Hi,
kämpfe mit dem dummem StartPage.qr.dll Trojaner.
Ich habe im Proctectus-Forum schon allerhand gelesen und probiert - hat aber alles nicht geholfen. Dann habe ich bei Euch die Beta7-Version gefunden und laufen lassen. Die hat mir zwar irgendwie die se.dll und about.blank Dinger beseitigt. Aber der schwarze desktop mit "Warnung..." ist noch immer da (und läßt sich auch nicht wegschalten) und ins Netz kann ich auch nicht.

- Beta7 findet scheinbar nichts mehr (??)
- hijackthis sieht auch nix (??)

Kann mir bitte jemand helfen?!

Vielen, lieben Dank
Carsten

Hallo,
dann poste doch mal ein HijackThis-Logfile. Seit wann kannst du nicht mehr ins Netz?

Gegen den Desktophintergrund:
Start-> Systemsteuerung (klassiche Ansicht)-> "Anzeige"-> Reiter "Desktop"-> "Desktop anpassen"-> Reiter "Web"-> Eintrag "Security" löschen


btw: es gibt schon eine Beta8

Hi,
also: die Beta7 hat scheinbar geholfen, aber nur soweit, daß sie sagt ich wäre clean (das sagt auch die Beta8 - habe sie gefunden)

Den schwarzen Hintergrund bin ich los, aber in der taskleiste ist noch immer das gelbe Ausrufezeichen das bei Doppelklick die hp von dieser antispy-dingens aufmacht.

ins netz kann ich nicht mehr seit...hmmm...seit nach Beta7? habe es vorher erst gar nicht versucht aus Angst vor irgendwelchen bösen Buben mit Trojanern.

hier ist mein aktuelles hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 21:30:30, on 17.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Anwendungen\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cinetower.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

achso, moment mal: ich kann mich ins netz einwählen (ISDN), aber der IE macht nicht auf...so ist´s besser formuliert

Naj , so sauber ist der Log ja nun nicht

Wechsle in den abgesicherten Modus bei deaktivierter systemwiederherstellung:
http://www.systemwiederherstellung-d...indows-xp.html

und fixxe

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Lösche dann diese Datei:

C:\WINDOWS\System32\spoolsrv32.exe

Neustar und neuen Log posten

Fixe mal im abgesicherten Modus die folgenden Einträge:
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O15 - Trusted Zone: http://www.cinetower.com (außer von dir gewollt)

Lösche dann manuell C:\WINDOWS\System32\spoolsrv32.exe


Scanne dein System außerdem mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird.

Hi,
Du hast Dir offenbar mehr eingefangen, als 'nur' den se.dll-Hijacker...

Zitat:

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Fixe mal diese beiden Einträge und lösche die Datei C:\WINDOWS\System32\spoolsrv32.exe

Info

3 x sollte reichen....

Zitat:

Zitat von Lutz

3 x sollte reichen....

Sieht klasse aus, wie in "Convoy.
Okay-btT

uff...

beim hijack scan war nurnoch ein spoolsrv32.exe da
da war dann bei O4 ein CTFMON.EXE
-> habe beide gefixt

aber wie lösche ich C:\WINDOWS\System32\spoolsrv32.exe??

auch mit hijack? mit dem löschennachneustart bleibt mir das ding hängen und ich kann nichts bewegen!


wenn ihr einen convoy bildet, wer ist dann Rubber Duck ?? (für insider)

Zitat:

aber wie lösche ich C:\WINDOWS\System32\spoolsrv32.exe??

Datei markieren, "Entf" drücken und mit "Enter" bestätigen...

@carstensimon
wechsle in den abgesicherten modus und lösche manuell
C:\WINDOWS\System32\spoolsrv32.exe
neu booten.

wenn es danach immer noch nicht geht,
dann benütze killbox


@haui45
warst mal wieder schneller
chaosman

Zitat:

Zitat von chaosman

@haui45
warst mal wieder schneller
chaosman

Du wirst langsam alt


mfg Haui

jo,
habe C:\WINDOWS\System32\spoolsrv32.exe gefunden und gelöscht

da waren sind aber auch noch
spoolss.dll
spoolsv (Anwendung)
was ist damit?

IE geht noch immer nicht - sonst sieht mein desktop wieder normal aus

wenn ich jetzt irgendeinen download von 4MB auf meinem notfall-266MHz-Schlepptop über ISDN starte, wird es eher wieder hell bevor das zu ende ist
-> soviel zu escan Donnerstags um 22.22Uhr (der Wecker klingelt um 05.30)
es muß so klappen!! ich werde irre! sorry freunde :-))

hier mal der aktuellste hijack-scan

Logfile of HijackThis v1.99.1
Scan saved at 22:17:36, on 17.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Anwendungen\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cinetower.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


schonmal ein DANKE für eure mühen hier!!

Log schaut sauber aus. => wir brauchen weitere Infos (eScan)
Ob jetzt oder in 3 Wochen ist mir egal

Zitat:

da waren sind aber auch noch
spoolss.dll
spoolsv (Anwendung)
was ist damit?

http://www.liutilities.com/products/...brary/spoolss/
http://www.liutilities.com/products/...brary/spoolsv/