Hallo

ich habe mir den trojaner "Trojan Start.page" eingefangen
ich habe schon fast alles mögliche probiert aber es klappt nix mehr. der registry eintrag: O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\lehnix\LOKALE~1\Temp\se.dll,DllInstall lässt sich nicht fixen bzw. löschen nach einen neustart ist er wieder da hier ist nochmal der gesamte logfile Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
D:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\lehnix\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\lehnix\LOKALE~1\Temp\se.dll,DllInstall
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFAEF169-4045-4ABB-B464-DB4F5ABFCC0A}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\PACSPT~1.EXE (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

ich bin für jeden nützlichentip dankbar weil ich einfach nich mehr weiter weis und und kein bock auf format c.

danke im vorraus
ciao fivvty

Hallo fivvty,

ich bin auch neu hier und habe auch einen Start/Page.qr.Dll


Also ich habe bis jetzt teilweise loeschen koennen durch:

im abgesicherten Modus starten(F5 Taste) und dann den Antivirus durch und loeschen wenn er was findet. Ja und dann die lokalen Einstellungen:Also die waren bei mir erst noch versteckt,weiss nicht warum. Ich habe den Suchhund
benutzt(xp2) und die LokalenEinstellungen gefunden.

Dann habe ich geschaut bei "Eigenschaften" weisser Kasten unten.
Da habe ich das Versteckt Häckchen weggemacht. Ja und dann ganz banal
mit dem antivirus im weissen kasten nochmal was gefunden tatsächlich.


Jetzt habe ich alle vier Benutzerebenen abgescannt. Aber ich habe noch ein Problem,an alle die das hier lesen.
Es kommt eine Meldund der compi kann ein Modul nicht laden C:/dokumente.../christ../lokale.../Temp/SE.Dll oh ich glaube die striche sind andersrum \ so.

Also wer kann mir in der Modulgeschichte helfen. Ich weiss auch nicht ob der Trojaner jetzt weg ist. Er kommt auf jeden Fall nicht beim Neustart.

Freu mich auf jede Antwort von Trojanerexperten und geplagten.Besonders
mit dem Startpageviech.

Christine

Vorgehensweise

Da alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft).

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung deaktivieren und im abgesicherten Modus booten. Nochmal Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage

@ fivvty und @ christina:
Zu der se.dll findet Ihr hier an board über die boardsuche einiges.
Bitte postet aber jeweils in eigenen threads, es wird zu unübersichtlich sonst.
Wenn Ihr Logfiles postet, dann bitte vollständig incl. Kopfzeilen.
cacatoa