05A9AAC3-E22C-49FC-A3AA-14F73523F22B}: NameServer = 217.237.151.33 194.25.2.129

Ist jemand so nett und kann mir sagen was ich Fixen sollte??????

[ 24. April 2004, 15:37: Beitrag editiert von: peter24 ]

Shadow 24.04.2004 21:22
4617 Warnungen? [img]graemlins/headbang.gif[/img]
(was sind das für Warnungen?)

Deaktiviere mal Norton Protect für den Papierkorb.
Leere den Papierkorb.
Lösche alle Temporären Internetdateien.
Deaktiviere die Systemwiederherstellung.
Lasse Antivir noch mal durchlaufen, eventuell auch im abgesicherten Modus.
Mache einen Online-Antivirusscan mit einem anderen AV-Produkt (oder wann hast Du dies mit Bitdefender und Symantec/Norton gemacht?)

Was sind das für 7 Hinweise?

Nur interessehalber:
Ist Dein XP-System ein Update?

peter24 25.04.2004 11:20
Danke das du dich meinem Hilferuf angenommen hast.
Ich hab alles was du und das Forum beschrieben hast schon gemacht.Sämtliche Updates und so weiter.Coolwebsearch hab ich ja auch ganz gut weg bekommen.Nur der blöde Trojaner kommt immer wieder.
Unter C:\Dokumente und Einstellungen\Temporrery Internet Files Content
IE5x04YJBWCM\M [1] Bin
Trojaner StartPage.FW

AntivierFindet jetzt nichts mehr wenn ich die Trojaner gelöscht habe,auch keine Hinweise und warnungen.
Ich kann in letzter Zeit auch viele Links nicht Öffnen,oder IE öffnet nur im ganz verkleinertem Fenster.
Wie schon gesagt alle hier beschriebenen Maßnahmen habe ich schon durchgeführt.
Fällt vieleicht jemand noch was neues ein?
Übrigens Win XP ist kein Update

Hier noch mal ein Scan von mir

Logfile of HijackThis v1.97.7
Scan saved at 12:18:05, on 25.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Peter\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.lycos.de/search/msie40.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.lycos.de/

Bitte nochmal anschauen. Danke im voraus.

Hier auch nochmal der Repot von HJ

CWShredder v1.57.0 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
hxxp://filepony.de/download-hijackthis/
hxxp://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\Peter\Anwendungsdaten
Username: Peter

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (847 bytes, R)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com[*] dword:4
CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com[*] dword:4
Registry value: DefaultPrefix (should be hxxp://) [] hxxp://
Registry value: WWW Prefix (should be hxxp://) [www] hxxp://
Registry value: Mosaic Prefix (should be hxxp://) [mosaic] hxxp://
Registry value: Home Prefix (should be hxxp://) [home] hxxp://
Found Win.ini file: C:\WINDOWS\win.ini (706 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (312 bytes, A)

- END OF REPORT -

Eine Echte Herausforderung an alle Spezialisten,dieser Trojaner.
Gruß Peter

[ 25. April 2004, 12:33: Beitrag editiert von: peter24 ]

Shadow 25.04.2004 12:23
Fat32? (Auch nur interessehalber)

Schmeiß auch vielleicht mal testweise die Toolbar von "Das örtliche" raus.

Schau mal über msconfig Systemstart was alles gestartet wird

Poste mal die system.ini (ist ein bisserl größer wie normal)
Win.ini kannst auch mal reinstellen
C:\WINDOWS\system32\drivers\etc\hosts auch

Kannst auch unter "allgemein in der msconfig mal testweise auf start von diversen Teilen verzichten


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131