Startseite verändert

#1 Hola!

Mein Bruder hat ein kleines Problem mit seinem PC, seit seine Startseite verändert wurde und sich meist Sexseiten oder ähnliches öffnen. Zudem speichern sich wildfremde Seiten im Favoriten und auf Adobade Reader kann er auch nicht zugreifen, da sofortige Weiterleitung.

Voilá das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:20:57, on 13.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\lmgrd.exe
C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\uglmd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Musik\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Brand\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mht!http://superprogdownload.com/download/helps/id/187787/1047491552.chm::/win.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{044E3E19-E78F-47C5-B814-F4ACDED608F7}: NameServer = 81.209.208.13 83.133.0.13
O17 - HKLM\System\CS1\Services\Tcpip\..\{044E3E19-E78F-47C5-B814-F4ACDED608F7}: NameServer = 81.209.208.13 83.133.0.13
O18 - Protocol: bw+0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Unigraphics License Server (uglmd) - Macrovision Corporation - C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\lmgrd.exe


Es wäre sch0ön, wenn ihr uns helfen könntet!

Laure

#2 allen hallo und einen guten abend :-)

@Laure

als sofort-lösung für die unerwünschte start-seite
ladet euch von
http://www.safer-networking.org/de/download/index.html
"Spybot - Search & Destroy 1.3"
herunter, installiert es, laßt es updaten,
geht in den 'erweiterten Modus',
laßt euch unter 'Werkzeuge' alle detail's anzeigen,
wählt 'IE Spielereien',
hakt die 'Schlösser' an,
geht unter 'Browser Seiten'
und tragt in allen zeilen, die mit 'http' beginnen, die gleiche
startseite ein (zb. www.heise.de).

laßt das programm einmal durchlaufen und die (wahrscheinlichen)
funde beseitigen,
'immunisiert' die registry.

erklärung:
die angezeigten http's sind alle die möglichen startseiten, die die
verschiedenen windows-innereien aufrufen möchten, aber nicht
können sollen, denn dann können es andere programme auch
(wie eben jetzt).
die 'Schlösser' sollen einen erneuten unerwünschten wechsel
verhindern; ein gelegentlicher blick in die liste der möglichen
startseiten zeigt, daß bzw. ob dies auch wirklich so ist, nämlich,
wenn dort weiterhin die eingetragene seite steht.

setzt euch (vorsichtig) mit den details von spybot auseinander
und schaut euch auch gelegentlich bei 'heise.de' um - das kann
gewiß nicht schaden.

--- edit ---
ihr solltet unbedingt (nach der bereinigung, besser nach einer
neuinstallation) sp2 und alle folge-updates einspielen.
damit die mühe sich lohnt, solltet ihr euch eine image-software
besorgen (zb. ghost oder drive image), damit ihr die saubere
installation konservieren und im notfall darauf zurückgreifen
könnt.

mit freundlichen grüßen,
inDigo.

#3 Schönen Guten Tag,
ich bin der ominöse Bruder und hab es nun doch Trotz totalem Uni Stress geschafft hier rein zu finden. Erstmal vielen Dank für die Hilfe, wurde auch soweit alles ausgeführt, allerdings ist das Problem noch nicht ganz behoben:

Weiterhin ist dieser Link meine Startseite und lässt sich nicht ändern: http://rl.webtracer.cc/-/?bayzm

Beim durchlaufen des Programms findert er außerdem noch Possible hijacker in den Benutzer Einstellungen mit 5 entries die alle wie folgt aussehen:
HKEY_USERS\S-5- und dann solche Zahlen\Software\Microsft\Internet Explorer\Styles\Users Stylessheet!=

Bei einem ist statt S-4-42424- bla default!

Ich habe unter Werkzeuge und Browser Seiten alle http's umgeändert aber http://rl.webtracer.cc/-/?bayzm kommt immer wieder zurück.

Danke schon mal im Vorraus
Neffets

Ach so außerdem weiß ich nicht was schlösser haken heißt, bzw. wie ich das anstellen soll. Soll ich in die liste mit den hosts den webtracer dazumachen????


Escan hat jetzt folgendes festgestellt:

File C:\WINDOWS\SYSTEM32\DRIVERS\NABTSFEM.SYS infected by "Trojan.Win32.StartPage.vn" Virus. Action Taken: No Action Taken.

File C:\Spiele\hl\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

File C:\System Volume Information\_restore{FA882E45-8BA1-45AE-A7A7-9FCE2E825E45}\RP159\A0139285.sys infected by "Trojan.Win32.StartPage.vn" Virus. Action Taken: No Action Taken.
Escan hätte ich kaufen müßen um den Trojaner zu entfernen

#4 http://board.protecus.de/t16317.htm

Anleitung sorgfältig abarbeiten, dann schauen ob dein System clean ist. Falls nicht ein neues Logfile erstellen und posten.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 @Malkesh

im nachhinein auch dank von mir für deine arbeit/
zusammenstellung :-)

interessant finde ich aber auch den link zu e'scan -
ich lade gerade (dos-fenster ... seeehr langsam) die
aktualisierungen herunter.
wenn es gut arbeitet, kommt es in meine 'tool-box'.

mit freundlichen grüßen,
inDigo.

#6

Zitat

Neffets2103 postete
Escan hat jetzt folgendes festgestellt:

File C:\WINDOWS\SYSTEM32\DRIVERS\NABTSFEM.SYS infected by "Trojan.Win32.StartPage.vn" Virus. Action Taken: No Action Taken.

File C:\Spiele\hl\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

File C:\System Volume Information\_restore{FA882E45-8BA1-45AE-A7A7-9FCE2E825E45}\RP159\A0139285.sys infected by "Trojan.Win32.StartPage.vn" Virus. Action Taken: No Action Taken.
Escan hätte ich kaufen müßen um den Trojaner zu entfernen

Jep, die kostenlose Version von eScan reinigt nicht, jedoch ist es ein sehr guter Scanner, der so einige Malware findet die leider gerne mal Programmen wie Norton durch die Finger geht. Ein weiterer Vorteil ist, das man den Scanner nicht installieren muss.
Es wird immer geraten dieses Tool zu verwenden so das man einen Scan von einem Antiviren-Programm hat, welcher mit sehr großer Wahrschenilichkeit nicht von einem Virus/Trojaner beeinflusst wurde. Denn auch das kommt häufig vor, dass installierte Scanner ausgehebelt werden und daher nicht mehr richtig funktionieren.

Die Virenfunde löschst du einfach manuell, wie in der Anleitung beschrieben, eScan gibt dir ja den genauen Pfad

File C:\System Volume Information\_restore{FA882E45-8BA1-45AE-A7A7-9FCE2E825E45}\RP159\A0139285.sys infected by "Trojan.Win32.StartPage.vn"
Dieser Virus sitzt übrigens in der Systemwiederherstellung, auf die hast du selber keinen Zugriff (wundere dich daher nicht, wenn du diesen Pfad nicht findest bzw. nicht darauf zugreifen kannst). Deaktiviere sie also, damit der infizierte Wiederherstellungspunkt von Windows gelöscht wird! Sobald dein System sauber ist aktivierst du sie wieder und Windows legt einen neuen und dann hoffentlich sauberen Wiederherstellungspunkt an.

Folge einfach den Schritten der Anleitung und frage bei Unklarheiten nach, poste dabei am besten auch immer ein aktuelles HijackThis-Log dazu, so dass man den momentanen Zustand deines Systems beurteilen kann.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#7 @Malkesh

du hast es zwar auch gar nicht 'behauptet', aber
e'scan ist keine 'wunderwaffe'.
wie du in der anleitung schon beschrieben hast, ist es
durchaus ratsam, vor aufkommen der panik oder
voreiligen löschungen die ausgeworfenen fundstellen
genau zu überprüfen:
eben wird zb. beim durchlauf
"sblaster_live!_value_xp_2003-08-05.exe"
als 'RiskWare' bezeichnet, ist aber nur das update
für meine soundkarten-treiber.
auch eines der programmteile meines emailers
(pegasus) ist für e'scan suspekt - wenn ich es nicht
wirklich besser wüßte, würde ich wohl nervös werden.

