[Maler]

Hallo,
habe mir einen Virus eingefangen. Name Trojan.StartPage.M . Immer wenn ich in Internet gehe erscheint eine Warmeldung. Habe als Schutz Norton Antivirus 2005.
Was kann ich gegen den Virus unternehmen, bin kein Computerprofi.
Danke

[flo]

Bitte nur einmal das Thema Erstellen!

Habe das andere Gelöscht!


Wo Findet den dar NAV den Virus?

Dieser Beitrag wurde von Flo01 bearbeitet: 01. April 2005 - 14:03

[Hauner]

Hallo,

das Beste wird wohl sein, dass System neuaufzusetzen, um den Trojaner endgültig loszuwerden.

Du kannst versuchen, ihn kurzzeitig von NAV entfernen zu lassen, dann deine Daten zu sichern und dann dein System neuaufsetzen.

Bitte prüfe deine Daten auf Viren, bevor du sie auf ein Medium/Datenträger sicherst/wiederherstellst.

Edit:
Btw, irgendwie hört sich 'Trojan.StartPage.M' eher harmlos an. Vielleicht reicht auch eine einfache Löschung im Abgesicherten Modus. Probier das mal, vielleicht funktioniert es ja.

Gruß Hauner

Dieser Beitrag wurde von Hauner bearbeitet: 01. April 2005 - 14:11

[flo]

nein Hauner wenn der Trojaner z.b im cache von Java liegt kann er da normalerweise keinen schaden anrichten, deswegen will ich ja wissen wo der gefunden wurde


@Maler

Kannst du mal ein Hijackthis Log Posten

[shogun03]

@maler

das ist erstmal der link zur NAV-meldung
ich schätze, das ein bestimmter bisher noch nicht erkannter prozess deine startseite jedesmal wieder neu ändert und NAV dieses dann erkennt.
schliesse mal alle anwendungen und führe einen vollständigen AV-test durch , incl. aller dateien und archive (einstellungen im antivirus-modul nach möglichkeit dahingehend einstellen) und dann schau erstmal ob nach dem scan malware gefunden wurde.

[Hauner]

@Flo01: Es gibt anscheinend eine JS und eine normale Version von diesem Trojaner (JS/Normal).
Weil Maler nicht 'JS.Trojan.StartPage.M' geschrieben hat, muss er nicht unbedingt im Cache liegen.
Du hast natürlich soweit Recht. Maler könnte auch versehentlich das 'JS' weggelassen haben oder Symantec hat das anders erfast bzw. benannt.

Aber wahrscheinlich sollte der OT erstmal den Pfad bzw. vollständigen Namen posten.
Gruß Hauner

Dieser Beitrag wurde von Hauner bearbeitet: 01. April 2005 - 14:27

[linksta]

also

ich habe eine lösung gefunden

Lösung und Definition des Trojaners

1. deaktivier die Systemwiederherstellung
das findet man unter start>>>Systemsteuerung>>>System

hier ein screenhot


da klickst du einfach an Systemwiederherstellung deaktivieren oder halt auf allen laufwerden je nach dem.

2.dann mach du mit norton anti virus ein update.
3. kompletten Virus scann
wenn Dateien mit dem trojan.startpage.m infiziert sind dann löscht du die dateien.
wenn sich die Dateien allerdings ned löschen lassen musst du den ganzen Systemscan halt im abgesicherten modus ausführen

dann einmal neustarten falls du im abgesicherten modus warst

geh einmal über start>>>ausführen>> regedit in den registrierungseditor

geh dann über den linken explorer in den folgenden Pfad

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

lösche danach auf der rechten seite den Wer

"sp" = "rundll32 %temp%\se.dll,DllInstall"

dann suche wieder die Pfade

HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain

lösche dann wieder

"CLSID" = "{2862736E-7B27-418A-A4E8-F13FB2E8C945}"

lösche danach

HKEY_CLASSES_ROOT\CLSID\{2862736E-7B27-418A-A4E8-F13FB2E8C945}
HKEY_CLASSES_ROOT\CLSID\{5607D0D5-3205-45F2-A125-63666696DDA0}

um die startseite des IE wieder zurückzusetzen machst du dies:

klcike in der toolbar des IE den button Suchen

danach öffnet sich sone kleine leiste links

hier ein weiterer screenshot wie es aussehen sollte

Dieser Beitrag wurde von linksta bearbeitet: 01. April 2005 - 14:29

[shogun03]

@linksta

das ist gutgemeint, aber bestimmt zu schwierig für den user.
ein späterer geposteter hijackthis-logbuch auszug würde das problem schneller und besser klären, wenn das problem nach einem komplettscan noch nicht behoben wurde.

