Fehlermeldung

  • #1
I

ITM4

Bekanntes Mitglied
Themenersteller
Dabei seit
14.02.2004
Beiträge
2.346
Reaktionspunkte
0
Ort
Mittelfranken
Hallo zusammen ,

folgende Lage :

Ein Kunde von mir besuchte heute um die Mittagszeit die Seite von BMW.

Sei dem verlassen selbiger Seite bekommt er von AntiVir folgende Fehlermeldung :


C:\WINDOWS\HOSTS

Ist das Trojanische Pferd TR/StartPage.IG.1


Beim Googeln bin ich nicht wirklich schlau geworden ??? ???

Kennt jemand diese Meldung/Trojaner und wie sich selbiger entfernen läßt ?

Folgendes habe ich bisher getan :

1) Stinger - nichts gefunden

2)Add-aware - nichts gefunden

3) Spybot - 32 Eintrage - behoben und IE immunisiert

System : XP prof SP1 - neuester patchstand
P4 2,8 GHz

Danke im Voraus,

Grüße ITM4

verschoben von WindowsXP
 
  • #2
Nachtrag:

Ich habe gerade einen Onlinescan bei gemacht - der Trojaner wurde erkannt, ich wurde gefragt ob er entfernt werden soll - mit ja geantwortet- Rechner neu gestartet - gleiche Meldung ??? ???

Im Windowsordber nachgesehen - selbiges :eek:

Grüße ITM4
 
  • #3
Durchsuch mal die Registry nach HOST oder C:\WINDOWS\HOSTS.
Auch msconfig nach verdächtigen sachen durchsuchen.

Hat die Datei C:\WINDOWS\HOSTS irgenwelchen lesbaren Ihnalt (Editor)?

Wenns geht nicht die Datei host in C:\WINDOWS\system32\drivers\etc löschen!
 
  • #4
@ Al,

ja Inhalt kommt sofort :D

ITM4
 
  • #5
Hallo,

die Datei hat folgenden Inhalt:


