| |
| |||||||
Log-Analyse und Auswertung: Probleme mit StartPage.qr.DLL ... der Verzweiflung nah!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.02.2005, 19:56
| #16 |
 |  Nochmal: Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! Hallo Zusammen.... ich habe nun im abgesicherten Modus nacheinander alle geschütze aufgefahren, die ich hatte und dann zu guter Letzt alles, was escan herausschrieb manuell gelöscht. Das war File C:\WINNT\system32\hponpc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken. File C:\WINNT\odbs.log infected by "Trojan.JS.StartPage.x" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\nofmca.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\Mservice.dll infected by "Trojan-Downloader.Win32.Wintrim.cj" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\winsys32xx.zzp infected by "Email-Worm.Win32.Sober.f" Virus. Action Taken: No Action Taken. Diesen Eintrag habe ich nicht gelöscht: File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Ich bzw. mein PC hat momentan keine Symptome mehr... bin ich geheilt???  Das wäre ein Traum..... Könnt Ihr Euch zur Sicherheit nochmal was anschauen? Mein HiJackThis - Log sieht nun so aus: Logfile of HijackThis v1.99.0 Scan saved at 19:50:24, on 09.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINNT\system32\sistray.EXE C:\WINNT\System32\khooker.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\Exif Launcher\QuickDCF.exe C:\WINNT\System32\svchost.exe C:\Programme\Canon\MultiPASS4\MPDBMgr.exe C:\MY_DOWNLOAD_FILES\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\about.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe O8 - Extra context menu item: Download using Download &Express - file://C:\WINNT\System32\MetaProducts\Add_Url.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\MY_DOW~1\SPYWAR~1\tools\iesdpb.dll (file missing) O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemp...veSekurity.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{72B1B1CF-B6A7-45C8-A2EE-6C3CD1A62C75}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A658B2-84ED-4FCB-9FD8-3D808219E054}: NameServer = 192.168.121.252,192.168.121.253 O18 - Filter: text/html - {D7DF9F32-C6AA-4E41-8F07-29EB28E3E10E} - C:\WINNT\system32\hponpc.dll O18 - Filter: text/plain - {D7DF9F32-C6AA-4E41-8F07-29EB28E3E10E} - C:\WINNT\system32\hponpc.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE Vielen Dank und alles, alles Gute, ich empfehle Euch weiter!!! |
|
09.02.2005, 23:11
| #17 |
| Administrator, a.D.   | Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! Diese Einträge solltest du noch fixen:
__________________R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\about.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\MY_DOW~1\SPYWAR~1\tools\iesdpb.dll (file missing) O18 - Filter: text/html - {D7DF9F32-C6AA-4E41-8F07-29EB28E3E10E} - C:\WINNT\system32\hponpc.dll O18 - Filter: text/plain - {D7DF9F32-C6AA-4E41-8F07-29EB28E3E10E} - C:\WINNT\system32\hponpc.dll Diese Dateien, falls noch nicht geschehen, löschen: C:\WINNT\system32\hponpc.dll C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll Danach dies ausführen: - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
__________________ |
|
10.02.2005, 17:25
| #18 |
| | Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! Vielen, vielen Dank,
__________________wenn Ihr mir jetzt noch erklären könnt, was mit "fixen" gemeint ist.... Stelle ich den Wert, der eigentlich dort stehen sollte, irgendwo ein, so wie im Regedit oder was muss ich machen....? Und was bedeutret "sicher konfigurieren" für den IE?!? Und warum ist immer noch diese blöde sp.dll auf meinem Rechner ??? (Wahrscheinlich, weil ich nicht Eure Ratschläge genau befolgen konnte.... egal, wenn ich diese letzten Punkte noch hinkriegen sollte, also das fixen usw. , bin ich schon zufrieden,......) Danke nochmals Dirk |
|
10.02.2005, 18:20
| #19 |
| | Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! @Dirk "fixen" heisst... die in deinem angezeigten HJT-logfile angezeigten Registry-Einträge "anhaken" und mit dem Button "fixedchecked" zu entfernen... lg Tom59
__________________ alles wird gut...  |
|
12.02.2005, 12:01
| #20 |
| | Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! Hallo ich bin es nochmal..... Nachdem ich ungefähr einen bis zwei Sorgenfreie Tage mit meinem PC hatte, hat sich jetzt eine andere Seuche auf meinem PC nieder gelassen... Nachdem es zuerst eine SP.DLL Datei war, zeigt mir mein PC an, dass eine SE.:.DLL nun meinen PC befallen hat Die Symptome sind altbekannt. Die Starteeite ändert sich in "about:blank" und dargestellt wird dann eine "Search for:" Seite, in der ich Viagra kaufen und Baseballwetten abschliessen kann. Der Clou allerdings ist, dass der PC diese SE.DLL Datei nicht finden kann, ...denn es kommt anschliessend (nachdem ich AntiVir bitte, die Datei zu löschen) eine Meldung, dass "das angegebene Modul nicht gefunden " werden kann...... Ich darf nochmal meine HJT-Log posten?!? Vielen Dank!!! Logfile of HijackThis v1.99.0 Scan saved at 12:02:52, on 12.