Hi, ich hatte ja schonmal vor Kurzem ein Problem mit Viren. Dann hab ich mir Firefox runtergeladen, und es ging für 2Tage wieder alles. Aber jetzt fängt es wieder an. Es kommen System Warnungen, und das trojanische pferd TR/StartPage.qr.DLL, und es wird immer etwas mit RUNDLL angezeigt.
Was soll ich machen????????????????????

Hi, poste einfach mal ein HiJackThis-Logfile.
cacatoa

@BlubbGirl.

Zitat:

Was soll ich machen????????????????????

1.Fragezeichen-Taste überprüfen .
2. http://hijackthis.de/ , Tool herunterladen, Log erstellen, Posten. Anleitung: http://www.trojaner-board.de/51130-a...ijackthis.html
@cacatoa
Hi .

Hier mein Scan Log und meine FragezeichenTaste ist okay .
Logfile of HijackThis v1.99.1
Scan saved at 12:13:25, on 25.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AVGUARD.EXE
D:\AVWUPSRV.EXE
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\Programme\D-Link\Air Utility\AirCFG.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Shareaza\Shareaza.exe
C:\PROGRA~1\AIM95\aim.exe
C:\Programme\Digital Image\Monitor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\ramona1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B83299FD-177F-426B-98BA-DE3C0E2F2EE6} - C:\WINDOWS\System32\ahmg.dll
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programme\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\LiveUpdate.exe 110
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitewgl32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: Digital Image Monitor.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Filter: text/html - {A8E8153F-4A66-48AD-9F49-CAB80BB16081} - C:\WINDOWS\System32\ahmg.dll
O18 - Filter: text/plain - {A8E8153F-4A66-48AD-9F49-CAB80BB16081} - C:\WINDOWS\System32\ahmg.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVWUPSRV.EXE
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe

Hallo, BlubbGirl,
folgende Einträge mit HJT im abgesicherten Modus bei deaktivierter Systemwiederherstellung fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
O2 - BHO: (no name) - {B83299FD-177F-426B-98BA-DE3C0E2F2EE6} - C:\WINDOWS\System32\ahmg.dll
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitewgl32.exe
O4 - Global Startup: Digital Image Monitor.lnk = ?
O18 - Filter: text/html - {A8E8153F-4A66-48AD-9F49-CAB80BB16081} - C:\WINDOWS\System32\ahmg.dll
O18 - Filter: text/plain - {A8E8153F-4A66-48AD-9F49-CAB80BB16081} - C:\WINDOWS\System32\ahmg.dll

Dann folgende Dateien manuell löschen:
C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
C:\WINDOWS\System32\ahmg.dll

Dann normal booten. Systemwiederherstellung aktivieren.
Dann lade Dir herunter:
1. clearprog 1.4.1 final (alle Haken bei Windows und IE machen, Einstellungen speichern (zweiter button von links) und auf löschen gehen; wenn fertig auf beenden. (Empfiehlt sich nach jeder INet-Sitzung und löscht alle "temp"-files.
2. AdAware SE und
3. Spybot S&D 1.3
Die beiden updaten und dann laufen lassen. Laß sie alles löschen, was sie finden und leere dann auch die Quarantäne-Ordner der beiden.
Dann poste neues Logfile.
Und bring dann Dein System auf den neuesten Stand!!
cacatoa

@ Rene-Gad:
Servus, Ostereier schon bemalt?

@BlubbGirl

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

D:\AVGUARD.EXE
D:\AVWUPSRV.EXE

Wie hast du es geschafft, AVPE ohne AVPersonal-Ordner zu installieren?

Zitat:

C:\Programme\Shareaza\Shareaza.exe

Bitte weg damit: http://www.pestpatrol.com/Pest_Info/de/s/shareaza.asp

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Den Thread bitte durcharbeiten.

Zitat:

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitewgl32.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O18 - Filter: text/html - {A8E8153F-4A66-48AD-9F49-CAB80BB16081} - C:\WINDOWS\System32\ahmg.dll
O18 - Filter: text/plain - {A8E8153F-4A66-48AD-9F49-CAB80BB16081} - C:\WINDOWS\System32\ahmg.dll

Die musst/sollst/darfst du fixen.

@ Rene-Gad:
Ich glaube nicht, daß sie "Shareaza" freiwillig abschießt.....
cacatoa

Zitat:

Zitat von cacatoa

@ Rene-Gad:
Ich glaube nicht, daß sie "Shareaza" freiwillig abschießt.....
cacatoa

Kann man das nicht mit KazaaLite ersetzen? Die enthält mindestens keine Ad- und Spyware.

@ Rene-Gad:
schon, aber die Nutzer mögen es halt gerne.
cacatoa

Ich hab die angegebenen Sachen von euch beim Scan Log gelöscht C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html kann ich nicht finden und C:\WINDOWS\System32\ahmg.dll lässt sich nicht löschen!
Und so sieht jetzt mein scan log aus:

Logfile of HijackThis v1.99.1
Scan saved at 13:03:40, on 25.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AVGUARD.EXE
D:\AVWUPSRV.EXE
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\Programme\D-Link\Air Utility\AirCFG.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\AIM95\aim.exe
C:\Programme\Digital Image\Monitor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\ramona1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ramona1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {C0F2BA19-7538-40C3-9466-C45C972F2302} - C:\WINDOWS\System32\ahmg.dll
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programme\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\LiveUpdate.exe 110
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitewgl32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Filter: text/html - {28BA2472-81E4-4FA6-95C7-9D99D5AD9A27} - C:\WINDOWS\System32\ahmg.dll
O18 - Filter: text/plain - {28BA2472-81E4-4FA6-95C7-9D99D5AD9A27} - C:\WINDOWS\System32\ahmg.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVWUPSRV.EXE
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe

Hallo,

Sorry, ich hab die se.dll zu spät erkannt. ausführliche Behandlung findest Du hier. Diese:
C:\WINDOWS\System32\ahmg.dll gehört auch dazu.
(Hat aber Rene-Gad schon empfohlen!)

Außerdem hast du nicht alles gefixt ( und wenn, dann nicht im abgesicherten Modus), was wir dir gesagt haben. Und Dein System ist immer noch nicht up to date.
Also bitte wiederholen.
cacatoa

@BlubbGirl
Also:
1. Lade mal dieses Tool herunter: http://members.lycos.co.uk/codestuff/StarterSetup.zip
2. Installation ist simpel, Starten, zu Prozesse wecheln, Obere Leiste-Prozesse-Module finden
3. se.dll eingeben, es wird ein Fenster mit Prozessen angezeigt, wo diese DLL eine Rolle spielt.
4. Auf reches Sysmbol in diesem Fenster klicken (Gehe zu Prozess..)
5. Prozess markieren, Minus-Zeichen oben anklicken. Prozess wird gekillt.
Dito mit ahmg.dll.
Danach HJT, Registry -Einträge fixen (welche -weißt du schon)