PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Erledigt] Trojaner.Startpage -> einziger Weg, neu aufsetzen :(



Thom19
21-11-04, 15:37
Also ich habe mir heute den Trojaner.Startpage - Trojaner eingefangen, der verursacht, dass man keine gewollte Startpage mehr einrichten kann, sondern man wird zu einer Adawarepage weitergeleitet. Dank langen Probierens und Norton (und dank der Hilfe von iladrion, danke nochmal http://forums.ubi.com/infopop/emoticons/icon_wink.gif) ist es mir gelungen, im abgesicherten Modus (nachdem ich die Systemwiederherstellung deaktiviert hatte, habe ja XP) den Trojaner schließlich zu entfernen, das Problem ist nur, ich kann die Registry Values und Keys, die durch den Trojaner verursacht worden sind, auch mit Adaware nicht wegbekommen. Der erkennt und beseitigt sie zwar, sobald man Adaware aber wieder schließt, sind sie wieder da. Auch meine gewohnte Startpage lässt er mich in den Internetoptionen wieder eintragen und die bleibt auch, JEDOCH werde ich noch immer auf die Adaware-Page umgeleitet. Warum, meine Startseite ist doch eine andere? Ich nehme mal an, wegen der Registry Values und Keys, die bekomme ich aber weder mit Norton, Adaware, TrojanHunter oder sonst irgendeinen Programm, das ich kenn *g* weg. Hat da jemand noch einen Rat? Würde mich freuen.

Thom19
21-11-04, 15:37
Also ich habe mir heute den Trojaner.Startpage - Trojaner eingefangen, der verursacht, dass man keine gewollte Startpage mehr einrichten kann, sondern man wird zu einer Adawarepage weitergeleitet. Dank langen Probierens und Norton (und dank der Hilfe von iladrion, danke nochmal http://forums.ubi.com/infopop/emoticons/icon_wink.gif) ist es mir gelungen, im abgesicherten Modus (nachdem ich die Systemwiederherstellung deaktiviert hatte, habe ja XP) den Trojaner schließlich zu entfernen, das Problem ist nur, ich kann die Registry Values und Keys, die durch den Trojaner verursacht worden sind, auch mit Adaware nicht wegbekommen. Der erkennt und beseitigt sie zwar, sobald man Adaware aber wieder schließt, sind sie wieder da. Auch meine gewohnte Startpage lässt er mich in den Internetoptionen wieder eintragen und die bleibt auch, JEDOCH werde ich noch immer auf die Adaware-Page umgeleitet. Warum, meine Startseite ist doch eine andere? Ich nehme mal an, wegen der Registry Values und Keys, die bekomme ich aber weder mit Norton, Adaware, TrojanHunter oder sonst irgendeinen Programm, das ich kenn *g* weg. Hat da jemand noch einen Rat? Würde mich freuen.

RGunny
21-11-04, 15:41
Hallo Thom,

haben diese Registry Einträge auch Namen ? Kannst Du sie per "Suchen" ausfindig machen und dann evtl. löschen ?
Hast Du bei AdAwáre dann auch die Quarantäne gelöscht ?

Thom19
21-11-04, 15:46
Hier (http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=129590) auf der Mcafee-Seite sind die Registry Einträge aufgelistet, es sind (fast!) immer die selben. Manuell zu löschen bringt auch nichts, hab ich natürlich auch schon probiert

RGunny
21-11-04, 15:48
EDIT: Schau auch mal unter folgendem Pfad nach - da sind kommen sie oft mit rein:

Arbeitsplatz -> Localer Datenträger C -> Dokumente und Einstellungen -> Dein PC (Name) -> .jpi_cache -> file -> 1.0

Thom19
21-11-04, 15:55
Unter Arbeitsplatz -> C -> Dok. und Einstellungen -> mein Name *g* gibt es nur application Data, Desktop, Favoriten, UserData, Cookies, Eigene Dateien und Startmenü aber kein .jpi_cache, bin ich unfähig, es zu finden oder heute einfach schon so down http://forums.ubi.com/infopop/emoticons/icon_wink.gif

Ja ich habe bei Quarantine sowohl beim Norton als auch bei Adaware die Dateien/Keys gelöscht

RGunny
21-11-04, 16:05
Uups - dann ist das bei Dir noch etwas anders strukturiert. Oder es kann sein, daß dieser .jpi Ordner bei die versteckt ist und deshalb nicht angezeigt wird ...

Aaaaaaaargh, würde Dir ja gerne besser helfen - doch tabbe ich jetzt im Dunkeln http://forums.ubi.com/infopop/emoticons/icon_frown.gif ... Daß mit
diesem Ordner (den Unterordner 1.0) kann man problemlos löschen) weiß ich nur aus eigener Erfahrung.

