NEIN - TR/StartPage.qr.DLL

snop.snop · 28.07.2005, 01:21

Hallo alle zusammen

Ich hab da echt son kack problem das heisst *TR/StartPage.qr.DLL* und hab absolut keine ahnung wie ich das weg bekomm ? Ich hab mir schon dieses Programm *Hijack This* gesaugt und hab die log file auch aber ich raff einfach net was ihr in den andene beitregen imma gelabert hab. Ihr schreibt die log neue um oda was macht ihr da ? Und wie genau kann ich meine mit Trojaner besetzte wieder ganz machen, wo macht man das ?

Naja ich geh euch ma meien log file von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 02:19:48, on 28.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\nox\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft AntiSpyware helper - {0FD729F9-CDFB-4826-9E8B-DE80CB8A3684} - C:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {0FD729F9-CDFB-4826-9E8B-DE80CB8A3684} - C:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {0FD729F9-CDFB-4826-9E8B-DE80CB8A3684} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {0FD729F9-CDFB-4826-9E8B-DE80CB8A3684} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O16 - DPF: ChatSpace Full Java Client 4.0.0.320 - http://irc.everywherechat.com/Java/cfs40320.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B531F146-94D9-4E6F-8CAF-C782C0E36E5F}: NameServer = 195.50.140.252 145.253.2.75
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ich muss das eiegntlich bis morgen Abend spätestens gefixt haben ;( Und Formatieren will ich nur GANZ ungern, hab erst vor paar wochen gemacht.....

Naja ich hab ja sowieso keine ahnung also halt ich jetzt ma besse die fresse und warte gespannt auf eure Hilfe *BITTTEEEE*

MFG,
snop.snop
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

ladwein · 28.07.2005, 11:23

Du solltest dir das neueste Service Pack installieren: Internet Explorer -> Extras > Windows Update

Am HijackThis Log kann ich nichts finden. Schon mal das System mit einem Virenscanner geprüft?

Bleibt zu erwähnen, dass viele Download-Manager (z.B. FlashGet) solche Pop-Ups einblenden und dafür den Internet Explorer nutzen.

snop.snop · 28.07.2005, 13:07

Em, ja mein Anti-Vir zeigte mir an, das ich diesen Trojaner habe, er aber nicht gelöcht werden kann. Naja auf jedenfall, bin ich dann unter systemsteuerung gegangen undann zu den net opionen und hab mal wieder die www.tonline.de als meien Startseite gemacht und seid dem kommt aber auch keine Virenmeldung mehr.... ?

Hat ich vielleicht ein Fake ? aber wie kommt es dann, das mein AnitVir das angezeigt hat ?

NEIN - TR/StartPage.qr.DLL

Plagegeister aller Art und deren Bekämpfung: NEIN - TR/StartPage.qr.DLL