Hi,
kämpfe mit dem dummem StartPage.qr.dll Trojaner.
Ich habe im Proctectus-Forum schon allerhand gelesen und probiert - hat aber alles nicht geholfen. Dann habe ich bei Euch die Beta7-Version gefunden und laufen lassen. Die hat mir zwar irgendwie die se.dll und about.blank Dinger beseitigt. Aber der schwarze desktop mit "Warnung..." ist noch immer da (und läßt sich auch nicht wegschalten) und ins Netz kann ich auch nicht.

- Beta7 findet scheinbar nichts mehr (??)
- hijackthis sieht auch nix (??)

Kann mir bitte jemand helfen?!

Vielen, lieben Dank
Carsten

Hallo,
dann poste doch mal ein HijackThis-Logfile. Seit wann kannst du nicht mehr ins Netz?

Gegen den Desktophintergrund:
Start-> Systemsteuerung (klassiche Ansicht)-> "Anzeige"-> Reiter "Desktop"-> "Desktop anpassen"-> Reiter "Web"-> Eintrag "Security" löschen


btw: es gibt schon eine Beta8

Hi,
also: die Beta7 hat scheinbar geholfen, aber nur soweit, daß sie sagt ich wäre clean (das sagt auch die Beta8 - habe sie gefunden)

Den schwarzen Hintergrund bin ich los, aber in der taskleiste ist noch immer das gelbe Ausrufezeichen das bei Doppelklick die hp von dieser antispy-dingens aufmacht.

ins netz kann ich nicht mehr seit...hmmm...seit nach Beta7? habe es vorher erst gar nicht versucht aus Angst vor irgendwelchen bösen Buben mit Trojanern.

hier ist mein aktuelles hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 21:30:30, on 17.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Anwendungen\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cinetower.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Naj , so sauber ist der Log ja nun nicht

Wechsle in den abgesicherten Modus bei deaktivierter systemwiederherstellung:
http://www.systemwiederherstellung-d...indows-xp.html

und fixxe

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Lösche dann diese Datei:

C:\WINDOWS\System32\spoolsrv32.exe

Neustar und neuen Log posten

Hi,
Du hast Dir offenbar mehr eingefangen, als 'nur' den se.dll-Hijacker...

Zitat:

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Fixe mal diese beiden Einträge und lösche die Datei C:\WINDOWS\System32\spoolsrv32.exe

Info

3 x sollte reichen....

Zitat:

Zitat von Lutz

3 x sollte reichen....

Sieht klasse aus, wie in "Convoy.
Okay-btT

achso, moment mal: ich kann mich ins netz einwählen (ISDN), aber der IE macht nicht auf...so ist´s besser formuliert

Fixe mal im abgesicherten Modus die folgenden Einträge:
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O15 - Trusted Zone: http://www.cinetower.com (außer von dir gewollt)

Lösche dann manuell C:\WINDOWS\System32\spoolsrv32.exe


Scanne dein System außerdem mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird.

hi, ich bin´s wieder.
meine große freude war vielleicht etwas voreilig. zwar ist in den scans mit meinen augen nichts böses mehr zu finden, aber der IE kann (noch immer) nicht geöffnet werden, d.h. ich starte ihn ganz normal (anklicken), aber nichts passiert.

was nun?

folgendes habe ich nach bereinigung der trojaner gemacht:
- eingeschränktes benutzerkonto angelegt
- symantec norton firewall installiert (erstmal nur 15tage testversion - die vollversion muß ich kaufen)

ich möchte mir ja gerne einen sichererenbrowser installieren, aber dafür wollte ich den IE verwenden. auf meinem notfall-laptop hier dauert das alles ein bißchen lange...und außerdem habe ich mir auch hier 2 viren gefangen (aber dazu lese ich erstmal ein wenig im forum)

Wie äußert sich das Problem mit dem IE? Passiert wirklich gar nichts, oder gibt es evtl. eine Fehlermeldung? Was passiert, wenn du den IE über den "Ausführen-Dialog" starten willst (Win-Taste+R-> "iexplore" (ohne"")->Enter).

Die Firewall wird nicht viel nützen, besser unnötige Dienste beenden -> www.ntsvcfg.de

Hast du einen erneuten Scan mit eScan gemacht? Ergebnis?

Bitte ein neues HjT-Logfile posten.

evtl. auch mal mit Spybot Search&Destroy und Ad-Aware scannen.


mfg Haui

Zitat:

Zitat von Haui45

Wie äußert sich das Problem mit dem IE? Passiert wirklich gar nichts, oder gibt es evtl. eine Fehlermeldung? Was passiert, wenn du den IE über den "Ausführen-Dialog" starten willst (Win-Taste+R-> "iexplore" (ohne"")->Enter).

es passiert nichts - die platte rödelt ganz kurz, dann ist´s auch schon vorbei. im taskmanager kommt auch nichts hoch
im ausführen-dialog passiert das selbe - also nichts

Zitat:

Zitat von Haui45

Hast du einen erneuten Scan mit eScan gemacht? Ergebnis?

hatte ich am samstag - alles o.k.
heute noch nicht - dauert 45min...fangen wir mit HijackThis an

Zitat:

Zitat von Haui45

Bitte ein neues HjT-Logfile posten.

gescannt ohne systemwiederherstellung und im abges.modus:

Logfile of HijackThis v1.99.1
Scan saved at 19:55:37, on 21.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Anwendungen\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Zitat:

Zitat von Haui45

evtl. auch mal mit Spybot Search&Destroy und Ad-Aware scannen.

spybot kann ich nicht downloaden - muß ich nochmal checken warum
ad-aware: normal installieren und dann scan im abgesicherten modus mit ausgeschalteter syswiederherst.???

Log schaut sauber aus.
Woran das mit dem IE liegt kann ich nicht sagen
Hast du es schon mit einer Neuinstallation bzw. Reparatur des Internet Explorers versucht?
Laufen evtl. sonst noch ungewöhnliche Prozesse? -> http://www.sysinternals.com/ntw2k/fr.../procexp.shtml

haui,
wie wär´s hiermit: ich mache die ganze platte leer und installiere mein system neu?!
ich vertraue keinen meter mehr in meinen pc und möchte aber so sicher wie möglich meine emails, bankgeschäfte etc erledigen. ich hätte kein gutes gefühl wenn wir ihn wieder zusammenflicken...denn ich sehe ja: irgendwo harkt es und wird es vielleicht immer harken.

fragen:
wie bekomme ich die platte (laufwerke c, d und e) leer? geht das mit format:c, d, e?? ist dann wirklich alles weg?
wie kann ich sicher sein das sich nichts böses irgendwo anders (bios??) versteckt und trotzdem bleibt?

oder brauche ich gar eine neue platte um 10000%ig sicher zu sein?