Fehlermeldung

Dieses Thema Fehlermeldung im Forum "Sonstiges rund ums Internet" wurde erstellt von ITM4, 10. Juli 2004.

Thema: Fehlermeldung Hallo zusammen , folgende Lage : Ein Kunde von mir besuchte heute um die Mittagszeit die Seite von BMW. Sei dem...

  1. Hallo zusammen ,

    folgende Lage :

    Ein Kunde von mir besuchte heute um die Mittagszeit die Seite von BMW.

    Sei dem verlassen selbiger Seite bekommt er von AntiVir folgende Fehlermeldung :


    C:\WINDOWS\HOSTS

    Ist das Trojanische Pferd TR/StartPage.IG.1


    Beim Googeln bin ich nicht wirklich schlau geworden ??? ???

    Kennt jemand diese Meldung/Trojaner und wie sich selbiger entfernen läßt ?

    Folgendes habe ich bisher getan :

    1) Stinger - nichts gefunden

    2)Add-aware - nichts gefunden

    3) Spybot - 32 Eintrage - behoben und IE immunisiert

    System : XP prof SP1 - neuester patchstand
    P4 2,8 GHz

    Danke im Voraus,

    Grüße ITM4

    verschoben von WindowsXP
     
  2. Nachtrag:

    Ich habe gerade einen Onlinescan bei www.bitdefender.de gemacht - der Trojaner wurde erkannt, ich wurde gefragt ob er entfernt werden soll - mit ja geantwortet- Rechner neu gestartet - gleiche Meldung ??? ???

    Im Windowsordber nachgesehen - selbiges :eek:

    Grüße ITM4
     
  3. Durchsuch mal die Registry nach HOST oder C:\WINDOWS\HOSTS.
    Auch msconfig nach verdächtigen sachen durchsuchen.

    Hat die Datei C:\WINDOWS\HOSTS irgenwelchen lesbaren Ihnalt (Editor)?

    Wenns geht nicht die Datei host in C:\WINDOWS\system32\drivers\etc löschen!
     
  4. @ Al,

    ja Inhalt kommt sofort :D

    ITM4
     
  5. Hallo,

    die Datei hat folgenden Inhalt:


    127.0.0.1 ruworld.com
    127.0.0.1 maxxxhosters.com
    127.0.0.1 therealsearch.com
    127.0.0.1 thumbest-traffic.com
    127.0.0.1 600pics.com
    127.0.0.1 tonser.4-counter.com
    127.0.0.1 free.sinpussy.com
    127.0.0.1 hightcalldialer.com
    127.0.0.1 bestpornnews.com
    127.0.0.1 thumberland.com
    127.0.0.1 greg-search.com
    127.0.0.1 connect.online-dialer.com
    127.0.0.1 0190-dialer.com
    127.0.0.1 approvedlinks.com
    127.0.0.1 download.buxomatic.com
    127.0.0.1 dia.4-counter.com
    127.0.0.1 vse-moe.biz
    127.0.0.1 crue.global-counter.com
    127.0.0.1 line-plus.com
    127.0.0.1 porno-links.biz
    127.0.0.1 download.tntdialer.com
    127.0.0.1 freelivesex.org
    127.0.0.1 free3xmatures.com
    127.0.0.1 bestpics.net
    127.0.0.1 dikai.com
    127.0.0.1 world-search.biz
    127.0.0.1 1-se.com
    127.0.0.1 58q.com
    127.0.0.1 aifind.cc
    127.0.0.1 aifind.info
    127.0.0.1 allneedsearch.com
    127.0.0.1 auto.ie.searchforge.com
    127.0.0.1 awebfind.biz
    127.0.0.1 best.royalsearch.net
    127.0.0.1 cracks.am
    127.0.0.1 default-homepage-network.com
    127.0.0.1 find.microgirls.com
    127.0.0.1 find4u.net
    127.0.0.1 freshvideogals.com
    127.0.0.1 i-lookup.com
    127.0.0.1 ie-search.com
    127.0.0.1 in.webcounter.cc
    127.0.0.1 itseasy.us
    127.0.0.1 just.find-itnow.com
    127.0.0.1 link.startmake.com
    127.0.0.1 mysearchnow.com
    127.0.0.1 nativehardcore.com
    127.0.0.1 qwertysearch123.biz
    127.0.0.1 search.ieplugin.com
    127.0.0.1 search.psn.cn
    127.0.0.1 searchbar.findthewebsiteyouneed.com
    127.0.0.1 searchcentrix.com
    127.0.0.1 searchmyrequest.com
    127.0.0.1 super-spider.com
    127.0.0.1 t.rack.cc
    127.0.0.1 teen-biz.com
    127.0.0.1 teenhqpics.com
    127.0.0.1 tits.hardcore4ever.net
    127.0.0.1 webcoolsearch.com
    127.0.0.1 wmmse.com
    127.0.0.1 008i.com
    127.0.0.1 2fastsearch.net
    127.0.0.1 8095.com
    127.0.0.1 alfa-search.com
    127.0.0.1 boredlife.com
    127.0.0.1 couldnotfind.com
    127.0.0.1 cracks.am
    127.0.0.1 daum.net
    127.0.0.1 dreamwiz.com
    127.0.0.1 find-itnow.com
    127.0.0.1 find4u.net
    127.0.0.1 firstbookmark.com
    127.0.0.1 gajai.com
    127.0.0.1 hand-book.com
    127.0.0.1 hao123.com
    127.0.0.1 hotsearchbox.com
    127.0.0.1 hotwebsearch.com
    127.0.0.1 hugesearch.net
    127.0.0.1 iquicksearch.com
    127.0.0.1 lookfor.cc
    127.0.0.1 naver.com
    127.0.0.1 nkvd.us
    127.0.0.1 novafuck.com
    127.0.0.1 ohcorea.com
    127.0.0.1 omega-search.com
    127.0.0.1 onet.pl
    127.0.0.1 power-search.info
    127.0.0.1 rightfinder.net
    127.0.0.1 search-1.net
    127.0.0.1 search-and-go.com
    127.0.0.1 search-dot.com
    127.0.0.1 search-space.com
    127.0.0.1 searchforge.com
    127.0.0.1 searching-the-net.com
    127.0.0.1 searchv.com
    127.0.0.1 searchxl.com
    127.0.0.1 seznam.cz
    127.0.0.1 slotch.com
    127.0.0.1 spidersearch.com
    127.0.0.1 startium.com
    127.0.0.1 ttjj.com
    127.0.0.1 viewpornkey.com
    127.0.0.1 wazzupnet.com
    127.0.0.1 websearch.com
    127.0.0.1 windowws.cc
    127.0.0.1 xgmm.com
    127.0.0.1 xwebsearch.biz
    127.0.0.1 yourbookmarks.ws
    127.0.0.1 collections.inhost.info
    127.0.0.1 collections.inhost2.info
    127.0.0.1 www.ruworld.com
    127.0.0.1 www.maxxxhosters.com
    127.0.0.1 www.therealsearch.com
    127.0.0.1 www.thumbest-traffic.com
    127.0.0.1 www.600pics.com
    127.0.0.1 www.hightcalldialer.com
    127.0.0.1 www.bestpornnews.com
