Trojaner

  • #1
F

FIGHTER

Bekanntes Mitglied
Themenersteller
Dabei seit
09.08.2001
Beiträge
60
Reaktionspunkte
0
Hallo.
Ich habe für AntivirXP das Updater gezogen und im Anschluss scannt er ja. Er meldet mir jetzt zum 3. oder 4. Mal einen Trojaner (Scanvorgang ist noch nicht fertig). Bisher habe ich alles gelöscht. Nun sagt er dass system32.dll der Trojaner TR/StartPage.HO ist.
Ich möchte nicht einfach etwas löschen. Könnt Ihr mir sagen, was ich machen könnte? Anscheinen kann er es nicht reparieren, da er den LÖSCHEN-Button anzeigt und man lediglich in die Reparatureinstellungen kann.

Davor war die Datei mstasks.exe (? richtig geschrieben ?) mit einem Trojaner verseucht. Habe das gelöscht. Ist das ne für das System wichtige Datei ?

Kennt Ihr einen Trojaner-scanner für diesen Trojaner ?

Ich habe auch seit einiger Zeit immer diese greatsearch.biz Seite als IE Startseite. Hängt das wohl damit zusammen?
Danke.
 
  • #2
Davor war die Datei mstasks.exe (? richtig geschrieben ?) mit einem Trojaner verseucht. Habe das gelöscht. Ist das ne für das System wichtige Datei ?
Zum Vergrößern anklicken....

Diese Datei gehört zu einem Trojaner, die Systemdatei heisst mstask.exe

Für den Rest, poste doch bitte mal ein Logfile von Hijackthis,
nachzulesen hier

Edit: M.E. ist die system32.dll auch nichts was zum System gehört.
 
  • #4
Die Log-file von hijackthis hatte ich in einem anderen Thread schonmal gepostet, aber ich habe es nicht mehr wegbekommen. Dazu sollte ich nochmal den PC im abgesichtern Modus starten und ein paar Dateien aus dem Windows Ordner löschen. Das muss ich noch tun. Wenn es danach immer noch nicht geht, dann melde ich mich im anderen Thread nochmal.
-----------------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 15:54:40, on 31.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQ\Icq.exe
C:\DOKUME~1\Israfil\LOKALE~1\Temp\ANTIVIR\UPDATE\antivir_workstation_winh_de.exe
C:\DOKUME~1\Israfil\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Israfil\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:xxgreatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xxgreatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:xxgreatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xxgreatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:xxgreatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:xxgreatsearch.biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [msnmsgr] C:\Programme\MSN Messenger\msnmsgr.exe /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Neu Textdokument.txt
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra->Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra->Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra->Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra->Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E6F8C83-1FB3-486B-8DD2-24E574D7FE5E}: NameServer = 217.237.151.225 194.25.2.129
--------------------------------------------

Links editiert
 
  • #5
übrigens war die system32.dll eine gelockte File. Ich kann sie nach dem Neustart löschen, sagt eine Meldung.
 
  • #6
Also: als allererstes solltest Du mal Dein System auf den neuesten Stand bringen - SP!!!!!!!!!!!!! für XP und für IE!
 
  • #7
Hi Fighter,

C:\DOKUME~1\Israfil\LOKALE~1\Temp\ANTIVIR\UPDATE\antivir_workstation_winh_de.exe
C:\DOKUME~1\Israfil\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
Zum Vergrößern anklicken....

Hört sich sehr ominös an, ich würde diese fixen.
M.E. gehören diese zu einem Würmchen

genauso wie diese Einträge:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:xxgreatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xxgreatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:xxgreatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xxgreatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:xxgreatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:xxgreatsearch.biz/
Zum Vergrößern anklicken....

Ansonsten mal das was Dir im anderem Thread mitgeteil wurde auch mal umsetzen,
Ebenso den Tip von aninemo.

Desweiteren mal darüber Gedanken machen wie man sich solche Dinge einfängt. Mal auch in Erwägung ziehen einen anderen Browser zu benutzen.

Edit: Anschließend deine Passwörter ändern.
Besser, dein System neu aufsetzen und dann die Passwörter zu ändern ;)
 
  • #8
bla schrieb:
Hi Fighter,

C:\DOKUME~1\Israfil\LOKALE~1\Temp\ANTIVIR\UPDATE\antivir_workstation_winh_de.exe
C:\DOKUME~1\Israfil\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
Zum Vergrößern anklicken....

Hört sich sehr ominös an, ich würde diese fixen.
M.E. gehören diese zu einem Würmchen
Zum Vergrößern anklicken....

Aber wirklich nicht. ;)
Sind doch 1. nur Temporäre Dateien vom Antivir Update
2. Temporär abgelegte Installationsdateien.

Beide gehören aber trotzdem gelöscht.
 
  • #9
fighter123232 schrieb:
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Zum Vergrößern anklicken....
??? mal Windows Update ausführen

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:xxgreatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xxgreatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:xxgreatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xxgreatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:xxgreatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:xxgreatsearch.biz/
Zum Vergrößern anklicken....
fixen

pan_fee
 
  • #10
Al schrieb:
bla schrieb:
Hi Fighter,

C:\DOKUME~1\Israfil\LOKALE~1\Temp\ANTIVIR\UPDATE\antivir_workstation_winh_de.exe
C:\DOKUME~1\Israfil\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
Zum Vergrößern anklicken....

Hört sich sehr ominös an, ich würde diese fixen.
M.E. gehören diese zu einem Würmchen
Zum Vergrößern anklicken....

Aber wirklich nicht. ;)
Sind doch 1. nur Temporäre Dateien vom Antivir Update
2. Temporär abgelegte Installationsdateien.

Beide gehören aber trotzdem gelöscht.
Zum Vergrößern anklicken....

Wirklich von Antivir?

http://www.sophos.de/virusinfo/analyses/w32indora.html
 
  • #11
komisch, ich update ziemlich oft, und letztens habe ich mir nochn update gezogen. oder wird das durch die trojans irgendwie verhindert ?
 
  • #12
Ja, heisst ja nicht antivir_update.exe
Habe den selben Eintrag nach jedem Update im Tempverzeichniss (antivir_workstation_winh_de.exe).
 
  • #13
Al schrieb:
Ja, heisst ja nicht antivir_update.exe
Habe den selben Eintrag nach jedem Update im Tempverzeichniss (antivir_workstation_winh_de.exe).
Zum Vergrößern anklicken....

Da kennst Du dich wahrscheinlich besser aus, ich benutze diese nicht und hatte es nur in Verdacht.
Ziehe diesen Verdacht hiermit zurück :-[ :-[ :-[
 
  • #15
ich habe das system neu aufgesetzt. Nun fühl ich mich wieder besser ;)
Danke für Eure Antworten.
 
Thema:

Trojaner

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.959
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben