|
Log-Analyse und Auswertung: Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.04.2005, 16:05 | #1 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... hallo... hierunter ein computer problem auf english. ich hoffe dass ist kein problem. auf jeden fall, ihr koennt ruhig auf deutsch antworten. danke im voraus! edo hello, my girlfriends computer has big problems and we really dont know how to solve it. the antivir program recognises the following trojan horses: "TR/StartPage.qr.DLL" "TR/Delprot.A" "TR/Dldr.leser.A" however, antivir is not able to remove them, since they happen to be locked or so. restarting windows does not help either. antivir keeps reminding you of these trojans every time you try to open a file or start a program, which is quite annoying. i tried an updated version of spybot. it found the following: "effective band toolbar" however, spybot seems not to be able to remove it, since it keeps finding it after reloading windows. also, there's an annoying search bar in the right corner of the screen. what is this? is says: "search the web" and the internet explorer is probably hijacked. it opens in a search site. i tried CWShredder but the file it found (called "CWShidden.Dll") cannot be removed (it returns after restarting windows) can anyone please take a look at the hijack-logfile (below) and tell me what to do? that would be great. would starting windows in the safe mode and then running a antivirus program help? or is that risky? i do not know much about computer, and neither does my girlfriend, so the more instructions the better! thanks in advance! edo ps: i hope i copypasted the logfile in the right way! please let me know if not and i'll try something else. Logfile of HijackThis v1.99.1 Scan saved at 5:03:20 PM, on 4/5/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\isrvs\desktop.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Windows NT\Zubehör\wordpad.exe C:\WINDOWS\System32\rundll32.exe C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll O2 - BHO: (no name) - {955BCA3B-4499-4AEB-B57B-8C75366E5DDA} - C:\WINDOWS\System32\ghli.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O18 - Filter: text/html - {04BB0F7E-0A38-485A-A336-3E65E0C59E57} - C:\WINDOWS\System32\ghli.dll O18 - Filter: text/plain - {04BB0F7E-0A38-485A-A336-3E65E0C59E57} - C:\WINDOWS\System32\ghli.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing) |
07.04.2005, 10:03 | #3 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... hmm... ich habe das tool ausgefuehrt, aber jetzt oeffnet mein internet explorer nicht mehr und kann ich also der neuen HijackThis logfile nicht posten. habe ich was falsch gemacht? wie kann ich dafuer sorgen das internet explorer wieder funktioniert?
__________________danke im voraus, edo |
07.04.2005, 10:21 | #4 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... ich habe es via msn doch geschafft online zu kommen. also hier den neuen logfile. hoffentlich hilft es! danke im voraus! Logfile of HijackThis v1.99.1 Scan saved at 10:26:01 AM, on 4/7/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing) O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing) |
08.04.2005, 10:37 | #5 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... hi gigamail, ich glaube dein tool hat geholfen. kaspersky anti virus hat gestern keine viren mehr gefunden, und auch cwshredder hat nichts mehr gefunden. das einzige ist dass internet explorer jetzt nicht mehr funktioniert. wie kann das sein und was kann ich tun? und wie bin ich eigentlich ueberhaupt sicher ob der computer viren- und trojanerfrei ist? kannst du vielleicht den letzten logfile noch mal durchschauen? danke! edo |
08.04.2005, 16:33 | #6 |
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... Hi edo, 1.) Bitte poste einmal das Logfile des Cleaners 2.) Mache einen Scan mit Kaspersky AV über den kompletten Rechner, im abgesicherten Modus und teile uns evtl. Virenfunde mit. 3.) Wegen des IE kannst Du die Wiederherstellung über Software -> InternetExplorer -> Reparieren versuchen...
