| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Startpage.qr.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.02.2005, 11:29
| #1 |
| |  Trojaner TR/Startpage.qr.dll Hallo Leute, ich bitte um Eure Mithilfe: hab mir beim Surfen éinen Trojaner eingefangen. ANTIVIR meldete TR/STARTPAGE.qr.dll, konnte diesen aber nicht entfernen. Immer wenn ich den Internetexplorer öffne, kommt die Warnmeldung. Hab Win 98. Habe mit einem anderen Virenprogramm gecheckt und die angeblich infizierten Dateien entfernt und die betroffene infizierte Zeile in der Reg gelöscht( HKEY_CURRENT_USER\software\microsoft\internetexplorer\toolbar\webbrowser\itbarlayout). Ausserdem kommt beim Hochfahren immer die Meldung: windows\temp\se.dll Datei nicht gefunden,oder so. Escan funktionierte bei mir nicht (wegen Win 98?), Internet Explorer laesst sich nicht loeschen und der Versuch Win 98 neu zu installieren klappte auch nicht. Was tun? Danke fuer Eure Mithilfe! |
|
15.02.2005, 13:23
| #2 |
   | Trojaner TR/Startpage.qr.dll Hi,
__________________erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This 
__________________ |
|
15.02.2005, 14:14
| #3 |
| | Trojaner TR/Startpage.qr.dll So,
__________________jetzt das Highjackthis Logfile: Logfile of HijackThis v1.99.0 Scan saved at 14:04:23, on 15.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE C:\PROGRAMME\ONLINECONTROL\OCONTROL.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {D049A123-7E75-11D9-871A-0030FE924848} - C:\WINDOWS\SYSTEM\JAGFDA.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O18 - Filter: text/html - {D049A122-7E75-11D9-871A-003091DEEDD3} - C:\WINDOWS\SYSTEM\JAGFDA.DLL O18 - Filter: text/plain - {D049A122-7E75-11D9-871A-003091DEEDD3} - C:\WINDOWS\SYSTEM\JAGFDA.DLL Was das alles bedeuten soll, weiss ich nicht. Vielen Dank fuer die angebotene Hilfe. Der von Dir angegebene Link funktionierte allerdings nicht. Es gingen immer andere Seiten automatisch auf (about blank). Wahrscheinlich ist der Virus schuld. Habe zwischenzeitlich die vom Virenscanner gemeldeten infizierten Dateien im abgesicherten Modus geloescht inkl. der System reg, aber die Meldungen kommen immer wieder, auch mit dem Windows\temp\se.dll file. Manchmal kommt die Meldung Zugriff verweigert, manchmal aber Datei nicht gefunden. Gruesse |
|
15.02.2005, 15:16
| #4 |
| | Trojaner TR/Startpage.qr.dll --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung fixe folgende Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html O2 - BHO: (no name) - {D049A123-7E75-11D9-871A-0030FE924848} - C:\WINDOWS\SYSTEM\JAGFDA.DLL O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O18 - Filter: text/html - {D049A122-7E75-11D9-871A-003091DEEDD3} - C:\WINDOWS\SYSTEM\JAGFDA.DLL O18 - Filter: text/plain - {D049A122-7E75-11D9-871A-003091DEEDD3} - C:\WINDOWS\SYSTEM\JAGFDA.DLL Lösche folgende Dateien von Hand: C:\WINDOWS\TEMP\se.dll/sp.html C:\WINDOWS\SYSTEM\JAGFDA.DLL C:\WINDOWS\TEMP\SE.DLL,DllInstall C:\WINDOWS\web\related.htm Lasse folgende Datei mal hier http://virusscan.jotti.org/de online scannen. Das Ergebnis 10 Zeilen wieder rein posten C:\WINDOWS\System\spoolsrv32.exe neu booten neues HJT BTW System sollte upgedatet werden da Dein IE veraltert ist  |
|
16.02.2005, 13:08
| #5 |
