Supportnet / Forum / Windows2000
Trojan.StartPage
Frage
hi,leute!
habe mir den trojaner [b]Trojan.StartPage[/b] eingefangen. norton erhält keinen zugriff darauf, reparatur, isolation u. löschen fehlgeschlagen.
was ist zu tun, um das ding unter win2000 zu entfernen?
Antwort 1 von Lutz1965
Hallo
lade Dir mal diesen Scanner runter und versuch es mal damit..
Vordem scannen, aber das Programm updaten !
http://www.a-2.org/de/
Gruss
Lutz
lade Dir mal diesen Scanner runter und versuch es mal damit..
Vordem scannen, aber das Programm updaten !
http://www.a-2.org/de/
Gruss
Lutz
Antwort 2 von detektor
danke, lutz -
leider erkennt a² den trojaner aber garnicht erst...
dieser hat sich eingenistet in der datei C:\WINNT\system32\ctrlpan.dll
und verändert bei jedem systemstart die IE-start-u.suchseite. außerdem meldet norton hartnäckig virusbefall, erhält aber keinen zugriff auf die datei, ebensowenig wie ich selbst.
ratlos: detektor
leider erkennt a² den trojaner aber garnicht erst...
dieser hat sich eingenistet in der datei C:\WINNT\system32\ctrlpan.dll
und verändert bei jedem systemstart die IE-start-u.suchseite. außerdem meldet norton hartnäckig virusbefall, erhält aber keinen zugriff auf die datei, ebensowenig wie ich selbst.
ratlos: detektor
Antwort 3 von Lutz1965
Hallo
das ist aber Mist......:-(
Dann schau mal hier, war schon mal Thema im Supportnet
https://supportnet.de/discussion/listmessages.asp?AutoID=160510&...
Und das habe ich bei google darüber gefunden...
http://www.google.de/search?sourceid=navclient&hl=de&ie=UTF-8&oe=UT...
Hoffe es hilft Dir weiter.....
Viel Glück.....
Gruss
Lutz
das ist aber Mist......:-(
Dann schau mal hier, war schon mal Thema im Supportnet
https://supportnet.de/discussion/listmessages.asp?AutoID=160510&...
Und das habe ich bei google darüber gefunden...
http://www.google.de/search?sourceid=navclient&hl=de&ie=UTF-8&oe=UT...
Hoffe es hilft Dir weiter.....
Viel Glück.....
Gruss
Lutz
Antwort 4 von Werner Effenberger
Was uns mit WIN2000 übrigbleibt ist etwa folgendes:
Entweder:
im Menue Dienste, den entsprechenden Dienst anwählen in dem die alberne Trojan.StartPage "hängt"; diesen Dienst manuell deaktivieren, dann müsste die Datei, bei mir:
C:\winnt\system32\ctrlpan.dll löschbar sein, bzw. Norton müsste das löschen insofern darauf möglich sein. (Vorsicht ist geboten!)
Oder:
Deinen Computer mit einem anderen Computer vernetzen, deinen Computer runterfahren, und vom 2. Rechner aus deine Festplatte scannen mit einem entsprechenden Virenprogramm, und die entsprechende infizierte Datei vom 2. Rechner aus löschen.
Oder:
Über entsprechende Software, ggf. LINUX, per CD-Rom, deinen Rechner starten; so dass dein Windows nicht hochfährt. (Bei jedem hochfahren von WIN2000 wird auch "der alberne Virus aktiviert"!)
Und mit dieser Software die Datei entfernen.
Achtung:
Bei mir ist es sehr wahrscheinlich, dass dieser Virus
Trojan.StartPage,
mit folgender EXE-Datei Hand in Hand geht:
"C:\winnt\system32\msconfd.exe"
=> sehr wahrscheinlich handelt es sich hierbei um jene .exe-datei, die als "run me.exe" verwendet wird, und in meinem Fall die sog.: ctrlpan.dll-datei installiert, bzw. zu der ctrlpan.dll geändert hat.
Die Installation beider Datein, fanden bei mir am 05.01.2004, um 17:00.44 statt. Internetlinks von google aus.
Ausgeführt ("msconfd.exe") wurden, bzw. geändert wurde(n) die Datei(en) am 05.01.2004 um 17:00:48.
(siehe Eigenschaften der Dateien!)