127.0.0.1 ruworld.com
127.0.0.1 maxxxhosters.com
127.0.0.1 therealsearch.com
127.0.0.1 thumbest-traffic.com
127.0.0.1 600pics.com
127.0.0.1 tonser.4-counter.com
127.0.0.1 free.sinpussy.com
127.0.0.1 hightcalldialer.com
127.0.0.1 bestpornnews.com
127.0.0.1 thumberland.com
127.0.0.1 greg-search.com
127.0.0.1 connect.online-dialer.com
127.0.0.1 0190-dialer.com
127.0.0.1 approvedlinks.com
127.0.0.1 download.buxomatic.com
127.0.0.1 dia.4-counter.com
127.0.0.1 vse-moe.biz
127.0.0.1 crue.global-counter.com
127.0.0.1 line-plus.com
127.0.0.1 porno-links.biz
127.0.0.1 download.tntdialer.com
127.0.0.1 freelivesex.org
127.0.0.1 free3xmatures.com
127.0.0.1 bestpics.net
127.0.0.1 dikai.com
127.0.0.1 world-search.biz
127.0.0.1 1-se.com
127.0.0.1 58q.com
127.0.0.1 aifind.cc
127.0.0.1 aifind.info
127.0.0.1 allneedsearch.com
127.0.0.1 auto.ie.searchforge.com
127.0.0.1 awebfind.biz
127.0.0.1 best.royalsearch.net
127.0.0.1 cracks.am
127.0.0.1 default-homepage-network.com
127.0.0.1 find.microgirls.com
127.0.0.1 find4u.net
127.0.0.1 freshvideogals.com
127.0.0.1 i-lookup.com
127.0.0.1 ie-search.com
127.0.0.1 in.webcounter.cc
127.0.0.1 itseasy.us
127.0.0.1 just.find-itnow.com
127.0.0.1 link.startmake.com
127.0.0.1 mysearchnow.com
127.0.0.1 nativehardcore.com
127.0.0.1 qwertysearch123.biz
127.0.0.1 search.ieplugin.com
127.0.0.1 search.psn.cn
127.0.0.1 searchbar.findthewebsiteyouneed.com
127.0.0.1 searchcentrix.com
127.0.0.1 searchmyrequest.com
127.0.0.1 super-spider.com
127.0.0.1 t.rack.cc
127.0.0.1 teen-biz.com
127.0.0.1 teenhqpics.com
127.0.0.1 tits.hardcore4ever.net
127.0.0.1 webcoolsearch.com
127.0.0.1 wmmse.com
127.0.0.1 008i.com
127.0.0.1 2fastsearch.net
127.0.0.1 8095.com
127.0.0.1 alfa-search.com
127.0.0.1 boredlife.com
127.0.0.1 couldnotfind.com
127.0.0.1 cracks.am
127.0.0.1 daum.net
127.0.0.1 dreamwiz.com
127.0.0.1 find-itnow.com
127.0.0.1 find4u.net
127.0.0.1 firstbookmark.com
127.0.0.1 gajai.com
127.0.0.1 hand-book.com
127.0.0.1 hao123.com
127.0.0.1 hotsearchbox.com
127.0.0.1 hotwebsearch.com
127.0.0.1 hugesearch.net
127.0.0.1 iquicksearch.com
127.0.0.1 lookfor.cc
127.0.0.1 naver.com
127.0.0.1 nkvd.us
127.0.0.1 novafuck.com
127.0.0.1 ohcorea.com
127.0.0.1 omega-search.com
127.0.0.1 onet.pl
127.0.0.1 power-search.info
127.0.0.1 rightfinder.net
127.0.0.1 search-1.net
127.0.0.1 search-and-go.com
127.0.0.1 search-dot.com
127.0.0.1 search-space.com
127.0.0.1 searchforge.com
127.0.0.1 searching-the-net.com
127.0.0.1 searchv.com
127.0.0.1 searchxl.com
127.0.0.1 seznam.cz
127.0.0.1 slotch.com
127.0.0.1 spidersearch.com
127.0.0.1 startium.com
127.0.0.1 ttjj.com
127.0.0.1 viewpornkey.com
127.0.0.1 wazzupnet.com
127.0.0.1 websearch.com
127.0.0.1 windowws.cc
127.0.0.1 xgmm.com
127.0.0.1 xwebsearch.biz
127.0.0.1 yourbookmarks.ws
127.0.0.1 collections.inhost.info
127.0.0.1 collections.inhost2.info
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1 thehun.com
127.0.0.1
127.0.0.1 thehun.net
127.0.0.1
#27.0.0.1
#27.0.0.1 yahoo.com
#27.0.0.1
#27.0.0.1 google.com
127.0.0.1
127.0.0.1 altavista.com
127.0.0.1 search.microsoft.com
#27.0.0.1 search.msn.com
#27.0.0.1
#27.0.0.1 msn.com
127.0.0.1
127.0.0.1 search.com
127.0.0.1
127.0.0.1 teoma.com
127.0.0.1
127.0.0.1 alltheweb.com
127.0.0.1
127.0.0.1 wisenut.com
127.0.0.1
127.0.0.1 dmoz.org
127.0.0.1
127.0.0.1 excite.com
127.0.0.1
127.0.0.1 lycos.com
127.0.0.1
127.0.0.1 hotbot.com
127.0.0.1

Die Datei ist sich ständig selbst am erweitern und der Inhalt ändert sich auch permanent seit heute Mittag .

Grüße ITM4
 
  • #7
@ Al,

habe das jetzt mal so an den Kunden weitergegeben - ich bin wieder zuhause und erwarte die Files per Mail - melde mich dann wieder .

Bis hierher Danke einstweilen :D

Grüße ITM4
 
  • #8
Hallo,

anbei die Files:

Logfile of HijackThis v1.98.0
Scan saved at 17:26:21, on 10.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
D:\Programme_d\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\wincmd\TOTALCMD.EXE
D:\DISK\HiJack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41C35892-E06F-4B77-8081-5856C6EA5FC0} - C:\WINDOWS\System32\agfcjb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programme_d\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme_d\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0FD63F0-E801-46A7-86A1-C6F713556779}: NameServer = 192.168.123.254
O18 - Filter: text/html - {83AD93A3-E9C0-4B43-B109-D301F7819367} - C:\WINDOWS\System32\agfcjb.dll
O18 - Filter: text/plain - {83AD93A3-E9C0-4B43-B109-D301F7819367} - C:\WINDOWS\System32\agfcjb.dll
O21 - SSODL: System - {40584344-06A9-4792-9FC8-26DA686BFBF3} - C:\WINDOWS\system32\system32.dll

ITM4
 
  • #9
Sieht ja böse aus.

Erst mal den Inhalt des Ordners C:/Dokumente und Einstellungen/Andy/Lokale Einstellungen/Temp löschen.
Lokale ist ein versteckter, also vorher sichtbar machen.

