Trojan.Win32.StartPage.ws

Dieses Thema Trojan.Win32.StartPage.ws im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Angie, 27. März 2005.

Thema: Trojan.Win32.StartPage.ws Hallo zusammen, habe gerade folgendes Teufelchen auf meinem PC entdeckt: Trojan.Win32.StartPage.ws Infiziert ist...

  1. Hallo zusammen,

    habe gerade folgendes Teufelchen auf meinem PC entdeckt:
    Trojan.Win32.StartPage.ws
    Infiziert ist folgende Datei bei mir:
    Im Verzeichnis C:\Windows\system32
    die Datei PSDrvCheck.CHS


    Auf der Homepage des Antivirenherstellers konnte ich dazu folgende Info lesen:

    Allgemeine Beschreibung:
    Trojan.Win32.StartPage.ws ist ein Trojaner, der Win32EXE-Anwendungen infiziert und zur Weiterverbreitung nutzt.

    Jetzt bin ich allerdings etwas ratlos, da ein Desinfizieren leider nicht klappte (leider ohne näheren Hinweis warum).
    Kann ich das Ding gefahrlos löschen?
    Ich habe keine Ahnung wozu die infizierte Datei PSDrvCheck.CHS gut ist, nicht daß danach nix mehr läuft.

    Danke im voraus

    Angie
     
  2. hp
    hp
  3. Hallo Hugo,

    danke für die Antwort.
    Ich bin leider noch etwas unschlüssig.
    Dein interessanter Link zeigt auf eine Vielzahl an Tronjan.Win32.StartPage....-Viren, die aber unterschiedlich behandelt werden müssen.
    Mein .....StartPage.ws-Teil ist leider nicht dabei.
    Bei meinem GData-PG wird das Teil erst seit 27.3.05 erkannt, scheint also noch brandneu zu sein.
    Ich merke jetzt nur, daß bei jedem Neustart auch auf die Datei PSDrvCheck.DEU und PSDrvCheck.DE versucht wird zuzugreifen.
    Ich habe mal auf Zugriff sperren gemacht, zu löschen traue ich mich noch nicht.
    Wie aktuell wird die Seite von dir gehalten? Wenn es bei Gdata erst seit gestern bekannt ist kann es sein daß es demnächst auch auf deinem Link aktualisiert wird? Dann würde ich noch warten.
    Ist ein wenig schwach von Gdata nur anzumerken, daß die infizierte Datei nicht desinfiziert werden konnte ohne Gründe, ohne weitere Hilfe....
    Bin jetzt immer noch ein wenig ratlos was am Besten zu tun ist

    Angie
     
  4. hp
    hp
    ich gehe mal davon aus, daß du xp als betriebsystem hast ... wenn nicht, übergeh den hinweis mit der wiederherstellungsfunktion. und nun zum problem: die dateien PSDrv* erzeugt der trojaner selber, du mußt nun rausfinden welche datei der trojaner selber ist, meist sind das .dll dateien und die mußt du nun finden. das löschen der PSDrv* dateien nützt dir wenig. und da der bösewicht im %systemroot%\system32 ordner steckt, besteht eine sicherheitskopie im ordner %systemroot%\system32\dllcache und zusätzlich noch in den wiederherstellungsdatein von xp und auf den system volume information folder (da stehn die wiederherstellungsdateien drin) hat nur das system, also nicht mal der administrator zugriff, deshalb kann g-data den virus/trojaner auch nicht bereinigen. also mußt du die dateien auch aus dem dllcache-ordner löschen ... nun: um die geschichte in den griff zu bekommen mußt du so vorgehn:

    - mach als erstes ein update von g-data, damit du die aktuelle virendefinitionsdatei hast

    - dann lade dir spybot search & destroy, ad-aware von hier http://www.wintotal.de/softw/index.php?rb=31 rungter, installier die und mach auch gleich die updates dazu, zusätzlich noch hijackthis

    - dann noch das syscleanpackage von trendmicro http://www.trendmicro.com/download/dcs.asp und das aktuelle virenpatternfile http://www.trendmicro.com/download/pattern.asp das du in das verzeichnis entpackst in das du die sysclean.com kopiert hast.

    nun startest du im abgesicherten modus (f8 taste beim booten drücken) und meldest dich als administrator an. dann deaktivierst du die wiederherstellungsfunktion, dadurch werden die wiederherstellungspunkte gelöscht und damit auch die trojaner, die dort mitgesichert wurden. auch den papierkorb leeren. dann lass mal alle obengenannten programme nacheinander laufen. alles was die finden mußt du bereinigen lassen, dateien die nicht gelöscht werden können solltest du notieren und später mal versuchen manuell zu löschen. das scannen des systems dauert natürlich eine zeitlang, du wirst aber erstaunt sein, was alles auf deinem system gefunden wird. wenn die programme alle durchgelaufen sind und du die gefundenen bösewichte gelöscht hast, rebootest du nochmal, gehst wieder in den abgesicherten modus und läßt dann hijackthis laufen. das log das erstellt wird kannst du dann hier www.hijackthis.de auswerten lassen. wenn da noch was als böse angezeigt wird kannst du das mit hijackthis fixen, bzw. den anweisunge folgen die angezeigt werden. zum abschluß mal auch die onlinescanner von hier www.antivirus-online.de drüberlaufen lassen. wenn dann nichts mehr gefunden wird, die wiederherstellungsfunktion wieder einschalten ... und welches servicepack hast du im einsatz? sp2 und alle updates installiert? eine firewall im einsatz? und als letztes noch: du mußt dein surfverhalten mal überprüfen, von nichts kommt nichts. also nicht gleich alle öffnen was mit e-mail als anhang mitkommt, nicht alle popups die aufblenden gleich bestätigen usw. dann wird die chance sich was einzufangen schon alleine durch überlegen stark eingeschränkt ...