| | Trojaner TR/Startpage.qr.dll Hallo Gigamail, danke fuer deine Tipps. Habe soweit alles befolgt, nur noch einige Anmerkungen. Habe Win 98, konnte die Systemwiederherstellung nicht deaktivieren (Anleitung fuer Win XP). Habe Highjackthis die Files fixen lassen, konnte aber nur die Datei: C:\WINDOWS\web\related.htm loeschen. Die anderen Dateien habe ich nicht gefunden, weder durhc die Suchfunktion noch im Win Explorer. Sind die vielleicht schon von Antivir geloescht worden? Hier das Ergebnis des Scans (scheint immer noch da zu sein): Service load: 0% 100% File: spoolsrv32.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir No viruses found (0.34 seconds taken) Avast No viruses found (1.50 seconds taken) AVG Antivirus No viruses found (0.79 seconds taken) BitDefender No viruses found (1.30 seconds taken) ClamAV No viruses found (0.76 seconds taken) Dr.Web Trojan.Promospy (1.50 seconds taken) F-Prot Antivirus No viruses found (0.11 seconds taken) Fortinet W32/Nachi.fam (0.75 seconds taken) Kaspersky Anti-Virus Trojan-Downloader.Win32.Adload.c (1.30 seconds taken) mks_vir No viruses found (0.33 seconds taken) NOD32 Win32/TrojanDownloader.Adload.C (0.87 seconds taken) Norman Virus Control No viruses found (2.13 seconds taken) Statistics Last piece of malware found was Win32/TrojanDownloader.Adload.C in spoolsrv32.exe, detected by: Scanner Malware name Time taken AntiVir X 0.68 seconds Avast X 3.01 seconds AVG Antivirus X 1.57 seconds BitDefender X 1.64 seconds ClamAV X 1.19 seconds Dr.Web Trojan.Promospy 1.41 seconds F-Prot Antivirus X 0.09 seconds Fortinet W32/Nachi.fam 0.42 seconds Kaspersky Anti-Virus Trojan-Downloader.Win32.Adload.c 0.99 seconds mks_vir X 0.25 seconds NOD32 Win32/TrojanDownloader.Adload.C 0.51 seconds Norman Virus Control X 0.78 seconds Die Fehlermeldung Win\temp\se.dll kommt nicht mehr, beim Oeffnen von IE kommt aber about:blank, obwohl eine Startseite eingetragen ist. Vielleicht bloede Frage, aber was heisst: neues HJT und BTW System Wenn das Ding immer noch da ist, bin ich geneigt, die Festplatte zu formatieren. Danke fuer die Infos und die Hilfe. Warte auf Instruktionen  |
|
16.02.2005, 13:29
| #6 | |||
| | Trojaner TR/Startpage.qr.dllZitat:
BTW=by the way=nebenbei bemerkt, übrigens Zitat:
und sehe ob Du Sie dann findest Zitat:
Poste ein neues HJT 
__________________ --> Trojaner TR/Startpage.qr.dll |
|
16.02.2005, 18:36
| #7 |
| | Trojaner TR/Startpage.qr.dll Hallo Gigamail, vielen Dank fuer die Tipps und die Hilfe! Hatte aber irgendwie genug, als die ganzen Virenmeldungen wieder losgingen und dann kurzerhand format C: eingetippt. Jetzt ist alles wieder installiert und funktioniert einwandfrei. Habe auch Internet Explorer 6 installiert, bin mir allerdings nicht sicher, ob SP1 oder SP2. Nix fuer ungut, aber die Neuinstallation war mir einfach sicherer und auch nicht zu aufwendig. Gruesse |
|
19.02.2005, 09:17
| #9 |
| | Trojaner TR/Startpage.qr.dll Danke für die Tpps, wie sieht denn eine Absicherung des Systems bei Windows 98 nach Neuformatierung der Festplatte wegen Virus aus. Wie bei Win Millennium/2000 oder sind noch andere Punkte zu beachten? Gruß |
|
19.02.2005, 13:21
| #10 |
| | Trojaner TR/Startpage.qr.dll |
|
| Themen zu Trojaner TR/Startpage.qr.dll |
| anderen, angeblich, antivir, dateien, entfernt, explorer, gelöscht, hilfe!, hochfahren, infizierte, internet explorer, internetexplorer, leute, microsoft, neu, nicht gefunden, programm, software, surfen, temp, trojaner, win, windows, windows\temp |
Linear-Darstellung