    127.0.0.1 www.thumberland.com
    127.0.0.1 www.greg-search.com
    127.0.0.1 www.0190-dialer.com
    127.0.0.1 www.approvedlinks.com
    127.0.0.1 www.vse-moe.biz
    127.0.0.1 www.line-plus.com
    127.0.0.1 www.porno-links.biz
    127.0.0.1 www.freelivesex.org
    127.0.0.1 www.free3xmatures.com
    127.0.0.1 www.bestpics.net
    127.0.0.1 www.dikai.com
    127.0.0.1 www.world-search.biz
    127.0.0.1 www.1-se.com
    127.0.0.1 www.58q.com
    127.0.0.1 www.aifind.cc
    127.0.0.1 www.aifind.info
    127.0.0.1 www.allneedsearch.com
    127.0.0.1 www.awebfind.biz
    127.0.0.1 www.cracks.am
    127.0.0.1 www.default-homepage-network.com
    127.0.0.1 www.find4u.net
    127.0.0.1 www.freshvideogals.com
    127.0.0.1 www.i-lookup.com
    127.0.0.1 www.ie-search.com
    127.0.0.1 www.itseasy.us
    127.0.0.1 www.mysearchnow.com
    127.0.0.1 www.nativehardcore.com
    127.0.0.1 www.qwertysearch123.biz
    127.0.0.1 www.searchcentrix.com
    127.0.0.1 www.searchmyrequest.com
    127.0.0.1 www.super-spider.com
    127.0.0.1 www.teen-biz.com
    127.0.0.1 www.teenhqpics.com
    127.0.0.1 www.webcoolsearch.com
    127.0.0.1 www.wmmse.com
    127.0.0.1 www.008i.com
    127.0.0.1 www.2fastsearch.net
    127.0.0.1 www.8095.com
    127.0.0.1 www.alfa-search.com
    127.0.0.1 www.boredlife.com
    127.0.0.1 www.couldnotfind.com
    127.0.0.1 www.cracks.am
    127.0.0.1 www.daum.net
    127.0.0.1 www.dreamwiz.com
    127.0.0.1 www.find-itnow.com
    127.0.0.1 www.find4u.net
    127.0.0.1 www.firstbookmark.com
    127.0.0.1 www.gajai.com
    127.0.0.1 www.hand-book.com
    127.0.0.1 www.hao123.com
    127.0.0.1 www.hotsearchbox.com
    127.0.0.1 www.hotwebsearch.com
    127.0.0.1 www.hugesearch.net
    127.0.0.1 www.iquicksearch.com
    127.0.0.1 www.lookfor.cc
    127.0.0.1 www.naver.com
    127.0.0.1 www.nkvd.us
    127.0.0.1 www.novafuck.com
    127.0.0.1 www.ohcorea.com
    127.0.0.1 www.omega-search.com
    127.0.0.1 www.onet.pl
    127.0.0.1 www.power-search.info
    127.0.0.1 www.rightfinder.net
    127.0.0.1 www.search-1.net
    127.0.0.1 www.search-and-go.com
    127.0.0.1 www.search-dot.com
    127.0.0.1 www.search-space.com
    127.0.0.1 www.searchforge.com
    127.0.0.1 www.searching-the-net.com
    127.0.0.1 www.searchv.com
    127.0.0.1 www.searchxl.com
    127.0.0.1 www.seznam.cz
    127.0.0.1 www.slotch.com
    127.0.0.1 www.spidersearch.com
    127.0.0.1 www.startium.com
    127.0.0.1 www.ttjj.com
    127.0.0.1 www.viewpornkey.com
    127.0.0.1 www.wazzupnet.com
    127.0.0.1 www.websearch.com
    127.0.0.1 www.windowws.cc
    127.0.0.1 www.xgmm.com
    127.0.0.1 www.xwebsearch.biz
    127.0.0.1 www.yourbookmarks.ws
    127.0.0.1 thehun.com
    127.0.0.1 www.thehun.com
    127.0.0.1 thehun.net
    127.0.0.1 www.thehun.net
    #27.0.0.1 www.yahoo.com
    #27.0.0.1 yahoo.com
    #27.0.0.1 www.google.com
    #27.0.0.1 google.com
    127.0.0.1 www.altavista.com
    127.0.0.1 altavista.com
    127.0.0.1 search.microsoft.com
    #27.0.0.1 search.msn.com
    #27.0.0.1 www.msn.com
    #27.0.0.1 msn.com
    127.0.0.1 www.search.com
    127.0.0.1 search.com
    127.0.0.1 www.teoma.com
    127.0.0.1 teoma.com
    127.0.0.1 www.alltheweb.com
    127.0.0.1 alltheweb.com
    127.0.0.1 www.wisenut.com
    127.0.0.1 wisenut.com
    127.0.0.1 www.dmoz.org
    127.0.0.1 dmoz.org
    127.0.0.1 www.excite.com
    127.0.0.1 excite.com
    127.0.0.1 www.lycos.com
    127.0.0.1 lycos.com
    127.0.0.1 www.hotbot.com
    127.0.0.1 hotbot.com
    127.0.0.1 www.casino.com