Bitte: VERWECHSELT ggf. die "msconfD.exe" NICHT mit der von WIN2000 benötigten =>MSCONF.EXE<=
Bemerkenswert ist daran, dass ich lt. Internetprotokoll bereits seit 05.01.2004 ab 11:45 Uhr nicht mehr im Net war.
Ich bin selber noch am arbeiten die Datei zu entfernen, sitze seit 5.1.`04 hier und befasse mich mit dem Problem, da ja WIN2000 nicht über DOS verfügt. Heute nacht werde ich die Dienste durchgehen; finde ich diesen zu deaktivierenden Dienst, stelle ich euch diese Daten erneut zur Verfügung!
Hilfe kann ich auch gebrauchen, ggf. Antwort an meine email wäre sachdienlich!
Bitte und Danke, euere links werde ich mal ansehen, obwohl ich nicht mehr auf irgendwelche Downloads stehe.
Wenn jemand schon mehr über die Dienste weis, wie o.g. bitte um Rückmeldung.
Gruß,
werner.effenberger@web.de
Entweder:
im Menue Dienste, den entsprechenden Dienst anwählen in dem die alberne Trojan.StartPage "hängt"; diesen Dienst manuell deaktivieren, dann müsste die Datei, bei mir:
C:\winnt\system32\ctrlpan.dll löschbar sein, bzw. Norton müsste das löschen insofern darauf möglich sein. (Vorsicht ist geboten!)
Oder:
Deinen Computer mit einem anderen Computer vernetzen, deinen Computer runterfahren, und vom 2. Rechner aus deine Festplatte scannen mit einem entsprechenden Virenprogramm, und die entsprechende infizierte Datei vom 2. Rechner aus löschen.
Oder:
Über entsprechende Software, ggf. LINUX, per CD-Rom, deinen Rechner starten; so dass dein Windows nicht hochfährt. (Bei jedem hochfahren von WIN2000 wird auch "der alberne Virus aktiviert"!)
Und mit dieser Software die Datei entfernen.
Achtung:
Bei mir ist es sehr wahrscheinlich, dass dieser Virus
Trojan.StartPage,
mit folgender EXE-Datei Hand in Hand geht:
"C:\winnt\system32\msconfd.exe"
=> sehr wahrscheinlich handelt es sich hierbei um jene .exe-datei, die als "run me.exe" verwendet wird, und in meinem Fall die sog.: ctrlpan.dll-datei installiert, bzw. zu der ctrlpan.dll geändert hat.
Die Installation beider Datein, fanden bei mir am 05.01.2004, um 17:00.44 statt. Internetlinks von google aus.
Ausgeführt ("msconfd.exe") wurden, bzw. geändert wurde(n) die Datei(en) am 05.01.2004 um 17:00:48.
(siehe Eigenschaften der Dateien!)
Bitte: VERWECHSELT ggf. die "msconfD.exe" NICHT mit der von WIN2000 benötigten =>MSCONF.EXE<=
Bemerkenswert ist daran, dass ich lt. Internetprotokoll bereits seit 05.01.2004 ab 11:45 Uhr nicht mehr im Net war.
Ich bin selber noch am arbeiten die Datei zu entfernen, sitze seit 5.1.`04 hier und befasse mich mit dem Problem, da ja WIN2000 nicht über DOS verfügt. Heute nacht werde ich die Dienste durchgehen; finde ich diesen zu deaktivierenden Dienst, stelle ich euch diese Daten erneut zur Verfügung!
Hilfe kann ich auch gebrauchen, ggf. Antwort an meine email wäre sachdienlich!
Bitte und Danke, euere links werde ich mal ansehen, obwohl ich nicht mehr auf irgendwelche Downloads stehe.
Wenn jemand schon mehr über die Dienste weis, wie o.g. bitte um Rückmeldung.