EDIT. Mache auch gleich Feierabend hier - ständig muß ich meine Posts wegen Wortsalat editieren http://www.ubisoft.de/smileys/5.gif ...

ikarus2047
22-11-04, 06:06
hmmm, das kenn ich, hatte ich bis vor n paar wochen auch.
hab fast alles probiert, ich glaub so um die 5 virenscanner und noch paar andere sachen, weg hab ichs aber nur mit formatieren gekriegt.
dann glich norton2005 drauf und seitdem is ok http://forums.ubi.com/infopop/emoticons/icon_smile.gif

Bldrk
22-11-04, 06:55
Hab leider auch nur den Rat, einen Nachmittag zu investieren und den ganzen Kram neu aufzuspielen... Wobei der Trojaner ja wirklich heftig sein muß. Trotz manuellem Löschen in der registry bleibt das Teil. Es gibt doch außer der registry keine Ebene, die für eine Wiederherstellung maßgeblich ist. Oder hat das Teil Dein Bios verändert? http://forums.ubi.com/infopop/emoticons/icon_frown.gif

Hab mal gegoogelt... also das Bios verändert er wohl nicht. Nutzt eine Sicherheitslücke im IE. Deshalb zukünftig anderen Browser nutzen... Den ultimativen Weg, das Teil zu killen, hab ich noch nicht gefunden. Alle raten mehr oder weniger hilflos zu allen möglichen Scanprogrammen. Läuft also auf ein Format c raus und die Benutzung eines anderen Browsers.

Mirdath
22-11-04, 07:55
Geh einmal auf diese Seite http://www.hijackthis.de/de und lade dir das Programm Hijackthis runter. Lass es dein System scannen und klicke dann auf "Save Log" - dann öffnet sich dein Texteditor und zeigt das Log an - markiere alles, kopiere es und gib es auf der o.g. Internetseite in das Textfeld ein, auf "Auswerten" klicken und schau dir dann genau an, was dir als Ergebnis geliefert wird. Sachen, die als "böse" markiert sind, fixt du dann über Hijackthis (entsprechenden Eintrag mit Häckchen versehen und auf "Fix checked" klicken).

Hoffentlich hilft es dir weiter.

Mirdath
22-11-04, 07:59
So, und jetzt hab ich auch den Link wiedergefunden, den ich gesucht habe http://forums.ubi.com/infopop/emoticons/icon_smile.gif Hier http://www.rokop-security.de/board/index.php?showtopic=3867 wird eine weitere Methode erklärt, mit der du dein System hoffentlich säubern kannst.

dragon12321
22-11-04, 09:10
Der Tip mit Hijack is recht gut, kannst die Log ja mal hier reinposten http://forums.ubi.com/infopop/emoticons/icon_smile.gif

Hier noch ein paar Vorschläge:
Als Scan_Alternative zu AdAware einfach mal Spybot (http://www.safer-networking.org/en/index.html) drüberlaufen lassen. Die Resultate sind bei beiden Programmen in diversen Fällen recht unterschiedlich.

WICHTIG: Spybot und AdAware beides im abgesicherten Modus laufen lassen!

Ansonsten könnte dir folgendes weiterhelfen (weiss aber nicht, ob das bei XP geht, bei 2000 funktioniert's auf jeden Fall):

Start -> Ausführen -> "regedt32" eingeben (also den alten RegEditor, nicht "regedit"! http://www.ubisoft.de/smileys/10.gif ^^)

Dann suchst du die betreffenden Keys heraus und setzt die Variablenwerte auf 0 (da dir ja die Schlüssel wohl bekannt sind, die die Probleme verursachen).
Nun wählst du den Ordner, in dem die Keys sind, aus, stellst über die Reiterkarte "Sicherheit -> Berechtigungen" einen Schreibschutz ein und startest das System neu.

Wenn die Werte sich nicht geändert haben, kannst du mit Regseeker (http://www.chip.de/downloads/c_downloads_10786291.html) die betreffenden Einträge raushauen und einen Scan machen lassen, der alle zugehöigen Keys entmüllt.

RGunny
22-11-04, 09:14
Was ich auch mal benutz habe, ist von Tweak XP der RegCleaner - damit habe ich es mal mit Anderem geschafft ...

dragon12321
22-11-04, 09:24
...welcher leider in die JV16 Powertools übernommen wurde und nun dermaßen mit nutzlosen Funktionen zugemüllt ist, dass es die Effizienz nicht mehr ausgleicht.

Zudem sind die Powertools kostenpflichtig http://forums.ubi.com/infopop/emoticons/icon_frown.gif

Seitdem war eigentlich der Regseeker der "kostenlose Marktführer" http://forums.ubi.com/infopop/emoticons/icon_wink.gif

Thom19
22-11-04, 14:14
Also Leute ich habe wirklich alles hier ausprobiert, den RegSeeker, den Antispy, den Spybot, das Programm Hijackthis, alles.