__________________ --> Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... |
08.04.2005, 16:48 | #7 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... internet explorer funktioniert wieder. danke! hm, eigentlich hat der cleaner (SpSeHjix112) nur den computer neu gestartet. es wurden dann keine weitere schritte ausgefuehrt. und ich weiss also nicht welche "logfile des cleaners" du meinst... wo und wie kann ich das finden? oder habe ich irgenwas falsch gemacht? |
08.04.2005, 18:15 | #8 |
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... Wenn der Cleaner ein Reebot erzwungen hat, hat er auch etwas zum cleanen gefunden... In dem Verzeichnis, wo du den Cleaner abgelegt hast, sollte es auch eine Datei namens SPSeHjFix.log geben. Das ist die Log-Datei, welche während der Bereinigung erstellt wurde.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
09.04.2005, 11:13 | #9 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... es ist komisch. der antivirus scan hat keine viren gefunden. aber von dem antivirus monitor kam gestern und heute eine meldung das es in dem ordner System Volume Information ein virus gibt. die meldung war: System Volume Information\_restore{..........}\RP150\A0034019.exe is the virus: Trojan.win32.Delprot.a vor drei tage hatte der computer dieser virus auch. aber ich dachte es war gelöscht weil kaspersky hat es nicht mehr gefunden. jetzt taucht es wieder auf, aber auf einem völlig anderen location (naemlich in system volume inf.). das ist komisch. es ist auch komisch das kaspersky es nicht findet bei dem normalen scan (sowohl in abgesichteren als auch in normalen modus). aber der virusmonitor findet es. ich kann system volume information nicht scannen glaube ich. was ist los? was kann ich tun? und ich habe den logfile von SPSeHjFix - Editor gefunden. Ich musste es zwei mal ausfuehren, also kommt der log zwei mal: (4/7/05 10:19:30 AM) SPSeHjFix started v1.1.2 (4/7/05 10:19:30 AM) OS: WinXP Service Pack 1 (5.1.2600) (4/7/05 10:19:30 AM) Language: english (4/7/05 10:19:30 AM) Win-Path: C:\WINDOWS (4/7/05 10:19:30 AM) System-Path: C:\WINDOWS\System32 (4/7/05 10:19:30 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\ (4/7/05 10:20:11 AM) Disinfection started (4/7/05 10:20:11 AM) Bad-Dll(IEP): c:\dokume~1\stefka~1\lokale~1\temp\se.dll (4/7/05 10:20:11 AM) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ghli.dll (4/7/05 10:20:11 AM) Searchassistant Uninstaller - Keys Deleted (4/7/05 10:20:11 AM) UBF: 9 - UBB: 3 - UBR: 18 (4/7/05 10:20:11 AM) FilterKey: HKCR\text/html (deleted) (4/7/05 10:20:11 AM) FilterKey: HKCR\CLSID\{BF405B28-8BA2-42D8-B37C-83A4D324D777} (deleted) (4/7/05 10:20:11 AM) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting) (4/7/05 10:20:11 AM) FilterKey: HKCR\text/plain (deleted) (4/7/05 10:20:11 AM) FilterKey: HKCR\CLSID\{BF405B28-8BA2-42D8-B37C-83A4D324D777} (error while deleting) (4/7/05 10:20:11 AM) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting) (4/7/05 10:20:11 AM) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8C897346-3B81-4F47-85D4-EECE1050CE25} (deleted) (4/7/05 10:20:11 AM) BHO-Key: HKCR\CLSID\{8C897346-3B81-4F47-85D4-EECE1050CE25} (deleted) (4/7/05 10:20:11 AM) UBF: 7 - UBB: 2 - UBR: 18 (4/7/05 10:20:11 AM) Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank (4/7/05 10:20:11 AM) Stealth-String not found (4/7/05 10:20:12 AM) File added to delete: c:\windows\system32\ghli.dll (4/7/05 10:20:12 AM) Reboot (4/7/05 10:21:46 AM) SPSeHjFix started v1.1.2 (4/7/05 10:21:46 AM) OS: WinXP