TR/StartPage.GV

raus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nfkpaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nfkpaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nfkpaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nfkpaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nfkpaaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nfkpaaa.dll/sp.html (obfuscated)

die sicher auch, es sei denn du wolltest das:
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

raus:
O2 - BHO: (no name) - {679B31FB-F400-4FF7-9E5C-3766AE505485} - C:\WINDOWS\System32\nfkpaaa.dll (file missing)


O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab

Hallo,

ich habe das selbe Problem, verstehe dieses Computer-Latein leider überhaupt nicht. Würde es euch etwas ausmachen, mir auf niedriger Ebene dieses Problem zu erklären. Virenscanner helfen überhaupt nicht und mit dem Registrierungseditor kann ich nciht umgehen.

Danke im voraus

Wie weit willst du es wissen? Das Problem ist der InternetExplorer der sich solche Änderungen durch Sicherhetislöcher runterlädt. Statt desse kannst du einen sicheren Browser nutztn bei dem das Problem nicht kommt z.B. Opera, oder http://www.firefox-browser.de sind gut.

Und hast du jetzt aktuell ein Problem mit der Startseite? Dann musst du mal hier im Magazin / Spyware lesen dort ist alles ein wenig beschrieben. Spybot laden und CWShredder und durchlaufen lassen dann müsste vieles beseitigt sein. In ZWeifel dann Hijackthis laden, auf scan gehen, dann das Protokoll speichern und wenn es im Edior geöffnet wird, alles markieren, kopieren und in einem neuen Thread (Neue Frage) ins Forum stellen.

danke für deine hilfe! das problem ist aber leider nicht beseitigt

hab die sachen gefixt und dann im abgesicherten modus die aktualisierten versionen von ad-aware,spybot, cwshredder und antivir drüberlaufen lassen. alles gelöscht lassen, was sie gefunden haben. und jetzt ist es wieder da!
hab auch schon so ein clean-up (oder wie das heißt) gemacht.
was mache ich falsch? hab ich etwas vergessen?

danke im voraus

hier nochmal das aktuelle ergebnis von hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 21:29:17, on 16.5.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\DALI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7BPZJXCW\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.chello.at:8080
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37888.5297222222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1F77BC7-B821-4A88-A471-9D61E560F066}: NameServer = 195.34.133.10,195.34.133.11

na du machst schon nix falsch ist eben hinterhältig das ganze Thema das alles zu finden, ich versuchs ja auch nur.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/

das fixen.

Diesen Proxy hast du eingetragen oder brauchst du? Sonst auch weg:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.chello.at:8080

fixen:
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

Dann bitte mal diese Datei prüfen
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

Super der Link!
Im Moment scheint alles ok zu sein, aber dieser Trojaner scheint ziemlich tückisch zu sein (kommt manchmal erst nach einigen Tagen wieder).

Nochmals Danke für die Hilfe und hoffentlich war's das jetzt  

Na der Internetexplorer ist nun mal sehr unsicher, da kannste dich gar nicht genug gegen schützen. Wenn du sicher sein willst, nimm einen anderen Browser

http://www.firefox-browser.de
http://www.opera.com

Was noch geht ist in der Firewall folgenden IP-Bereich zu sperren:
66.98.128.0-66.98.255.255

Von dort kommen viele davon...kann sich natürlich jederzeit ändern.

Gruß

Ich habe eine (bei mir endgültige) Lösung des Problems mit der falschen StartPage beim iExplorer:

Schritt 1: CWShredder downloaden und auführen (auf "Fix" drücken)
http://www.majorgeeks.com/download4086.html

Schritt 2: Trojan Remover 2.3 downloaden, und die Festplatte durchsuchen lassen
http://download.pchome.de/show.php?SID=62
- Programm müsste eine Vielzahl von infizierten Dateien finden --> alle löschen!

Schritt 3: Anti Vir downloaden, und die Festplatte durchsuchen lassen
http://www.free-av.de/personal/de/avwinsfx.exe
- Programm müsste noch ein paar mehr infizierte Dateien erkennen --> alle löschen

Schritt 4: bei InternetExplorer/Internetoptionen die Startseite auf die selber gewünschte Seite zurücksetzen

Schritt 5: AntiVir immer im Hintergrund laufen lassen.

Zur Sicherheit könnt ihr danach die Schritte 1-3 nochmal wiederholen.

Bei mir erscheint immer 1x am Morgen bei der ersten Internetverbindung eine Warnmeldung von AntiVir, dass der besagte Trojaner auf mein System zugreifen will. Mit einem simplen drücken auf "L" für "löschen" ist die Gefahr jedoch gebannt.

Ich hoffe ihr seid nun auch bei der Bekämpfung des TR/StartPage.GV erfolgreich.

Naja das unterbindet nur die Infizierung, behebt das problem ansich aber nicht

Gruß

hi, also wenn ich diese hijackdingsprogramm starten will komt immer ne fehlermeldung von laufzeitfehler und fehler in zeile 52 datei nicht gefunden blablabla...... was amchichn nu???

hast du auch im agesicherten Modus gescannt?

Probiert mal dieses Tool (TR/Startpage Remover):
http://www.pssoftware.net/spremover.htm