Gruß,
werner.effenberger@web.de
Antwort 5 von Timmynator
tach... hab seid gestern auch Trojan.StartPage auf meinem PC. dumm ist nur, dass er irgendwie meinen internetexplorer auser funktion setzt... hat mittlerweile jemand was gegen diesen trojaner gefunden???
ich hing die ganze letzte nacht dran und hab nichts gefunden. freunde von mir haben für mich im netz nach hilfe gesucht und auch nichts gefunden. ich brauche umbedingt hilfe.
wäre nett, wenn mir da jemand helfen könnte...
ich melde mich, wenn ich was gefunden hab.
mfg
Timmynator.
ich hing die ganze letzte nacht dran und hab nichts gefunden. freunde von mir haben für mich im netz nach hilfe gesucht und auch nichts gefunden. ich brauche umbedingt hilfe.
wäre nett, wenn mir da jemand helfen könnte...
ich melde mich, wenn ich was gefunden hab.
mfg
Timmynator.
Antwort 6 von Funki
Hallo
Auch bei W2k gibt es den Abgesicherten Modus mit Eingabeaufforderung. Dazu ist beim Starten die Taste F8 mehrmals zu drücken - daraufhin erscheint das Auswahlmenu.
Gruss Funki
Auch bei W2k gibt es den Abgesicherten Modus mit Eingabeaufforderung. Dazu ist beim Starten die Taste F8 mehrmals zu drücken - daraufhin erscheint das Auswahlmenu.
Gruss Funki
Antwort 7 von haudrauf
Tachen schaut doch mal hier nach vielleicht hilft euch das weiter
http://www.sophos.de/virusinfo/analyses/trojstartpgbg.html
gruß und viel glück dabei
http://www.sophos.de/virusinfo/analyses/trojstartpgbg.html
gruß und viel glück dabei
Antwort 8 von haudrauf
Virusinformation
Troj/StartPg-BG
Übersicht
Übersicht Erläuterung Wiederherstellung
Profil
Name Troj/StartPg-BG
Typ Trojaner
Alias Trojan.Win32.StartPage.bg
Schutz
Schutz verfügbar seit 05 Januar 2004 15:04:09 (GMT)
In unserem Produkt enthalten seit Februar 2004 (3.78)
Stets up to date
Wenn Sie unsere Technologie für automatische Updates noch nicht im Einsatz haben, informieren Sie sich über EM Library, Teil der Enterprise Manager Management-Tools. Mit EM Library kann Sophos Anti-Virus auf zahlreichen Plattformen voll automatisiert, webbasiert installiert und aktualisiert werden.
Erläuterung
Übersicht Erläuterung Wiederherstellung
Troj/StartPg-BG stellt die Startseite des Internet Explorers neu ein auf http://aifind.cc/, indem er die folgenden Registrierungseinträge verändert:
HKCUSoftwareMicrosoftInternet ExplorerMainSearch Bar
HKCUSoftwareMicrosoftInternet ExplorerSearchURL
Troj/StartPg-BG erstellt außerdem ein Stylesheet, mit dem der Benutzer auf Webseiten mit nicht jugendfreiem Inhalt weitergeleitet werden kann. Dies wird erreicht, indem ein Stylesheet namens HH.HTT im <Windows> Ordner erstellt wird und indem folgende Registrierungseinträge erstellt werden:
HKCUSoftwareMicrosoftInternet ExplorerStyles
Use My Stylesheet = 1
HKCUSoftwareMicrosoftInternet ExplorerStyles
User Stylesheet = <location of stylesheet>
Das Stylesheet wird als Troj/StartPg-BG erkannt.
Troj/StartPg-BG kopiert sich außerdem als CTRLPAN.DLL in den <Windows> Ordner und erstellt den folgenden Registrierungseintrag, so dass er beim Systemneustart aktiviert wird:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Control= rundll32.exe <Windows>SYSTEMCTRLPAN.DLL,Restore ControlPanel
Wiederherstellung
Übersicht Erläuterung Wiederherstellung
Dieser Bereich erläutert, wie Sie diesen Virus desinfizieren.
Bitte folgen Sie den Hinweisen zum Entfernen von Trojanern.
Sie sollten Ihre Einstellungen im Internet Explorer über Extras|Internetoptionen|Allgemein ändern, um alle Änderungen, die der Trojaner vorgenommen hat, rückgängig zu machen.
Windows NT/2000/XP/2003
Unter Windows NT/2000/XP/2003 müssen Sie folgenden Registrierungseintrag bearbeiten. Unter Windows 95/98/Me ist das Entfernen dieses Schlüssels optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Control= rundll32.exe <Windows>SYSTEMCTRLPAN.DLL,Restore ControlPanel
Löschen Sie den Eintrag, sofern er existiert.