    greetz

    hugo     
     
  5. Holla, das ist eine Menge Holz Hugo.

    Erst einmal vielen Dank für die große Mühe.
    Ich habe die Kiste erst seit wenigen Wochen, ist XP mit allen Updates denen ich habhaft werden konnte.
    Spybot search and destroy habe ich auch von Anfang an drauf, hatte bisher nie was wichtiges gefunden (die üblichen Cookies halt die ich immer gleich entfernen lies).
    Firewall auch immer brav an (die Win-eigene deaktiviert).
    GData auch immer mitlaufen, da kam eigentlich nie eine Warnung. Außer gestern die jetzige halt, aber das ist klar da lt.GData dieser Trojaner ja auch erst seit gestern aufgenommen wurde.
    Emails werden immer sofort vom Anbieter AOL überprüft, da bin ich eigentlich auch sauber.
    Popup-Blocker benutze ich auch, bestätigen konnte ich bisher nie was (bei denen die neuer als die Definition des Blockers waren).
    Also eigentlich behaupte ich von mir, ein relativ guter DAU zu sein ;-)

    Ganz begriffen habe ich es noch nicht. Würde es nicht reichen, die infizierten Dateien zu löschen, die Wiederherstellungspunkte zu löschen?
    Ist das von TrendMicro ein weiteres Antivir-Teil? Mein Englisch ist leider nicht so gut *hüstel*

    Danke im voraus
    Angie
     
  6. hp
    hp
    das problem ist ja, daß g-data den trojaner nicht beseitigen kann, also liegt es an einer fehlenden berechtigung oder an dem sicherheitsmechanismus von xp, oder der g-data hat die bereinigungsroutine gegen den trojaner nicht zur verfügung. und das löschen langt manchmal nicht, da in der registry einträge übrigbleiben, die dann zu fehlermeldungen führen. also sollte man programme laufen lassen, die dir diese arbeit erleichtern. wenn du über die programme keinen erfolg erzielst, kannst du natürlich versuchen, manuell den trojaner zu bereinigen. dazu mußt du aber die .dll eindeutig feststellen, die den trojaner beherbergt. dann sollte das deaktivieren der systemwiederherstellung und das löschen der .dll datei aus dem system32 und dem dllcache ordner langen, mit der registry wird es dann schon schwieriger, da der eintrag nicht immer anhand der .dll datei gefunden werden kann ... zum trendmicro syscleaner: der trendmicro syscleaner ist einer der weltweit besten viren/trojaner jäger überhaupt. mit dem kannst du fast alle bösewichte bereinigen. und obwohl du deiner meinung nach fast alles zur bekämpfung von viren/trojaner unternommen hast, hast du dir das teil gefangen. also ist da irgenwo noch eine lücke die du schließen mußt. desshalb mein hinweis auf das surfverhalten ...

    greetz

    hugo
     
  7. So, ich bin schon bei der Abarbeitung deiner lieben Liste auf das erste Mysterium gestossen :-[
    Habe die Antivir-Software von gestern auf heute erneut upgedatet.
    Dann mal die Kiste erneut hochgefahren und.... die Meldung auf den Trojaner war weg ???
    Habe speziell den System32-Ordner erneut scannen lassen, keine Meldung auf Trojaner mehr.
    Also entweder die haben ihre gestrige Definition falsch gehabt und auf heute hin repariert oder das ist ein ausgefuxter Trojaner der sich vor der Entdeckung schützt.
    Auf was würdest du tippen?

    Würdest du den Syscleaner als Zusatz zu GData sehen oder als Entweder/Oder?

    Danke wiedemal im voraus

    Angie
     
  8. hp
    hp
    beides, ein entweder/oder gibts hier nicht ... der sysclean ist ein reiner scanner, den du auch von der kommandozeile aus laufen lassen kannst, der g-data hingegen ist ein virenwächter der dein system ständig überwacht ...

    greetz

    hugo
     
  9. Hallo Angie,

    habe ebenfalls Trojan.Win32.StartPage.ws auf
    meinen PC entdeckt (seit 27.03. Anzeige Virenscanner
    GData).

    Hast Du das Problem zwischenzeitlich lösen können?

    Habe etwas über einen vermutlichen Fehlarlam des o.g. Trojan gelesen, kann dies sein?

    Danke im voraus
    Heike
     
  10. Hallo Heike,

    ein erneuter Virensoftwareupdate am nächsten Tag (28.3.) sorgte dafür, daß dieser Trojan nicht mehr erkannt wurde.
    Ich habe extra nochmal den betreffenden Ordner nach Viren durchsuchen lassen, ebenfalls keine Erkennung mehr.
    Daher bin ich davon ausgegangen daß es ein Fehlalarm war den GData am nächsten Tag in der Erkennung behoben hat.
    Gib einfach nochmal kurz Bescheid ob es bei dir auch weg ist nach Aktualisierung (auch zu meiner Beruhigung...)

    Angie