Evtl bin ich hier mal gaaanz falsch - aber ich poste es trozdem mal.


Ichhabe seit ca 2 Wochen das "Troyan Horse - Starpage.4.a0". und bekomme es nicht weg.

Ichhabs bisher mit
Spybot S&D
Adaware
AVG
SYmantec online scanner probiert.

Aber er kommt immer wieder

Nach 'gegoogelt' hab ich auch schon aber hatte wenig erfolg.

kann mir wer helfen ?

ps.: Mod falls ich hier Falsch bin verschieb mich bitte.

Isser das ?
Link (http://www.kaspersky.ch/avpve/trojan/win32/starpage.stm)

Lass ma den Onlinevirenscanner (http://www.kaspersky.com/de/) drüber,evtl. findet der was!!

gruss win

Der ist es leider nicht, aber er er tut genau das selbe :


The main purpose for this group of trojans is to update the Windows registry IE start page setting with some Internet site address.

// €: nachdem ich ihn mit AVG entfernt habe, taucht er nach nem neustart immer wieder auf .

der virus heisst:
Starpage.4.a0 bzw
starpage.4.aO

Gruss
Q-wulf

vil.nai.com

mit dem aktuellen McAffee DAT File kriegst den klein.
Und er heißt Startpage...wie es aussieht...

hmn werd ich mal ausprobieren.

muss ich mir da den mcaffee virenscanner runteraden ?

// €: nachdem ich ihn mit AVG entfernt habe, taucht er nach nem neustart immer wieder auf .

Hmm,wenn er immer wieder auftaucht nach dem eliminieren,haste evtl. noch irgendwo ne Datei die den regeneriert oder neu setzt,solltest mal checken.

win

ALso ich habe schon die "systemwiederherstellung auf allen laufwerken deaktivieren" makiert.


Das ist alles was mir dazu einfiel wie ich es machen könnte.
haste nen Tipp wie ich checken kann ob "er noch irgendwo ne Datei [...] regeneriert oder neu setzt" ?

Schwierig,dazu bräuchtest die Datei in der er auf deinem Rechner kam,nach 14tagen bisschen schwierig das nachzuvollziehn.

das hört sich stark danach an als ob du den virus als so ne art makefile script irgendwo auf der platte hast... vermutlich in einem deiner temporären archive...

das dumme ist... polymere viren sind verdammt schwer zu finden da sie ja eigentlich noch gar keine sind, jedoch irgendeinen der vielen schwachsinnigen windoof prozesse dazu missbrauchen können um sich sozusagen zu "installieren"... somit sind diese biester sehr heimtückisch

smoker hat mal in nem eigenen test überprüft welche bekannten AV programme für solche probleme am geeignetsten sind. und seine entscheidung fiel auf BitDefender (www.bitdefender.com)... und das auch leider nicht in der free edition... sondern leider nur in der kostenpflichtigen Professional Edition die man jedoch 30 tage testen darf und auf deren seite als DL zu finden ist...

grund ist... nachdem der AV scanner den virus quasi gefunden und beseitigt hat wofür letztendlich die free edition reichen würde, benötigt man den realtime registry monitor bzw. filesystem protection feature um zum abschluss dem bösen script auf die schliche zu kommen... wenn es dann nach einem neustart oder vielleicht sogar noch während der anmeldung versucht sich neu zu starten/installieren, freezt der BD den geplanten Task und öffnet ein kleines warnfenster rechts unten in der bildschirm ecke mit so ner art hinweis "Aplication trying to run another Aplication" oder so ähnlich... suche dann in den details ob du einen hinweis auf den speicherort findest oder zumindest den namen des folders... lösche diese dann manuell (weil den löscht der scanner ja wie gesagt net weil es ihm nicht als virus bekannt ist)

damit sollte sich das problem erledigt haben...

Wichtig!!!Es ist evtl. darauf zu achten das sich der Virus zum Zeitpunkt der Systemprüfung nicht in einem laufenden Prozess befindet... i.d.R. lässt sich nämlich eine von Windoof laufende .exe weder ändern, löschen noch moven zur quarantine...


Sag wenns geklappt hat oder auch net :p

ich teset es mal .

//edit: teste

dieser virus killt mich echt, wenn er nicht meinen explorer auf 99% prozessorleistung hochdrehen würde wäre ja alles klar und dieses dämliche Popup vom AVG virenscanner das ein starpage.4.a0 virus auf dem rechner gefunden wurde, bei dem alt+tabprob is echt nervend :P

//edit2: uff 10,6 MB .. naja ich poste in 35 mins nochmal (isdn)

ich teset es mal .

//edit: teste

dieser virus killt mich echt, wenn er nicht meinen explorer auf 99% prozessorleistung hochdrehen würde wäre ja alles klar und dieses dämliche Popup vom AVG virenscanner das ein starpage.4.a0 virus auf dem rechner gefunden wurde, bei dem alt+tabprob is echt nervend :P

//edit2: uff 10,6 MB .. naja ich poste in 35 mins nochmal (isdn)



zur not stelle einfach für die benötigte zeit die Prozesspriorität des explorers auf die unterste stufe... damit berechtigst du alle anderen Prozesse mit höherer Priorität dazu sich die notwendigen ressourcen jederzeit einfach zu holen...

;)

werd ich machen wenns mit BitDefender net funtz .. danke schonmal.




Yeeehaaaaa

okies er ist zerstört. Danke dir seth.

kleiner Tipp...

wenne fertig bist deaktiviere den aktiven Virus Shield & Firewall des BD und verwende lieber eine anständige Softwarefirewall (z.B. Kerio (www.kerio.com)) an stelle des Realtime Monitors vom BD. Man verzichtet dabei zwar auf den Aktiven email und browser schutz vor virenbefall, jedoch erledigt stattdessen zum bleistift die Kerio FW die Fileprotection.

Das ist vollkommend ausreichend zum schutz vor viren. und perfekt um würmer/häckern und andere wahnsinnige abzuwehren (da volle kontrolle der zugriffsregeln deiner sonst permanent offenen ports)

Der BD hat nämlich einen beschissenen nachteil... Er ist so zuverlässig bei der Virensuche das er wiederum beschissen viele Ressourcen, besonders die des Filesystems, braucht... und das ist lästig :D
Ausserdem kommt der BD nicht wirklich mit Neocron klar und führt somit oft zur Zeitüberschreitung beim versuch sich zu verbinden...


Axo... und wenn du sehen willst wie sicher dein system mit oder ohne FW protection ist klicke ma hier (http://scan.sygatetech.com/).

So in der art habe ich mein eigenes system eingerichtet... Was mit der zeit echt skeptisch macht ist nur das der 2 wöchige manuelle viren scan bislang immer völlig sinnlos verläuft... findet einfach nix mehr :wtf: :angel: :D

PS: Klar... kein schutz ist 100%ig... weder am PC noch beim Sex gibbet den, das sollte wohl jeder wissen... Also ich sag ja immer: Wer glaubt sein sys ist absolut safe, glaubt wahrscheinlich auch seinem letzten One Night Stand das er/sie verhütet hat und wundert sich dann wenn Post vom Jugendamt im Kasten liegt... :D

Yeeehaaaaa

okies er ist zerstört. Danke dir seth.


Zu risiken und nebenwirkungen lesen sie die packungsbeilage oder erschlagen Bill Gates... :D


Keine Ursache... Das macht dann 10 mille NC credits zu übergeben an das unten angegebene Konto...


Server: Uranus
Char: -=Blade=-














PS: Das war natürlich nur Spass *g* freut mich das ich dir helfen konnte circle ;)

hmn 10 mille ?
und Uranus ?

btw das resistance shield von AVG hat gerade schon wieder starpage.4.ao im System32 ordner festgestellt.


baaaah

€: ich implodier hier förmlich .. arggh :P

*die fetzen von der wand krazt*

hmn 10 mille ?
und Uranus ?

btw das resistance shield von AVG hat gerade schon wieder starpage.4.ao im System32 ordner festgestellt.


baaaah


Merke: Das verwenden von mehr als einer Firewall oder Antiviren Software zur gleichen zeit bewirkt nicht das selbe wie 2 schlösser an der tür... im gegenteil man offnet so noch mehr türen für ungebetene gäste...

wiederhole mal den vorgang und lösche zusätzlich deine Temporäry Internet Files und cookies... du hast entweder nen schritt vergessen, oder falsch gemacht. aber das lernste auch noch mit der zeit :p


aber eines vorweg... lese dir mal die Introductions zum BD und zur Kerio durch... auch die beste Software is nahezu nutzlos wenn man sie nicht richtig bedienen kann... ;)

iss ja schon gut



ich sehe schon .. schnell gehts nur mit TnT.

Ich frage mich gerade ob ich nicht lieber vor 2 Wochen meinen Pc Formatiert hätte.

Kennt ihr das, wenn ihr denkt das ihr in etwas zuviel Zeit investiert habt aber es trozdem net lassen könnt, weil ihr zuviel Zeit reingesteckt habt ?

€: hab gerade folgendes in der AVG Virusvault entdeckt:

alle starpage.4.a0 Files sind in :

c:/windows/system32

die Files heissen :
bmhfff.dll
bnn.dll
bnpnoa.dll
cfia.dll
cin.dll
gbbnokc.dll
kjgna.dll
obd.dll
oikh.dll
pimgi.dll
pol.dll

Kennt ihr das, wenn ihr denkt das ihr in etwas zuviel Zeit investiert habt aber es trozdem net lassen könnt, weil ihr zuviel Zeit reingesteckt habt ?

Ja das kenne ich sogar ziemlich gut... ich bin zwar kein gelehrter IT-Experte, aber habe manchmal das gefühl einigen solcher Experten in manchen Situationen noch was vormachen zu können...

Hey... Ehrgeiz oder anders genannt auch learning by doing hat noch niemandem geschadet... und wenn man sich selbst nicht mehr helfen kann gibt es weiteres sprichwort... fragen kostet nix ;)

OK gib mir ein bißchen zeit ich mach mich mal etwas schlau...

der einzigste virus den ich bis jetzt noch nicht geschafft hab zu beseitigen ohne dabei meinen rechner nutzlos zu machen heisst Windows...

zu meiner beruhigung gibts bis jetzt auch niemanden der das geschafft hat :D

einzigste alternative derzeit... LINUX...

zu dumm das der virus mehr marktanteile hat :p

hehe . meine HIlfen IM Ts haben sich auch verabschiedet .(

sitz hier nun gaaanz allein und lom aus Frust meinen Tank auf Carebear um (transport) ...


Edit: es soll nen troyaner sein *gg* laut avg auf jeden :P

wenn irgendwie möglich mache mir bitte mal einen screenshot all deiner laufenden prozess die der taskmanager aufgelistet hat und lade den mal auf deinen evtl vorhandenen webspace und schick mir den link... oder noch besser... lade den shot einfach als attachment ins forum

so dorten ;:

ok versuche folgendes sobald der cleanmgr prozess das beseitigen der temp files abgeschlossen hat...

zunächst einmal bin ich mir ziemlich sicher das dein eigenes Benutzerkonto nicht "Admin" lautet richtig?

ich gehe mal davon aus das ich recht habe... wenn du also bei der letzten installation von windoof einen eigenen benutzer acc eingerichtet hattest dann sollte hinter den von dir geöffneten prozessen auch DEIN Benutzername stehen, was ja nicht der fall ist... demnach sag ich jetzt mal frei schnauze das der virus der dich da ärgert eine sicherheitslücke von windows XP ausnutzt welche zum RPC-Dienst gehört...

Windows legt zusätzlich zu deinem Benutzerkonto noch einige standart konten an welche dummerweise auf jedem system identisch sind. Das schlimme daran ist das von grund auf die nötigen dienste frei sind welche anderen im netzwerk und im internet erlauben sich auf deinem rechner anzumelden...

Versuche folgendes...

deinstalliere bitte zunächst alle AV programme (also AVG + BD)

Starte den rechner im abgesicherten Modus (wärend des bootens F8 gedrückt halten um das menü zu öffnen)
Melde dich sofern du dazu aufgefordert wirst mit jenem account ein mit welchem du administrative rechte besitzt...

Öffne dann die Systemsteuerung und dann Verwaltung/Dienste und deaktiviere die Dienste "Remote Registrierung" und "Sekundäre Anmeldung"...
Öffne das fenster zur Eingabeaufforderung (Start->Ausführen) und gebe ein msconfig... wechsel dann zum fenster "Autostart" und suche dort nach der startregel zum evtl. dort vorhandenen virus... (falls du dir da nicht sicher bist schalte einfach alle ab, man kann sie später wieder reaktivieren)
der aufforderung zum neustart folgst du und bootest windoof wieder wie gewohnt...
kontrolliere kurz ob unter den prozessen einer bei ist welcher auf einem benutzer läuft jedoch nicht manuel von dir gestartet wurde oder sollte... einzigster prozess der da zu einem benutzer stehen MUSS ist ja der "TASKMGR.EXE"... sollten dort unbekannte aktiv sein beende sie...
installiere den BitDefender wie zuvor. Sollte ein neustart von nöten sein wiederhole den schritt zuvor. Wähle dann ins internet und bringe den scanner auf den neusten stand, schliesse dann wieder die internetverbindung und scanne das system...


Der virus sollte dann entfernt sein und er hat keine möglichkeit mehr sich als lokaler benutzer anzumelden...

Good Luck ;)

O_o .. hat nix gebracht, und weil seit gerade eben nun auch mein Pc total lagged hab ich mich entschieden Das Xp neuzu installieren.


schade das es nicht so geklappt hat aber danke nochmal wegen der Tipps.

Greetz Q-wulf

nachtrag : Winxp Neu instaliert, Virus ToT, Patient auch, aber zum Glück gabs ne Gehirnspende.

Danke an alle die geholfen haben ...

Mod closen pls

Mod closen pls Auf Wunsch des Threadstarters:

- Closed