Service Pack 1 (5.1.2600) (4/7/05 10:21:46 AM) Language: english (4/7/05 10:21:46 AM) Win-Path: C:\WINDOWS (4/7/05 10:21:46 AM) System-Path: C:\WINDOWS\System32 (4/7/05 10:21:46 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\ (4/7/05 10:22:35 AM) Disinfection started (4/7/05 10:22:35 AM) Bad-Dll(IEP): c:\dokume~1\stefka~1\lokale~1\temp\se.dll (4/7/05 10:22:35 AM) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ghli.dll (4/7/05 10:22:35 AM) Searchassistant Uninstaller - Keys Deleted (4/7/05 10:22:35 AM) UBF: 9 - UBB: 3 - UBR: 18 (4/7/05 10:22:35 AM) FilterKey: HKCR\text/html (deleted) (4/7/05 10:22:35 AM) FilterKey: HKCR\CLSID\{E0523A8D-393B-4BCC-9C28-15829B33E8FC} (deleted) (4/7/05 10:22:35 AM) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting) (4/7/05 10:22:35 AM) FilterKey: HKCR\text/plain (deleted) (4/7/05 10:22:35 AM) FilterKey: HKCR\CLSID\{E0523A8D-393B-4BCC-9C28-15829B33E8FC} (error while deleting) (4/7/05 10:22:35 AM) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting) (4/7/05 10:22:35 AM) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18E53E5B-C1AC-483E-B8BC-55237DDE7857} (deleted) (4/7/05 10:22:35 AM) BHO-Key: HKCR\CLSID\{18E53E5B-C1AC-483E-B8BC-55237DDE7857} (deleted) (4/7/05 10:22:35 AM) UBF: 7 - UBB: 2 - UBR: 18 (4/7/05 10:22:35 AM) Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank (4/7/05 10:22:35 AM) Stealth-String not found (4/7/05 10:22:35 AM) File added to delete: c:\windows\system32\ghli.dll (4/7/05 10:22:35 AM) Reboot heute fruh habe ich SPSeHjFix noch mal ausgefuehrt. der computer wurde nicht neu gestartet. Es wurde dieser log produziert: (4/9/05 11:35:06 AM) SPSeHjFix started v1.1.2 (4/9/05 11:35:06 AM) OS: WinXP Service Pack 1 (5.1.2600) (4/9/05 11:35:06 AM) Language: english (4/9/05 11:35:06 AM) Win-Path: C:\WINDOWS (4/9/05 11:35:06 AM) System-Path: C:\WINDOWS\System32 (4/9/05 11:35:06 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\ (4/9/05 11:35:07 AM) Disinfection started (4/9/05 11:35:07 AM) Bad-Dll(IEP): (not found) (4/9/05 11:35:07 AM) Bad-Dll(IEP) in BHO: (not found) (4/9/05 11:35:07 AM) UBF: 7 - UBB: 3 - UBR: 17 (4/9/05 11:35:07 AM) UBF: 7 - UBB: 3 - UBR: 17 (4/9/05 11:35:07 AM) Bad IE-pages: (none) (4/9/05 11:35:07 AM) Stealth-String not found (4/9/05 11:35:07 AM) Not infected->END SOLL ich noch einen neuen Hijack This log posten? Danke im voraus für die hilfe!!!!! Edo |
09.04.2005, 12:33 | #10 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... Hi Edo Der Ordner den Du beschreibst ist für die Systemwiederherstellung von Windows und es ist ganz normal wenn man was löscht damit das dort für den Fall der Wiederherstellung gespeichert wird. Deaktiviere also die systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html fahre den rechner runter und boote neu aktiviere danach die Systemwiederherstellung und dann sollte das Teil weg sein. Zur Auswertung von SPSeHjFix muss Dir Lutz was dazu sagen, da er bei der Entwicklung des Tools mit beteiligt war @ Gruß an Lutz :aplaus: |
09.04.2005, 16:03 | #11 | |
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...Zitat:
Ich habe 'lediglich' Seeker gebeten, aktiv zu werden und war allenfalls etwas koordinierend tätig. Das Log des Cleaners sieht so weit gut aus. Vor allem das letzte, bei dem angezeigt wird 'Not infected'. Da es sich aber um eine kleine Abweichnung der Datei se.dll/spage.html handelt (sonst meist se.dll/sp.html), würde mich ein aktuelles Log von HijackThis schon interessieren.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