C:\WINDOWS\secure.html hat dort nix verloren.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andy\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Würde ich fixen

O2 - BHO: (no name) - {41C35892-E06F-4B77-8081-5856C6EA5FC0} - C:\WINDOWS\System32\agfcjb.dll (siehe auch 018 )

ist mir unbekannt

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

find ich keine Infos

Hab bestimmt noch einiges übersehen.

Nachtrag:
021 system32.dll, fixen


Mal abwarten was die Hijack Experten da noch finden!
 
  • #11
@all,

danke allen Helfern bis hierher - werde das am Montag beim Kunden alles machen - melde mich dann wieder zum Feedback :D

Schönen Sonntag noch ,

ITM4
 
  • #12
moin,

die system32.dll ist die verantwortliche datei für den hijacker startpage.ig.1 [die al bundy schon aufführte].

zusätzlich hast du aber noch einen aktiven trojaner an board. dürfte sich um einen aus der [rd]bot familie handeln. zur sicherheit x bei kaspersky checken, welcher es ist. die datei bitte nach prüfung löschen. achte auf den pfad!!

O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
Zum Vergrößern anklicken....

die hosts in c:\windows bitte auch entfernen.

zusätzlich noch folgende einträge fixen und auch die dateien löschen.

O18 - Filter: text/html - {83AD93A3-E9C0-4B43-B109-D301F7819367} - C:\WINDOWS\System32\agfcjb.dll
O18 - Filter: text/plain - {83AD93A3-E9C0-4B43-B109-D301F7819367} - C:\WINDOWS\System32\agfcjb.dll
Zum Vergrößern anklicken....

halte aber ein neuaufsetzen dann für sinnvoller, da nicht mehr sichergestellt werden kann, ob schon weitere türen geöffnet worden sind, die dir unbemerkt blieben, wenn´s sich wirklich um einen [xx]bot handelt. :(

;)
 
  • #13
Hallo zusammen,

ich bin der Kunde von ITM4.
Nachdem ich mich seit 2 Jahren um andere Dinge rund um den PC kümmere habe ich nach 10 Jahre PC bauen und supporten etwas den Anschluß verloren und bin (SCHÄM) wohl nicht mehr ohne Hilfe in der Lage mein System zu fixen.

Heute nacht habe ich den Bitdefender laufen lassen, der 2 Trojaner gefunden hatte und diese gelöscht hat. Danach ist heute nach 10 Stunden Arbeit keine Warnung mehr vom angeschalteten Anti-Vir Guard () aufgetaucht.

Der BHO Demon findet 4 Tasks (1x Adobe Acrobat = ok, 1x Google SearchBar = ok, 1x SDHelper.dll = SpyBot Search & Destroy = ok und 1x agfcjb.dll die aber nicht ausgeführt wird, da sich die Datei nicht mehr auf dem Laufwerk befindet).

Der Registry Eintrag scheint wohl unproblematisch zu sein, jedoch könnte man ihn löschen.

So denke ich, daß mein System wieder ok ist ?!?!?! Da es sich hier um einen Produktivrechner handelt, an dem täglich 10 Stunden und mehr gearbeitet wird habe ich das System absichtlich schlank gehalten und will nicht zig Tools aufspielen.

Frage:
Was meint ihr immer mit FIXEN gewisser Dateien?
z.B. system32.dll fixen

Danke von hier aus noch einmal an ITM4 der mir sehr geholfen hat und sich viel Mühe gemacht hat.
Auch Dank an alle Helfer hier, die sich um mein Problem gekümmert haben und noch kümmern.

Andy
 
  • #14
  • #15
hi,

andyoe schrieb:
Frage:
Was meint ihr immer mit FIXEN gewisser Dateien?
z.B. system32.dll fixen
Zum Vergrößern anklicken....

fixen heißt nichts anderes als beheben. ;)

scanne mit dem hijackthistool und hake die punkte an, die dir hier genannt wurden und drücke dann fix checked (fixen)
danach suchst du die dateien und löschst diese von deinem system. jedenfalls die system32.dll und auch die explorer.exe im system32-ordner.

die richtige [originale] befindet sich im windowsordner. ;)
 
  • #16
die explorer.exe steht bei mir NICHT im \SYSTEM32 Ordner = ok

allerdings steht bei mir die system32.dll ausschließlich im \SYSTEM32 Ordner und die zu löschen scheint mir gefährlich zu sein, oder?

Andy
 
  • #17
hi andyoe,

im gegenteil, das ist die startdartei, die dir den startpage.ig.1 einbringt. wenn diese nicht gelöscht wird (im abgesicherten modus), dann hat das ganze keinen sinn. ;)
 
Thema:

Fehlermeldung

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.965
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben