TR/StartPa.DU.DLL.1 und vielleicht mehr.

#0
01.12.2005, 22:50
...neu hier

Beiträge: 3
#16 Hallo Leute,
bin neu hier und bringe frischeprobleme ins forum*g*
also ich habe ein problem ich war für 2wochen weg und irgend jemand hat an meinem pc rumgefummelt -.- seit dem ist da alles mögliche drauf zB. wenn ich den i-net browser aufmache kommt diese meldung von Antivir :

C:\WINDOWS\MKSMR.DLL

Ist das Trojanische Pferd TR/StartPa.DU.DLL.1

und da der pc erheblich langsamer läuft ist wahrscheinlich auch noch ei virus drauf ;(

was soll ich jetzt tun?bin am verzweifeln....HILFE!

MfG
Nazrizim

/edit:

Hier mal der logfile von Hijack


Logfile of HijackThis v1.99.1
Scan saved at 23:00:56, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
C:\Programme\SpyFighter\SpyFighter.exe
C:\Programme\SpyFighter\AutoUpdate.exe
C:\Programme\a-squared\a2guard.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\winyr32.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\addkp32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Chef\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {BE39619D-2F5C-5C5D-24AA-44CE33AF3E2B} - C:\WINDOWS\system32\javame.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [C.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\C.tmp.exe
O4 - HKLM\..\Run: [D.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [10.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe
O4 - HKLM\..\Run: [D.tmp.exe] C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [10.tmp.exe] C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe
O4 - HKLM\..\Run: [SpyFighterMonitor] "C:\Programme\SpyFighter\SpyFighter.exe" monitor
O4 - HKLM\..\Run: [SpyFighterUpdate] "C:\Programme\SpyFighter\AutoUpdate.exe" silent
O4 - HKLM\..\Run: [javaza.exe] C:\WINDOWS\system32\javaza.exe
O4 - HKLM\..\Run: [addkp32.exe] C:\WINDOWS\addkp32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winyr32.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Dieser Beitrag wurde am 01.12.2005 um 23:04 Uhr von Nazrizim editiert.
Seitenanfang Seitenende
02.12.2005, 12:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Nazrizim

Start -> Ausfuehren --> schreib rein: notepad -- klicke OK.
oder , falls das kommando nicht stimmt, oeffne den Editor....

Dann kopiere folgenden Text rein:

Zitat

sc stop Network Security Service
sc delete Network Security Service
del delete.bat
Auf dem Desktop abspeichern als "delete.bat" --> Gebe bei Dateityp 'Alle Dateien' an--> Doppeltklicken

-------------------------------------------------------------------------------

Deaktivieren Wiederherstellung -- nach der Reinigung wieder aktivieren XP
Arbeitsplatz--rechtsklick, dann auf Eigenschaften---Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

öffne das HijackThis-- Button "scan" -- Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {BE39619D-2F5C-5C5D-24AA-44CE33AF3E2B} - C:\WINDOWS\system32\javame.dll
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [C.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\C.tmp.exe
O4 - HKLM\..\Run: [D.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [10.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe
O4 - HKLM\..\Run: [D.tmp.exe] C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [10.tmp.exe] C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe
O4 - HKLM\..\Run: [SpyFighterMonitor] "C:\Programme\SpyFighter\SpyFighter.exe" monitor
O4 - HKLM\..\Run: [SpyFighterUpdate] "C:\Programme\SpyFighter\AutoUpdate.exe" silent
O4 - HKLM\..\Run: [javaza.exe] C:\WINDOWS\system32\javaza.exe
O4 - HKLM\..\Run: [addkp32.exe] C:\WINDOWS\addkp32.exe
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winyr32.exe

PC neustarten


KILLBOX - Pocket KillBox

http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\javame.dll
C:\WINDOWS\system32\javaza.exe
C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe
C:\WINDOWS\winyr32.exe
C:\WINDOWS\addkp32.exe

PC neustarten

wende CleanUp an
http://virus-protect.org/cleanup.html

aboutbuster
http://www.spychecker.com/program/aboutbuster.html
Alle Dateien in einen Ordner entpacken
die Readme Datei lesen
starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet)

4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit --> kopiere dann hier den scanbericht

suche das Tool und scanne--> am besten auch im abgesicherten Modus --> kopiere dann hier den scanbericht
* sphjfix107.zip (30.71 KB - runtergeladen 42 Mal.)
http://www.hwe-forum.de/index.php/topic,4847.msg75029.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

scanne und poste den scanbericht
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.12.2005, 16:26
...neu hier

Beiträge: 3
#18 Hallo Sabina danke aber es gibt da ein problem mit KillBox....wenn ich den pfa´d angebe und auf das x drücke passiert nix....:(
und noch ein problem der trojaner hat sich schon wieder wo anders verschanzt
Seitenanfang Seitenende
02.12.2005, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 arbeite alles andere ab (ohne die killbox)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2005, 14:17
...neu hier

Beiträge: 3
#20

Zitat

Sabina postete

aboutbuster
http://www.spychecker.com/program/aboutbuster.html
Alle Dateien in einen Ordner entpacken
die Readme Datei lesen
starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet)

4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit --> kopiere dann hier den scanbericht
Ich verstehe das nicht..ichhab das programm geloadet und entpackt sowie die datei gelesen was soll ich jetzt machen???das programm durchlaufen lassen??
oder was???und ich hab noch mehr probleme eben kam die meldung das die signatur von einem virus entdeckt wurde...blöderweise hab ich vergessen den namen zu kopieren....


edit: das hat antivir grade entdeckt:

C:\WINDOWS\TEMP\ADWARE\INSTAFINDERK_INST.EXE

Enthält Signatur des Droppers DR/ToolBar.404Search.H
Dieser Beitrag wurde am 03.12.2005 um 14:31 Uhr von Nazrizim editiert.
Seitenanfang Seitenende
03.12.2005, 17:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Nazrizim

nimm es mir nicht uebel, aber ich werde nicht mehr weiter Tips zur Reinigung geben, denn es ist zu kompliziert....fuer dich.......
Wenn du mich schon fragst, was du weiter mit AboutBuster machen sollst (nach dem Laden), obwohl ich genaustens alle Anweisungen gegeben habe...wie wirst du mit all den anderen Dingen fertig, die da noch kommen, um alles sauber zu haben.
Die temporaeren Dateien sollten auch schon laengst geloescht sein....

Formatiere.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende