Trojaner StartPage.IG.1 ?????

hi leute.

seit 2 tagen bekomme ich laufend von meinem av-progi eine trojaner meldung die sich auf den trojaner StartPage.IG.1 bezieht.

trotz laufenden scan und löschen der (gerade wieder C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Ist das Trojanische Pferd TR/StartPage.IG.1) taucht die meldung ständig auf.

als av progi verwende ich

AntiVir in der aktuellsten version und mit dem aktuellsten suchengines. ein scan mit anti-trojaner progis hat keinen trojaner ergeben. ein scan mit hijack ergab folgendes log

Logfile of HijackThis v1.97.7
Scan saved at 18:06:53, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\NDrv.exe
C:\WINDOWS\system32\notepad.exe
H:\Anwendung\Crazy Browser\Crazy Browser.exe
C:\Programme\AVPersonal\AVGUARD.EXE
H:\Anwendung\LeechGet 2004\LeechGet.exe
H:\Download\HijackThis.exe
H:\Anwendung\Crazy Browser\Crazy Browser.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Anwendung\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - H:\Anwendung\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: (no name) - {C4B64342-C992-44A8-B25D-0339F7896E41} - C:\WINDOWS\1088463342.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://H:\Anwendung\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://H:\Anwendung\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://H:\Anwendung\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\ANWEND~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.searchbarcash.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC1D757C-F371-4F33-8FBE-1D23D7D09026}: NameServer = 217.237.149.225 194.25.2.129

außerdem wird seitdem meine startseite auf http://213.159.117.134/index.php umgeändert.

kann mir einer helfen wie ich den fiesling wieder loswerde.

ps spy boot hatte ich kurzzeitig installiert, kam dann aber nicht mehr ins forum.

 

Hallo starperry

Schau dir mal diese Anleitung für HijackThis an, vielleicht kannst du dir damit selbst helfen.

Gruß
Nevok

 

das prob dabei ist, das ich egal wo ich hinklicke erst mal diese ominöse trojanermeldung bekomme. außerdem scheint es dadurch meinen mediaplayer entschärft zu haben, den kann ich nämlich seitdem nicht mehr starten.

 

Hallo starperry,
Lade dir SpHjFix und hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

Fixe diese Einträge:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: (no name) - {C4B64342-C992-44A8-B25D-0339F7896E41} - C:\WINDOWS\1088463342.dll
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.searchbarcash.com

Anmelden im abgesicherten Modus und diese Dateien löschen:
C:\WINDOWS\1088463342.dll
C:\WINDOWS\System32\netdc.exe
C:\WINDOWS\System32\msadocm32.dll

- Temporäre Internet Files löschen
- mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und SpHjfix.exe scannen
- Neustart
- neues Log-File und den Inhalt dieser Datei C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
posten

 

Nachtrag:
Diesen Prozess C:\WINDOWS\System32\NDrv.exe bei http://www.kaspersky.com/de/remoteviruschk.html
überprüfen, danach löschen und uns das Ergebnis posten.

 

hi cidre

habe gerade den scan beendet. es sind einige andere trojaner bzw. viren gefunden, die aber schon gelöscht waren?!?!


hijack bringt nun folgendes ergebnis:

Logfile of HijackThis v1.97.7
Scan saved at 23:28:17, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
H:\Download\HijackThis.exe
C:\Programme\AVPersonal\AVGNT.EXE
H:\Anwendung\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Anwendung\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - H:\Anwendung\WS_FTP Pro\wsbho2K0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://H:\Anwendung\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://H:\Anwendung\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://H:\Anwendung\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\ANWEND~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



die datei 'hosts' gibt es bei mir nicht in dem von dir angegebenen verzeichnis. die einzige datei dieses namens befindet sich direkt in windwos und ist leer. als startseite war (trotz löschung) wieder die 213. .... eingetragen

was nun???


nachtrag:

habe gerade online nach der ndrv.exe gescannt. ergebnis ist folgendes:
Zu überprüfende Datei: NDrv.exe

NDrv.exe Ok


Statistiken:
Bekannte Viren: 92088 Updated: 29-06-2004
Größe der Datei (Kb): 328 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

 

nach einer nacht ruhe des pc und neuinstall des mediaplayers scheint jetzt ruhe zu herrschen.

hijack meldet jetzt nur noch:

Logfile of HijackThis v1.97.7
Scan saved at 13:59:19, on 30.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
H:\Anwendung\Crazy Browser\Crazy Browser.exe
H:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Anwendung\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - H:\Anwendung\WS_FTP Pro\wsbho2K0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://H:\Anwendung\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://H:\Anwendung\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://H:\Anwendung\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\ANWEND~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC1D757C-F371-4F33-8FBE-1D23D7D09026}: NameServer = 217.237.149.225 194.25.2.129


also danke für die hilfe.

ps.:

kann mir einer sagen was die 217.237.149.225 und 194.25.2.129 für seiten sind?

