1. /
  2. Security Response/
  3. Trojan.StartPage
  4. Trojan.StartPage
  • Hinzufügen

Trojan.StartPage - Entfernung

Risikostufe1: Sehr niedrig

Entdeckt am:
15 Januar 2002
Aktualisiert:
13 Februar 2007 12:36:04 PM
Typ:
Trojan Horse
Infektionslänge:
Variiert
Betroffene Systeme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
  1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
  2. Schließen Sie alle geöffneten Internet Explorer-Fenster.
  3. Entfernen Sie alle Einträge, die das Risiko zur Hosts-Datei hinzugefügt hat.
  4. Beenden Sie den schädlichen Prozess. (Windows NT/2000/XP).
  5. Aktualisieren Sie Ihre Virendefinitionen.
  6. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als infiziert erkannt werden.
  7. Entfernen Sie die in die Registrierung geschriebenen Werte.
  8. Stellen Sie wieder die ursprüngliche Internet Explorer-Startseite ein.
  9. Stellen Sie wieder die ursprüngliche Internet Explorer-Suchseite ein.
  10. Löschen Sie die Websites, die zum Internet Explorer-Favoriten-Menü hinzugefügt wurden.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Deaktivieren der Systemwiederherstellung (Windows Me/XP)
Wenn Sie mit Windows Me oder XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
Hinweis:
Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.

Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).

2. Schließen aller geöffneten Internet Explorer-Fenster
Weil Trojan.Startpage als Microsoft Internet Explorer-Plugin funktioniert, ist es notwendig, alle geöffneten Internet Explorer-Fenster zu schließen, um es zu entfernen. Wenn Sie diese Virusbeschreibung im Internet Explorer lesen, drucken Sie diese Virusbeschreibung mit unserer druckerfreundlichen Option oben auf der Seite aus, oder notieren Sie sich die folgenden Anweisungen, und schließen Sie dann alle Internet Explorer-Fenster

3. Entfernen aller Einträge, die das Risiko zur Hosts-Datei hinzugefügt hat
  1. Navigieren Sie zum folgenden Bereich:

    • Windows 95/98/Me:
      %Windir%
    • Windows NT/2000/XP:
      %Windir%\System32\drivers\etc

      Hinweise:
    • Der Speicherort der Hosts-Datei kann variieren und auf einigen Computern ist diese Datei womöglich nicht vorhanden. Möglicherweise befinden sich weitere Kopien dieser Datei in anderen Bereichen. Wenn die Datei nicht in diesen Ordnern ist, durchsuchen Sie Ihre Diskettenlaufwerke nach der Hosts-Datei, und schließen Sie dann die folgenden Schritte für jede gefundene Instanz ab.
    • %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).

  2. Doppelklicken Sie auf die Hosts-Datei.
  3. Deaktivieren Sie falls notwendig die Option Diese Datei immer mit diesem Programm öffnen.
  4. Blättern Sie durch die Liste der Programme und doppelklicken Sie auf Notepad.
  5. Wenn die Datei sich öffnet, löschen Sie alle Einträge in der Hosts-Datei, außer der folgenden Zeile:

    127.0.0.1     localhost
  6. Schließen Sie Notepad und speichern Sie die Änderungen, wenn Sie dazu aufgefordert werden.

4. Beenden des schädlichen Prozesses (Windows NT/2000/XP)
    So beenden Sie den schädlichen Prozess:
    1. Drücken Sie zugleich Strg+Alt+Entf.
    2. Klicken Sie auf Task-Manager.
    3. Klicken Sie auf die Registerkarte Prozesse.
    4. Doppelklicken Sie auf die Spaltenüberschrift Name, um die Prozesse alphabetisch zu ordnen.
    5. Durchsuchen Sie die Liste und suchen Sie nach rundll32.exe und nach regsvr32.exe.
    6. Wenn Sie die Datei gefunden haben, klicken Sie zuerst auf die Datei und anschließend auf Prozess beenden.
    7. Schließen Sie den Task-Manager.
5. Aktualisieren der Virendefinitionen
Alle Virendefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virendefinitionen auf zwei Arten erhalten:
  • Das Ausführen von LiveUpdate ist die einfachste Methode, um Virendefinitionen zu beziehen: Diese Virendefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung zur Verfügung stehen, klicken Sie auf den Link Virendefinitionen (LiveUpdate).
  • Laden Sie die Virendefinitionen mit dem Intelligent Updater herunter. Die Intelligent Updater-Virendefinitionen werden täglich veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den intelligent Updater Definitionen für diese Bedrohung zur Verfügung stehen, klicken Sie auf den Link Virendefinitionen (Intelligent Updater).