Es hat einfach keinen Sinn, die Registry Keys bleiben, die veränderte Startpage auch. Aber ich will nicht format C http://forums.ubi.com/images/smilies/cry.gif http://www.ubisoft.de/smileys/5.gif

dragon12321
22-11-04, 15:34
Ja, poste doch mal die Logfile, die Hijack This ausgibt http://forums.ubi.com/infopop/emoticons/icon_smile.gif

Thom19
22-11-04, 17:28
ich poste hier meine Saves rein, seht sie euch bitte unter www.hijackthis.de (http://www.hijackthis.de) an. Das braucht weniger Platz. Lustigerweise ist davon keine mehr "böse" aber evt böse. Die win-eto.com Adresse ist die Adresse, die ich aus meiner Startpage nicht mehr wegbekomme. Die O2 - BHO: (no name) File und die letzte dll.dll.dll... File sind die beiden die sehr wahrscheinlich was mit dem Trojaner zu tun haben, und die evt. die Registry Keys regenerieren, denn sie lassen sich nicht löschen, weil sie ihm Hintergrund immer benützt werden. Hier die Auswertung:

http://www.hijackthis.de/logfiles/9df53874f0e342a988884c12370bf2c8.html

Assasin_Lee
23-11-04, 06:22
MAch einfach mal eine Systemwiederherstellung von einem früheren Zeitpunkt.Also vor dem Virus, so mache ich das immer und klappt auch vorallem bei diesen Startseiten Änderern.

dragon12321
23-11-04, 11:28
Tipp:
Schreib das den Hijack-Leuten ins Forum, die kennen sich genaustens mit den Files aus.

Mir fallen zwar 3 Sachen direkt auf, ich will aber keine vorschnellen Schlüsse ziehen http://forums.ubi.com/infopop/emoticons/icon_smile.gif

Thom19
25-11-04, 03:04
So jetzt wird mein PC neu aufsetzt (inkl. SP 2, neuer Firewall, und und und), alles andere scheint zu keiner Lösung zu führen. Ich hoffe es klappt alles und wir sehen uns bald wieder http://forums.ubi.com/images/smilies/88.gif

Betet für mich *lol*

RGunny
25-11-04, 03:51
Vorsicht vor dem SP2 - ich würde genaustens mal überprüfen, was Du davon wirklich brauchst.
Ich habe zum SP2 erst vor Kurzem gelesen, daß es neue gravierende Sicherheitslücken mit sich bringt, die ohne nicht da waren !!

Bei mir konnte ich schon genau sagen, wann mein Virenscanner für kurze Zeit abgeschaltet wird.
Ohne SP 2 passiert mir das nun nicht mehr.

*http://forums.ubi.com/images/smilies/11.gifbete*

Thom19
25-11-04, 12:50
Danke für die Gebete. ES IST GESCHAFFT *lautausschrei*. Habe XP Professional (statt Home Edition), Service Pack 2, ICQ Prof (statt Lite), Sygate Personal Firewall (als extra Schutz) drauf und habe meine Festplatte partitioniert: C: mit 10 GB für Windows und die Programme wie ICQ, Norton, Adaware, Skype, etc., D: für meine Games (ca 50 GB, nunja davon braucht allein MW ca. 7 GB http://forums.ubi.com/infopop/emoticons/icon_wink.gif ), E: mit 10 GB für die Eigenen Dateien und F: für Temporary Files mit ca 5 GB. Scheint ne gute Lösung gewesen zu sein.

Bin Trojanerlos und glücklich http://forums.ubi.com/images/smilies/88.gif

I am back.

dragon12321
25-11-04, 13:14
Trillian statt ICQ, und immer dran denken:

Virenscanner (AntiVir), Firewall (Sygate Personal Firewall) und Registry-Cleaner (RegSeeker) sowie Adscanner (AdAware) immer einmal die Woche laufen lassen und der PC bleibt sicher http://forums.ubi.com/infopop/emoticons/icon_smile.gif

Hatte seit 2 Jahren keine Virus- oder Adware-Probleme mehr http://forums.ubi.com/infopop/emoticons/icon_biggrin.gif

Thom19
25-11-04, 13:18
och, ich bleib bei ICQ mit höchsten Sicherheitseinstellungen, und das mit Adaware, Norton etc. ein Mal wöchentlich ist doch klar, Adaware bei mir sogar täglich *einfachnurglücklichsei*

EDIT//so jetzt ist Antispy auch noch drauf http://forums.ubi.com/infopop/emoticons/icon_wink.gif

Bldrk
26-11-04, 03:12
<BLOCKQUOTE class="ip-ubbcode-quote"><font size="-1">quote:</font><HR>Originally posted by Thom19:
So jetzt wird mein PC neu aufsetzt (inkl. SP 2, neuer Firewall, und und und), alles andere scheint zu keiner Lösung zu führen. <HR></BLOCKQUOTE>

Hab ich es Dir nicht direkt gesagt? http://forums.ubi.com/infopop/emoticons/icon_wink.gif In der Aufzählung Deiner Programme fehlen zwei wichtige... Zum einen vermisse ich einen anderen Browser (auch dies erwähnte ich bereits... http://forums.ubi.com/infopop/emoticons/icon_wink.gif , zum anderen Norton Ghost. Den drauf, Image von c ziehen und beim nächsten Angriff von Troja herzhaft lachen http://forums.ubi.com/infopop/emoticons/icon_smile.gif

Edit: nach dem anderen Browser nicht vergessen, den port des IE in der Firewall, die richtig konfiguriert sein sollte, dicht zu machen...