 

hi ich habe mir auch das Trojanische Pferd TR/StartPage.IG.1 eingefangen und werde ständig mit der virenmeldung konfrontiert

hab bisher keine lösung gefunden ih wieder los zu bekommen

hier hab ich mal nach stundenlangem veruschen und lesen mal meine hijacklog hochgeladen

Logfile of HijackThis v1.98.0
Scan saved at 18:08:39, on 13.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Sicherheit\AVPersonal\AVGUARD.EXE
C:\Sicherheit\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\EzButton\CplBTQ00.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\win.exe
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\system32\explorer.exe
C:\Sicherheit\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Beo\Anwendungsdaten\rehe.exe
C:\WINDOWS\System32\wullya.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Sicherheit\AVPersonal\GUARDGUI.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Beo\Desktop\hjt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3FA33D7E-EC4B-2AEE-845B-675509A3274A} - C:\WINDOWS\System32\zqoyhfg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\dial.dll
O3 - Toolbar: &Search - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\System32\jfi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Sicherheit\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Ubts] C:\Dokumente und Einstellungen\Beo\Anwendungsdaten\rehe.exe
O4 - HKCU\..\Run: [Njygi] C:\WINDOWS\System32\wullya.exe
O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv97/x.chm::/load.exe
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab

-----------------------------------------------------------------------------------------

kann nimmer richtig arbeiten am laptop, da ständig von den antivir medlungen zu tode beschäftigt werde

die angezeigeten datein sind

C:\WINDOWS\HOSTS
Ist das Trojanische Pferd TR/StartPage.IG.1

&

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Ist das Trojanische Pferd TR/StartPage.IG.1

bitte um schnelle hilfe, da ich meinen geschäften nimmer nachgehen kann so und meine platte auch net einfach plattmachen kann, hab angst dass beim brennen der trojane sich mit verbreitet auf andern platten oder cd/dvds

mfg Beo

thx so far

 

1. Hilfe:
http://www.virus-aktuell.de/frame.php3?artikel=http://www.virus-aktuell.de/foren/messages/1/1.html

oder http://www.google. de: StartPage.IG.1 eingeben.

Daten sichern. Trojaner sind nur in ausführbaren dateien. Weißt doch was das ist, oder?

Neu aufsetzen, der computer ist jetzt dein feind.

 

Der Rat Neuaufzusetzen ist der einzig Richtige.

Nur sollte mann immer hinzufügen, daß nach dem Neuaufsetzen und Konfigurieren auch ein Image der Sys-Partition anzufertigen ist.

Damit geht´s dann in Zukunft erheblich schneller.

mfg

 

@ Beo21

Überprüfe zunächst diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und teile uns das Ergebnis mit:

C:\WINDOWS\win.exe
C:\WINDOWS\System32\wullya.exe
C:\WINDOWS\system32\explorer.exe

 

Zu überprüfende Datei: win.exe

win.exe - packed with UPX
win.exe Infiziert: TrojanDownloader.Win32.Delf.ch


Zu überprüfende Datei: wullya.exe

wullya.exe Infiziert: TrojanDownloader.Win32.PurityScan.f

Zu überprüfende Datei: explorer.exe

explorer.exe - packed with UPX
explorer.exe Infiziert: TrojanSpy.Win32.Small.ad


also heißt es, dass ich 0 chance mehr hab

wie schützt ihr euren pc??

hab noch 6gig mp3s zum sichern und 2 backups von dvds kann ich die ohne bedeneken auf meine externe platte rüberziehen ??ß

oder ist dafürt die gefahr zu groß´???

wie schützt ich meinen laptop am besten ??ß

 

Die MP3's kannst du rüberziehen. Wenn du mit backups von dvds filme meinst kannst du die auch sichern.

> wie schützt ich meinen laptop am besten

1. gehirn einschalten
2. informieren.
Fang hier mal an:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

und gehe dann den links unter ziff. 9.3 nach.

 

@ Beo21

In diesem Fall kann ich mich meinen Vorredner nur anschließen:
Setzte dein System neu auf, es nicht mehr vertrauenswürdig ist, da einige der genannten Würmer/Trojaner mit Backdoor-Funktionen sind.

http://schad.dyndns.org/index.php/Kompromittierung
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Nach dem Formatieren und Neuaufspielen des Betriebssytems folgende Punkte abarbeiten:

1. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
2. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
3. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
4. Deine Passwörter ändern
5. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
6. Image deiner Systempartition erstellen
7. Surfverhalten überdenken

Ps.
Sichere deine Mp3´s auf DVD und scanne diese nach dem Neuaufsetzen mit einen aktualisierten Virenscanner. Ein gewisses Restrisiko bleibt trotzdem!

 

sorry, war lang nimmer hier, da viel zu tun hatte,

also wie kann ich am besten nen systembackup machen ???

programm und wie krieg ich des dann wieder auf laptop ???
passt des systembackup auf ne cd ??

mfg

beo

also wenn ich mein lan kabel abzeih und nen scann über pc laufen hab lassen und nix anzeigt, kann ich sie (mp3s und dvd backups) auf meine externe platte sichern ??!!!

sagt mal bitte ob ich da WIRKLICH KEINE BEDENKEN haben muss

mfg beo

bin euch was schuldig

 

@ Beo21

Dafür gibt es verschiedene Tools die dies bewerkstelligen:
- PartImage: http://www.partimage.org/
- Symantec DriveImage 7.0 http://www.symantec.com/region/de/product/sdi_index.html
- Acronis TrueImage 7.0 http://www.acronis.de/products/trueimage/

Zu Acronis:
Das Image kannst du dann im laufenden Betrieb wiederherstellen lassen oder durch Verwendung von Acronis Startup Recovery Manager bei einen beschädigten Betriebssystem zurückspielen lassen.

Je nach Kompressiongrad und Kapazität deiner Daten die auf deiner Systempartition liegen. Würde aber eher zur DVD greifen.

Kannst du schon, aber lies bitte diesen Link, insbesondere ausführbare Datein:
http://oschad.de/wiki/index.php/Kompromittierung