Trojan.Win32.StartPage.au
 

Hallo,

habe auf kaspersky.de mein Rechner durchchecken lassen und es wurden folgendes gefunden:

- C:\WINDOWS\system32\msproto3.dll ist infiziert mit Trojan.Bookmarker.Gen
- C:\WINDOWS\system32\msxslab.dll ist infiziert mit Trojan.Bookmarker.Gen
- C:\WINDOWS\Downloaded Program Files\x.exe ist infiziert mit Trojan.StartPage

"x.exe" wurde dann als "Trojan.Win32.StartPage.au" erkannt

AntiVir, Ad-aware, CWShredder und Spybot konnte es löschen.


Hijackthis.log:

Logfile of HijackThis v1.97.7
Scan saved at 23:06:23, on 27.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\BitTornado\btdownloadgui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Hon\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Gruß von Hon (^o^)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D3A130BB-BFBF-4055-868D-68B9EBD717B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab


Seitdem wird "explorer.exe" unter Task-Manager mit der Zeit zwischen 150-250MB gross.


Weiss jemand Rat ?


Danke

Dies kannst du fixen:

O2 - BHO: (no name) - {D3A130BB-BFBF-4055-868D-68B9EBD717B3} - (no file)

Ansonsten ist alles sauber!

Erstmal danke.

Soll ich jetzt die infizierte Dateien :

C:\WINDOWS\system32\msproto3.dll
C:\WINDOWS\system32\msxslab.dll
C:\WINDOWS\Downloaded Program Files\x.exe

löschen ?


Unter "C:\WINDOWS\Downloaded Program Files" finde ich kein "x.exe", nur 3 Dateien:

- {33564D57-0000-0010-8000-00AA00389B71}
- Symantec AntiVirus Scanner
- Symantec RuFSI Utility Class


Kann ich alle 3 problemlos löschen ?

Ja was willst du sonst mit denen machen?? Ja bitte löschen. :D

Unter "C:\WINDOWS\Downloaded Program Files" habe ich die 3 Dateien gelöscht:

- {33564D57-0000-0010-8000-00AA00389B71}
- Symantec AntiVirus Scanner
- Symantec RuFSI Utility Class


Doch nach ein erneute Scannen auf http://www.symantec.de/region/de/avcenter/snoops.html kommt immer noch die Meldung:

C:\WINDOWS\Downloaded Program Files\x.exe ist infiziert mit Trojan.StartPage


Obwohl der Ordner leer ist, kein versteckte Sache usw.