    Die Datei ist sich ständig selbst am erweitern und der Inhalt ändert sich auch permanent seit heute Mittag .

    Grüße ITM4
     
  6. @ Al,

    habe das jetzt mal so an den Kunden weitergegeben - ich bin wieder zuhause und erwarte die Files per Mail - melde mich dann wieder .

    Bis hierher Danke einstweilen :D

    Grüße ITM4
     
  7. Hallo,

    anbei die Files:

    Logfile of HijackThis v1.98.0
    Scan saved at 17:26:21, on 10.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\Explorer.EXE
    D:\Programme_d\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
    C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Programme\wincmd\TOTALCMD.EXE
    D:\DISK\HiJack This\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {41C35892-E06F-4B77-8081-5856C6EA5FC0} - C:\WINDOWS\System32\agfcjb.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
    O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programme_d\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme_d\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra->Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F0FD63F0-E801-46A7-86A1-C6F713556779}: NameServer = 192.168.123.254
    O18 - Filter: text/html - {83AD93A3-E9C0-4B43-B109-D301F7819367} - C:\WINDOWS\System32\agfcjb.dll
    O18 - Filter: text/plain - {83AD93A3-E9C0-4B43-B109-D301F7819367} - C:\WINDOWS\System32\agfcjb.dll
    O21 - SSODL: System - {40584344-06A9-4792-9FC8-26DA686BFBF3} - C:\WINDOWS\system32\system32.dll

    ITM4
     
  8. Sieht ja böse aus.

    Erst mal den Inhalt des Ordners C:/Dokumente und Einstellungen/Andy/Lokale Einstellungen/Temp löschen.
    Lokale ist ein versteckter, also vorher sichtbar machen.

    C:\WINDOWS\secure.html hat dort nix verloren.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

    Würde ich fixen

    O2 - BHO: (no name) - {41C35892-E06F-4B77-8081-5856C6EA5FC0} - C:\WINDOWS\System32\agfcjb.dll (siehe auch 018 )

    ist mir unbekannt

    O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

    find ich keine Infos

    Hab bestimmt noch einiges übersehen.

    Nachtrag:
    021 system32.dll, fixen


    Mal abwarten was die Hijack Experten da noch finden!
     
  9. Ggf noch den BHO Demon nutzen - stand neulich irgendwo, dass der die besonders hartnäckigen BHO-Teile entfernen kann........Download zB hier:
    http://www.pqtuning-downloads.de/sicherheit.htm
    http://www.pcwelt.de/index.cfm?pid=256&p=3
     
Die Seite wird geladen...

Fehlermeldung - Ähnliche Themen

Forum Datum
Fehlermeldung beim remote Login zu meiner IP-Cam Windows 7 Forum Dienstag um 12:31 Uhr
Win7: Win32 Fehlermeldung und andere Fragen Windows 7 Forum 9. Juli 2016
IE 11 laufende Fehlermeldung Web-Browser 30. Apr. 2016
Fehlermeldung Windows 7 Forum 3. Dez. 2015
Fehlermeldung "RouteConverterWindows64" Windows 7 Forum 21. Nov. 2015