09.04.2005, 18:23 | #12 | |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... @ Lutz Zitat:
|
09.04.2005, 19:07 | #13 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... danke für die antworte und die informationen! also, ich habe zuerst die systemweiderherstellung deaktiviert, dann den rechner heruntergeladen, und dann neu gestartet (und systemwiederherstellung neu aktiviert). der teil soll jetzt weg sein oder? kann ich dass noch irgendwie ueberpruefen? und hier noch ein neues log von hijackthis. lutz, kannst du noch mal bescheid sagen wegen diesem se.dll/spage.html? ist alles jetzt in ordnung? ich hoffe es! noch mal danke! edo Logfile of HijackThis v1.99.1 Scan saved at 7:49:59 PM, on 4/9/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fu-berlin.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing) O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing) |
09.04.2005, 21:19 | #14 | ||
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... Hallo edo, das se.dll-Problem ist scheinbar gelöst. Aber da ist noch etwas, was imho nichts auf einem sauberen Rechner zu suchen hat: Zitat:
Da Du Kaspersky AntiVirus auf Deinem Rechner hast, mach bitte mal einen kompletten Scan im abgesicherten Modus Wenn Kaspersky nichts finden sollte, überprüfe bitte die Datei C:\WINDOWS\isrvs\desktop.exe einmal hier -> http://virusscan.jotti.org/de/ (sofern noch vorhanden) Teile uns bitte die jeweiligen Ergebnisse mit. Anschließend suche mal unter Systemsteuerung - Software, ob es dort einen Eintrag Desktop Search (oder ähnlich) gibt. Wenn ja, bitte deinstallieren. Ansonsten noch folgende Einträge mit HijackThis fixen: Zitat:
C:\WINDOWS\isrvs\desktop.exe C:\foo.mht
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
10.04.2005, 12:35 | #15 |
| Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... hallo lutz, dieser ordner ISRVS gibt es gar nicht (mehr). aber angeblich sind die prozesse aus diesem ordner irgendwie noch aktiv, wie zum beispiel diese C:\WINDOWS\isrvs\desktop.exe bei RegCleaner 4.3 werden bei "Sicherungen" verschiedene prozesse aus diesem ordner angezeigt. es geht um verschiedene male "desktop search" und "ffis". "ffis" hat genauso wie "desktop search" nichts auf einem sauberen rechner zu suchen ( so habe ich hier entdeckt: http://www.sysinfo.org/startuplist.php?filter=ffis ) kann ich diese einfach mit RegCleaner 4.3entfernen? es wird bei RegCleaner 4.3 auch noch zwei mal "desktop" angegeben. wenn ich die ansehe mit Editor dann wird nach REGEDIT4 verwiesen. was sind dass für prozesse? soll ich die auch entfernen? ich habe bei http://virusscan.jotti.org/de/ versucht um C:\WINDOWS\isrvs\desktop.exe zu scannen, aber dann wird angegeben: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file" bei Systemsteuerrung --> Software gibt es kein Desktop Search. Dafür gibt es aber ein Desktop Zoom, aber das ist doch ein normalen programm, oder? kann ich schon mit dem fixen mit HijackThis anfangen oder soll ich erst diese desktop search sache lösen? und müss ich bei dem fixen mit hijack this in abgesicherte modus arbeiten oder nicht? und müss ich systemweiderherstellung deaktivieren? danke, edo |
Themen zu Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... |
adobe, antispyware, antivir, antivir update, antivirus, askbar, bho, computer, danke, drivers, einstellungen, explorer, file, file missing, help, hijackthis, internet, internet explorer, notebook, problem, programme, rundll, search the web, software, system, temp, trojan, trojaner, windows, windows xp |