Schließen Sie den Registrierungseditor.
Troj/StartPg-BG
Übersicht
Übersicht Erläuterung Wiederherstellung
Profil
Name Troj/StartPg-BG
Typ Trojaner
Alias Trojan.Win32.StartPage.bg
Schutz
Schutz verfügbar seit 05 Januar 2004 15:04:09 (GMT)
In unserem Produkt enthalten seit Februar 2004 (3.78)
Stets up to date
Wenn Sie unsere Technologie für automatische Updates noch nicht im Einsatz haben, informieren Sie sich über EM Library, Teil der Enterprise Manager Management-Tools. Mit EM Library kann Sophos Anti-Virus auf zahlreichen Plattformen voll automatisiert, webbasiert installiert und aktualisiert werden.
Erläuterung
Übersicht Erläuterung Wiederherstellung
Troj/StartPg-BG stellt die Startseite des Internet Explorers neu ein auf http://aifind.cc/, indem er die folgenden Registrierungseinträge verändert:
HKCUSoftwareMicrosoftInternet ExplorerMainSearch Bar
HKCUSoftwareMicrosoftInternet ExplorerSearchURL
Troj/StartPg-BG erstellt außerdem ein Stylesheet, mit dem der Benutzer auf Webseiten mit nicht jugendfreiem Inhalt weitergeleitet werden kann. Dies wird erreicht, indem ein Stylesheet namens HH.HTT im <Windows> Ordner erstellt wird und indem folgende Registrierungseinträge erstellt werden:
HKCUSoftwareMicrosoftInternet ExplorerStyles
Use My Stylesheet = 1
HKCUSoftwareMicrosoftInternet ExplorerStyles
User Stylesheet = <location of stylesheet>
Das Stylesheet wird als Troj/StartPg-BG erkannt.
Troj/StartPg-BG kopiert sich außerdem als CTRLPAN.DLL in den <Windows> Ordner und erstellt den folgenden Registrierungseintrag, so dass er beim Systemneustart aktiviert wird:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Control= rundll32.exe <Windows>SYSTEMCTRLPAN.DLL,Restore ControlPanel
Wiederherstellung
Übersicht Erläuterung Wiederherstellung
Dieser Bereich erläutert, wie Sie diesen Virus desinfizieren.
Bitte folgen Sie den Hinweisen zum Entfernen von Trojanern.
Sie sollten Ihre Einstellungen im Internet Explorer über Extras|Internetoptionen|Allgemein ändern, um alle Änderungen, die der Trojaner vorgenommen hat, rückgängig zu machen.
Windows NT/2000/XP/2003
Unter Windows NT/2000/XP/2003 müssen Sie folgenden Registrierungseintrag bearbeiten. Unter Windows 95/98/Me ist das Entfernen dieses Schlüssels optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Control= rundll32.exe <Windows>SYSTEMCTRLPAN.DLL,Restore ControlPanel
Löschen Sie den Eintrag, sofern er existiert.
Schließen Sie den Registrierungseditor.
Antwort 9 von Deluxe Records
moin, ich hab mir auch den Trojan StartPage eingefangen. Das Ding is, dass alle Seiten funktionieren, nur www.knuddels.de/at nicht funktionieren, aber das ist ja nich so schlimm, nur nervt es wenn ich Internet Explorer öffne, erscheint irgendeine Werbung die vorher nich war.
Wär gut wenn ihr mir helfen könntet =)
Wär gut wenn ihr mir helfen könntet =)
Antwort 10 von bicer70
hallo,
ich habe seid kurzen auch trojan.Startpage auf meinem rechner. WindowsXP. mein Norten erkennt diesen, kann ihne isolieren, bis zum Nächsten Hochfahren.
Ich kämpfe auch andauernd mit dem Rum. kann mir wer sagen ob es zu größeren Schäden kommen kann?? Hmm ich habe eben den Tipp auf www.antivir.de bekommen. mal schauen was es da gibt. Oder hat jemand schon einen guten sicheren Weg um bei WindowsXP den Blöden Trojan.Starpage zu entfernen.
gruß
ich habe seid kurzen auch trojan.Startpage auf meinem rechner. WindowsXP. mein Norten erkennt diesen, kann ihne isolieren, bis zum Nächsten Hochfahren.