--- edit ---
e'scan erkennt das 'eicar-testfile' nicht als dummy ...
das ist nicht so schön.
--- edit ---

trotzdem -
e'scan ist eine gute ergänzung.

danke und
mit freundlichen grüßen,
inDigo.

#8 Wie du schon sagtest .. "Riskware" und nicht Virus/Trojaner/Malware - sogar Programme wie miRC werden als Riskware aufgeführt, aber wie der Name schon sagt geht es hier nicht um Malware sondern um 'Risikofaktoren'.

Was für ein Testfile du jetzt allerdings meinst und um was für einen Dummy es sich handelt, weiß ich leider nicht.

Natürlich ist eScan keine Wunderwaffe, es soll vielmehr bei der Bereinigung eines infizierten Systems als Ergänzung zum installierten Scanner dienen! Das Programm basiert auf der Kaspersky Engine und hat daher in etwa die gleiche Scanleistung. Echte false positives habe ich persönlich bei eScan bzw. Kasperksy bisher noch nie gehabt, wobei ich jetzt natürlich nicht ausschließen möchte das es sie gibt.

Zum Überprüfen von Dateien bei welchen man sich unsicher ist gibt's übrigens auch eine nette Seite die einem weiterhelfen kann:
http://virusscan.jotti.org/
Hier kann man die entsprechende Datei hochladen und sie wird von mehreren bekannten und guten Scannern unter die Lupe genommen, so erhält man ein vielseitiges Ergebnis.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#9 @Malkesh

das testfile (und seine gepackten versionen) besteht nur
aus einer code-zeile, die starke ähnlichkeiten mit
viren-grundkonstrukten hat:
http://www.eicar.org/anti_virus_test_file.htm

die files sind unschädlich.
die meisten viren-scanner interpretieren das aber anders,
was zb. dazu führt, daß man sie oft nicht einfach löschen
kann, wenn der scanner sie ersteinmal in der mache hat
und alarm schlägt - das muß man vorher wissen.

inDigo.

#10 Wie gesagt, natürlich gibt es false positives, jedoch sind diese in der Praxis äußerst selten, wie oben bereits erwähnt, mir persönlich ist noch nie einer unter gekommen (natürlich gibt es solche Testfiles, sie sind ja eben dazu da und auch darauf ausgelegt false positives zu konstruieren, dabei strapazieren sie gezielt die Heuristik der Antiviren-Programme). Meine privaten Rechner hatten seit 5 Jahren keine Virenfunde mehr und Rechner von Freunden oder von meiner Arbeit her waren eindeutig infiziert, wenn der Scanner anschlug. Die Rate der false positives hängt natürlich auch vom eingesetzten Scanner ab, manche sind 'strenger' als andere (manchmal leider auch einfach nur schlampig in der Scanleistung) und schlagen dadurch eher über die Stränge, da muss man schon vorsichtig sein, das ist wahr - aber man muss auch vorsichtig sein wenn man über die Straße geht, ich denke du verstehst was ich damit meine.

Jedoch frage ich mich worauf du im Moment überhaupt hinaus willst, wenn es dir nur darum ging Infektionen vorher zu überprüfen so stimme ich dir zu, jedoch ist es für Laien unmöglich jede Datei Haargenau zu analysieren. Und auf Ferndiagnose ist es Helfern ebenfalls unmöglich dies festzustellen. Oder hast du eine Idee wie man das angehen soll, wenn nicht durch einen heranziehen von mehreren verschiedenen Scan-Engines?