[linksta]

warum soll das denn zu schwierig sein?
und was?
ich kanns doch nähe beschreiben

[Tarnatos]

Ich kann auch nicht glauben das das zu schwierig ist, die Motivation den schädling wegzubekommen sollte stark genug sein sich mit evtl. neuen Bereichen von Windows zu beschäftigen.

[linksta]

anscheinend hat der poster des problems das problem gelöst

[Win-Fan]

Zitat (linksta: 02.04.2005, 00:18)

anscheinend hat der poster des problems das problem gelöst
<{POST_SNAPBACK}>

Währe ja nicht das erste mal, wenn sich derjenige der eine Frage gestellt hat, nicht mehr meldet und Rücksprache hält. Ist dann immer nur schade um den Aufwand für denjenigen der diesen betrieben hat, so wie du hier, wenn man dann nichts mehr von dem jenigen hört.

Dieser Beitrag wurde von Win-Fan bearbeitet: 01. April 2005 - 23:45

[Faith]

Zitat (Win-Fan: 02.04.2005, 00:43)

Währe ja nicht das erste mal, wenn sich derjenige der eine Frage gestellt hat, nicht mehr meldet und Rücksprache hält. Ist dann immer nur schade um den Aufwand für denjenigen der diesen betrieben hat, so wie du hier, wenn man dann nichts mehr von dem jenigen hört.
<{POST_SNAPBACK}>

ich glaube nicht, dass es ein Auwand ist, auch wenn der User, warum auch immer sich nicht meldet ( vielleicht kommt der User gerade nicht ins Internet, nicht immer gleich alles schwarz sehen !!! ) .... den dann können andere, die das gleiche Problem haben, es lesen, somit ist auch der Aufwand gerechtfertigt, so einfach !

Faith

[Maler]

Hallo,
Hier ist mein Hijackthis.





Logfile of HijackThis v1.99.0
Scan saved at 09:06:45, on 02.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINNT\system32\cisvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\System32\hphmon03.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_01\bin\jucheck.exe
C:\WINNT\Dit.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\DitExp.exe
C:\Programme\TapeWare\TWWINSDR.EXE
C:\Programme\Toolbox\Hintergrundkalender\WCServ.exe
C:\BRICK\BRKMON.EXE
D:\SFIRM32\SFAutomat.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\cidaemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\unzipped\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F3 - REG:win.ini: load=C:\BRICK\CAPI2WSA.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA0DF55C-6FCD-4F16-B348-CAB20F03D8A5} - C:\WINNT\system32\aimppc.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINNT\System32\hphmon03.exe
O4 - HKLM\..\Run: [ConnectionWatch] C:\Dokumente und Einstellungen\Michael Schrenke\Desktop\conwat\ConWat.exe
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SfWinStartInfo] D:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Spyware Begone] D:\freescan\freescan.exe -FastScan
O4 - Startup: Activity Monitor.lnk = C:\BRICK\BRKMON.EXE
O4 - Startup: SFirm Automat.lnk = D:\SFIRM32\SFAutomat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service für Hintergrundkalender.lnk = C:\Programme\Toolbox\Hintergrundkalender\WCServ.exe
O4 - Global Startup: SFIRM32 Automat.lnk = D:\SFIRM32\SFAutomat.exe
O4 - Global Startup: Toolbox Hintergrundkalender.lnk = C:\Programme\Toolbox\Hintergrundkalender\WallCal.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/...tail/DASAct.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7A7E6F-8499-48FD-8588-B370F099E2EE}: NameServer = 192.168.17.1
O18 - Filter: text/html - {339CF791-F855-46DE-BD02-29533860CD62} - C:\WINNT\system32\aimppc.dll
O18 - Filter: text/plain - {339CF791-F855-46DE-BD02-29533860CD62} - C:\WINNT\system32\aimppc.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NMS Service - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINNT\System32\HPHipm09.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TapeWare - Unknown - C:\Programme\TapeWare\TWWINSDR.EXE

[Maler]

Danke für Eure Hilfe,
der Virus ist in
C:\WINNT\system32\aimppc.dll
Gruß
Maler