Ich kämpfe auch andauernd mit dem Rum. kann mir wer sagen ob es zu größeren Schäden kommen kann?? Hmm ich habe eben den Tipp auf www.antivir.de bekommen. mal schauen was es da gibt. Oder hat jemand schon einen guten sicheren Weg um bei WindowsXP den Blöden Trojan.Starpage zu entfernen.
gruß
Antwort 11 von The_Timelord
Hallo!
Ich hatte bis vor ein paar Stunden ebenfalls den Trojan.Startpage am Rechner. Mein System ist XP.
Ich habe den Rechner im abgesicherten Modus hochgefahren, da Norton Antivirus den Trojaner sonst weder isolieren, noch löschen konnte.
Da ich den Namen der Datei kannte ( hnpf.dll ) ging ich mit suchen ins system32 und löschte den Trojaner manuell.
Im Normalmodus ließ ich NA nochmal scannen und tatsächlich hatte sich der Trojaner nun noch zweimal ins system32 kopiert, diesmal als sp.dll und als vbsys2.dll
sp.dll konnte NA sofort isolieren und löschen, vbsys2.dll nicht. Also nochmal Start im abgesicherten Modus. Nun löschte ich vbsys2.dll ebenfalls manuell und leerte auch gleich den Papierkorb. NA scannte nochmals und nun ist der Rechner frei von Ungeziefer ;-)
Man sollte sich aber auf keinen Fall durch die Namen der dll Dateien irritieren lassen., denn ich lese immer wieder in allen möglichen Foren es sei die sowieso.dll , der nächste schreibt wieder etwas anderes. Trojan.Startpage kopiert sich in jede beliebige dll Datei, die Namen varieren also immer.
Hier sind zwei Links von Symantec, wo man sich die Anleitungen für Win Me und XP holen kann. Sie erklärt alles recht gut.
Für Win Me:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam
Für Win XP:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam
Bitte nach rechts scrollen, die Links sind etwas lang und gehen dort weiter ;-)
So, vielleicht konnte ich ja ein bisschen helfen,
liebe Grüße, TL
Ich hatte bis vor ein paar Stunden ebenfalls den Trojan.Startpage am Rechner. Mein System ist XP.
Ich habe den Rechner im abgesicherten Modus hochgefahren, da Norton Antivirus den Trojaner sonst weder isolieren, noch löschen konnte.
Da ich den Namen der Datei kannte ( hnpf.dll ) ging ich mit suchen ins system32 und löschte den Trojaner manuell.
Im Normalmodus ließ ich NA nochmal scannen und tatsächlich hatte sich der Trojaner nun noch zweimal ins system32 kopiert, diesmal als sp.dll und als vbsys2.dll
sp.dll konnte NA sofort isolieren und löschen, vbsys2.dll nicht. Also nochmal Start im abgesicherten Modus. Nun löschte ich vbsys2.dll ebenfalls manuell und leerte auch gleich den Papierkorb. NA scannte nochmals und nun ist der Rechner frei von Ungeziefer ;-)
Man sollte sich aber auf keinen Fall durch die Namen der dll Dateien irritieren lassen., denn ich lese immer wieder in allen möglichen Foren es sei die sowieso.dll , der nächste schreibt wieder etwas anderes. Trojan.Startpage kopiert sich in jede beliebige dll Datei, die Namen varieren also immer.
Hier sind zwei Links von Symantec, wo man sich die Anleitungen für Win Me und XP holen kann. Sie erklärt alles recht gut.
Für Win Me:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam
Für Win XP:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam
Bitte nach rechts scrollen, die Links sind etwas lang und gehen dort weiter ;-)
So, vielleicht konnte ich ja ein bisschen helfen,
liebe Grüße, TL
Antwort 12 von Katrin
Habe seit 2 Tagen auch den Trojan.StartPage auf meinem Rechner und bekomme ich nicht gefangen. Habe Win 98....kann jemand da was sagen........
werde jetzt mal die Tipps von The_Timelord befolgen, vielleicht funtz das auch bei mir......hoffe mal. Der Virus macht einen ja Wahnsinnig
liebe Grüße Katrin
werde jetzt mal die Tipps von The_Timelord befolgen, vielleicht funtz das auch bei mir......hoffe mal. Der Virus macht einen ja Wahnsinnig
liebe Grüße Katrin