Bei einem offensichtlich infizierten System, wie wir es hier vorliegen haben, ist meine persönliche Priorität das System zu säubern. Es lässt sich dabei nunmal nicht vermeiden Dateien zu löschen. Sollte dabei ein Programm oder ähnliches Schaden nehmen, so kann man sich darum nach der Bereinigung kümmern. So jedenfalls meine Meinung. Und auf Verdacht irgendwelche Files stehen zu lassen ohne sich wirklich sicher zu sein (z.B. weil man genau weiß, das diese spezielle Datei eben false positives auslösen kann oder ähnliches) ist viel zu riskant, dann hätte man nämlich sehr bald sehr viele Leute die auf einmal den ganzen Ärger wieder von vorne am Hals hätten. Eine Alternative ist es Dateien unter Quarantäne zu stellen, sofern diese auch wirklich sicher ist.


Unsere Diskussion hilft den beiden Betroffenen jetzt jedoch überhaupt nicht weiter dabei ihr Problem zu beheben, weswegen ich dir Vorschlage dies entweder auf einen separaten Thread zu verlagern oder sonst wie von diesem Thread zu lösen.

edit: Wie du übrigens auf der von dir geposteten Seite nachlesen kannst, wird es von den Antiviren-Scannern erwartet das sie auf diese Code-Zeile anschlagen! Daher ist dieses Argument sowieso hinfällig. Natürlich schlägt ein Filter auf etwas an worauf man ihn programmiert hat sonst wäre er wohl ziemlich untauglich ...

Zitat

Quelle: http://www.eicar.org/anti_virus_test_file.htm
Any anti-virus product that supports the eicar test file should detect it in any file providing that the file starts with the following 68 characters, and is exactly 68 bytes long:

Wie du siehst handelt es sich dabei um eine Kooperations-Arbeit zwischen Scanner-Herstellern und eicar.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#11 @Malkesh

schade, du hast mich völlig mißverstanden.

deine tipps sind gut.
das tool e'scan ist gut,
und mehrere zusammen ergeben eine höhere sicherheit.
das und mehr habe ich nicht geschrieben.

andererseits war ich ein bißchen enttäuscht darüber, daß
die scan-engine 'eicar' bzw. bekannte programmteile nicht
erkennt ... bei dem vorhergehenden download hätte ich das
für möglich gehalten.

nein - schlechtschreiben will ich nichts.
das proggi kommt in meine werkzeugkiste.
und ich glaube auch nicht, daß Neffets2103 sich von dem
kurzen text-wechsel verwirren läßt ... er hat ja noch mit
deinem arbeitsauftrag zu tun.

und bevor du dich jetzt noch weiter aufregst, lassen wir das
besser sein - wie schon geschrieben:
über deine tipps und deine hilfe ist _absolut_ nichts zu meckern !
vielleicht liest du alles noch einmal durch, dann wirst du sehen,
daß du dich (diesmal) verrannt hast.

mit freundlichen grüßen,
inDigo.

#12 Nein, aufgeregt hab ich mich nicht. Ich hab nur nicht wirklich verstanden worauf du hinaus wolltest.
Den Dummy hab ich jetzt nicht mit eScan getestet, sondern nur mit Kaspersky, welcher ihn auch als solchen erkennt. Da es auf der gleichen Engine basiert würde es mich also wundern, wenn der eScan das nicht tut. Aber da du es ja getestet hast wird das schon stimmen, glaub ich dir durchaus.

Und nein, ich hab das nicht als Gemeckere aufgefasst, Kritik ist mir immer willkommen - schließlich ist das einer der effektivsten Wege Fehler zu finden und zu verbessern. Ich wollte wirklich nur verstehen, was du eigentlich aussagen wolltest, denn leider ist das am Anfang so gar nicht rüber gekommen bzw. ich habs wirklich nicht ganz nach vollziehen können.

Aber ich denke jetzt haben wir dieses Missverständnis geklärt und die Unklarheiten sind beseitigt.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#13 @Malkesh

jo.
und jetzt
eine gute nacht ;-)

inDigo.