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINNT\system32\sistray.EXE C:\WINNT\System32\khooker.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\Exif Launcher\QuickDCF.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\MY_DOWNLOAD_FILES\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {B9883EFA-36BF-4B29-B7EC-32BDCC38A760} - C:\WINNT\system32\kelf.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe O8 - Extra context menu item: Download using Download &Express - file://C:\WINNT\System32\MetaProducts\Add_Url.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemp...veSekurity.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{72B1B1CF-B6A7-45C8-A2EE-6C3CD1A62C75}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A658B2-84ED-4FCB-9FD8-3D808219E054}: NameServer = 192.168.121.252,192.168.121.253 O18 - Filter: text/html - {2A5865DD-F856-4CCF-B482-E4A571ECEA1D} - C:\WINNT\system32\kelf.dll O18 - Filter: text/plain - {2A5865DD-F856-4CCF-B482-E4A571ECEA1D} - C:\WINNT\system32\kelf.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE |
|
12.02.2005, 13:12
| #21 | ||
  | Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! Hallo Der Dirk, vermutlich hast Du Dir nach zwei Tagen einen neuen Browser-Hijacker eingefangen. Du solltest Dir nach der Bereinigung (s. unten) mal Gedanken machen, ob es nicht Zeit ist, den Browser zu wechseln. Firefox, Mozialla und Opera sind gegenüber solchen 'Angriffen' nahezu immun... Bitte fixe im abgesicherten Modus mit HijackThis folgendes: Zitat:
Zitat:
__________________ --> Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! |
|
14.02.2005, 17:15
| #22 |
| | Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! Hallo Lutz.... Ich habe gemacht, was Du mir geschrieben hast. Die Symptome scheinen erstmal weg zu sein..... Jedenfalls hat sich meine Startseite nicht mehr verschoben und Virenwarnungen bekomme ich auch keine.... Anbei noch ein abschliessendes HJT-Log... Vielen Dank für die Hilfe Dirk Logfile of HijackThis v1.99.0 Scan saved at 17:13:10, on 14.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINNT\system32\sistray.EXE C:\WINNT\System32\khooker.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\Exif Launcher\QuickDCF.exe C:\MY_DOWNLOAD_FILES\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe O8 - Extra context menu item: Download using Download &Express - file://C:\WINNT\System32\MetaProducts\Add_Url.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{72B1B1CF-B6A7-45C8-A2EE-6C3CD1A62C75}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A658B2-84ED-4FCB-9FD8-3D808219E054}: NameServer = 192.168.121.252,192.168.121.253 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE |
|
15.02.2005, 14:24
| #23 |
| | Aaaaaaaaaah........immernoch der Verzweiflung nah... Hallo, ich bin heute nur mit Firefox und Opera gesurft (ich finde Firefox besser). IE habe ich ausser Acht gelassen, aber immer mal geschaut, ob die Startseite verschoben ist, mit rechtsklick und "eigenschaften". Alles war prima. Als ich dann den Firefox Browser schloss und eine Musikdatei (und das war absolut nicht die erste heute!!!) anklickte, meldete sich plötzlich wie aus dem Nichts wieder mein Problem!!! SE.DLL ist ein trojanisches Pferd..... und dann der Runtime Error, dass Se.DLL nicht gefunden werden kann.... (übrigens auch nicht im abgesicherten Modus.... ) . Die Startseite im IE ist nun auch wieder verschoben...  |
|
20.02.2005, 19:07
| #24 |
| | Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! Hi Leutz. Habe leider auch den Trojaner TR/StartParge.qr.DLL  Diese Dateien sind laut eScan infiziert. Was soll ich dagegen machen? Sun Feb 20 18:23:29 2005 => File C:\WINDOWS\System32\win.hta infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken. Sun Feb 20 18:23:33 2005 => File C:\WINDOWS\System32\46hikplkab.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken. Sun Feb 20 18:26:48 2005 => File C:\DOKUME~1\Phil\LOKALE~1\TEMPOR~1\Content.IE5\TOON5LSH\ysb_prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken. Sun Feb 20 18:27:20 2005 => File C:\DOKUME~1\Phil\LOKALE~1\TEMPOR~1\Content.IE5\EXBSP87I\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken. Sun Feb 20 18:27:20 2005 => File C:\DOKUME~1\Phil\LOKALE~1\TEMPOR~1\Content.IE5\EXBSP87I\0006_regular[1].cab infected by "Trojan-Downloader.Win32.IstBar.gu" Virus. Action Taken: No Action Taken. Sun Feb 20 18:29:36 2005 => File C:\Downloads\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Und noch ne Frage nebenbei, für den Noobie: Warum im abgesicherten Modus alles löschen? Bleiben die Dateien nicht auch im normalen Modus gelöscht? Dankö! Philly19  |
|
| Themen zu Probleme mit StartPage.qr.DLL ... der Verzweiflung nah! |
| .com, adobe, antivir, antivir update, antivirus, antivirus scan, bho, browser, canon, dsl, explorer, file missing, hijack, hijackthis, internet, internet explorer, logfile, monitor, outlook express, pop-ups, problem, scan, software, spyware, sun java, symantec, system, temp-ordner, trojaner, windows |
Linear-Darstellung