    Die aktuellsten Intelligent Updater-Virendefinitionen können hier bezogen werden: Intelligent Updater-Virendefinitionen. Ausführliche Anweisungen erhalten Sie im Dokument Aktualisieren der Virendefinitionsdateien mit dem Intelligent Updater"

6. Prüfen des Computers und Löschen infizierter Dateien
  1. Starten Sie Ihr Virenschutzprogramm von Symantec und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
  2. Führen Sie eine vollständige Systemprüfung durch.
  3. Wenn irgendwelche Dateien erkannt werden, klicken Sie auf Löschen.

Wichtig: Wenn Sie Ihr Virenschutzprodukt von Symantec nicht starten können oder wenn das Produkt meldet, dass es eine erkannte Datei nicht löschen kann, müssen Sie verhindern, dass das Risiko ausgeführt wird, um es zu entfernen. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus. Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.

Nachdem die Dateien gelöscht sind, starten Sie den Computer im normalen Modus neu und fahren Sie mit dem nächsten Abschnitt fort.

Warnmeldungen können angezeigt werden, wenn der Computer neu gestartet wird, da die Bedrohung zu dem Zeitpunkt möglicherweise noch nicht völlig entfernt worden ist. Sie können diese Meldungen ignorieren und auf OK klicken. Diese Meldungen erscheinen nicht, wenn der Computer neu gestartet wird, nachdem die Entfernungsanweisungen völlig durchgeführt worden sind. Die Meldungen, die angezeigt werden, können folgendermaßen aussehen:

Titel: [DATEIPFAD]
Nachrichtentext: Windows cannot find [DATEINAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.


7. Entfernen eines Werts aus der Registrierung
Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Ändern Sie nur die angegebenen Unterschlüssel. Anweisung hierzu finden Sie im Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung.
  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie regedit ein.
  3. Klicken Sie auf OK.

    Hinweis: Wenn der Registrierungseditor nicht geöffnet werden kann, kann die Bedrohung die Registrierung geändert haben, um Zugriff auf den Registrierungseditor zu verhindern. Security Response hat ein Tool zur Lösung dieses Problems entwickelt. Laden Sie das Tool herunter und führen Sie es aus. Kehren Sie anschließend zu dieser Seite zurück und fahren Sie mit der Entfernung fort.

  4. Wechseln Sie zu jedem dieser Unterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. Im rechten Teilfenster löschen Sie sämtliche Werte, die sich auf als infiziert erkannte Dateien beziehen.

  6. Navigieren Sie zu jedem der folgenden Unterschlüssel und löschen Sie sie:

    HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{0B6F9689-431B-4631-85CB-3CF087ECEDBD}
    HKEY_CLASSES_ROOT\CLSID\{0B6F9689-431B-4631-85CB-3CF087ECEDBD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{0B6F9689-431B-4631-85CB-3CF087ECEDBD}
    HKEY_CLASSES_ROOT\CLSID\{B4E9FAC4-6DB5-4741-84C9-97923F6D5976}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{B4E9FAC4-6DB5-4741-84C9-97923F6D5976}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\SearchAssistant Uninstall


  7. Navigieren Sie zu jedem dieser Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html
    HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain
    HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html


  8. Löschen Sie den folgenden Wert im rechten Teilfenster:

    "CLSID" = "{B4E9FAC4-6DB5-4741-84C9-97923F6D5976}"

  9. Schließen Sie den Registrierungseditor.

8. Zurücksetzen der Internet Explorer-Startseite
  1. Starten Sie Microsoft Internet Explorer.
  2. Stellen Sie eine Verbindung zum Internet her und wechseln Sie dann zur Seite, die Sie als Ihre Startseite einstellen möchten.
  3. Klicken Sie auf Extras > Internetoptionen.
  4. Klicken Sie auf der Registerkarte Allgemein im Abschnitt Startseite auf Aktuelle Seite > OK.

Wenn Sie zusätzliche Informationen benötigen oder wenn dieses Verfahren nicht funktioniert, lesen Sie den Microsoft® Knowledge Base-Artikel Einstellung der Startseite ändert sich unerwartet oder lässt sich nicht ändern.

9. Zurücksetzen der Internet Explorer-Suchseite
  1. Starten Sie Microsoft Internet Explorer.
  2. Klicken Sie auf die Schaltfläche Suchen in der Werkzeugleiste.
  3. Klicken Sie im Suchteilfenster auf Anpassen.
  4. Klicken Sie auf Zurücksetzen.
  5. Klicken Sie auf Einstellungen für die automatische Suche.
  6. Wählen Sie eine Such-Site aus der Dropdown-Liste aus und klicken Sie dann auf OK.
  7. Klicken Sie auf OK.

10. Löschen der Websites, die zum Internet Explorer-Favoriten-Menü hinzugefügt wurden
  1. Starten Sie Microsoft Internet Explorer.
  2. Klicken Sie auf Favoriten > Favoriten verwalten.
  3. Löschen Sie die Favoriten, die durch das Risiko hinzugefügt wurden



Dokument verfasst von:Andre Post