Probleme mit StartPage.qr.DLL ... der Verzweiflung nah!
 

Hallo liebe Experten vom Trojaner Board.

Ich hoffe, ich habe hier überhaupt an der richtigen Stelle gepostet.... wenn nicht, entschuldigt bitte.....
Wie die meisten hier bin ich eher der, der Hilfe BRAUCHT, anstatt sie zu geben.
Seit geraumer Zeit plagt mich die o.g. Meldung von AntiVir, dass eine bestimmte sp.dll Datei in meinem Temp-Ordner eben eine gewisse StartPage.qr.DLL sein soll.
Ich bin da kein Fachmann und habe die diversesten Virenscanner wie z.B. Spybot S&D, AdAware SE , CWS Shredder, AntiVir, Spysubtract und wie sie alle heissen über meinen PC huschen lassen.... ohne Erfolg... Ich habe auch versucht, mittels Hijackthis entsprechende files zu fixen (?) :) , brachte auch nichts... Ausser, dass mich permanent noch Pop-Ups quälen, die mir erzählen, dass Spyware auf meinem PC sitzt.

Wenn ich darf, setze ich hier mal meine Logfile von Hijackthis hin.
Wenn mir anschliessend jemand sagen kann, wie ich das Problem löse, ohne den PC neuzumachen oder aus dem Fenster zu schmeissen, wäre ich echt froh und dankbar.
Vielen Dank und schöne Grüße vorab...

Der Dirk

Hier die Logfile....(oder scanfile oder was...? )(Wie gesagt, wirklich kein Experte)
Logfile of HijackThis v1.99.0
Scan saved at 19:55:18, on 07.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Exif Launcher\QuickDCF.exe
C:\Virenprogramme\SpySub.exe
C:\Programme\Canon\MultiPASS4\MPDBMgr.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\MY_DOWNLOAD_FILES\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\MY_DOW~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\MY_DOW~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O2 - BHO: (no name) - {ACB3E0B7-7D0C-40B7-99B3-3EEACDF86BFB} - C:\WINNT\mslagent\4b_1,0,1,1_mslagent.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\MY_DOW~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O2 - BHO: (no name) - {FD9EFCB8-4A14-48F0-B6C6-11E4666BF263} - C:\WINNT\system32\hponpc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [ywplxdef] C:\WINNT\System32\ecapfzyt.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\MY_DOWNLOAD_FILES\setup.exe -tipoftheday 1 -type1
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Virenprogramme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe
O4 - Global Startup: SpySubtract.lnk = C:\Virenprogramme\SpySub.exe
O8 - Extra context menu item: Download using Download &Express - file://C:\WINNT\System32\MetaProducts\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\MY_DOW~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemp...veSekurity.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72B1B1CF-B6A7-45C8-A2EE-6C3CD1A62C75}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A658B2-84ED-4FCB-9FD8-3D808219E054}: NameServer = 192.168.121.252,192.168.121.253
O18 - Filter: text/html - {48B8D734-E371-4C4E-9856-0159EBE6A63E} - C:\WINNT\system32\hponpc.dll
O18 - Filter: text/plain - {48B8D734-E371-4C4E-9856-0159EBE6A63E} - C:\WINNT\system32\hponpc.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE

Hallo,

installiere IE 6 SP1.

Lade und scanne anschliessend mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste danach die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hallo,
Problem mit dem Trojaner TR/StartPage.ix TR/StartParge.qr.DLL

ich habe das selbe Problem wie Der Dirk.

Wer kann mir - uns helfen!!!!!!

Gruss Manfred :headbang:

@Manfred Feiel
Eröffne einen neuen Thread und poste dort ein HijackThis-Logfile
->kurze Beschreibung
->ausführliche Beschreibung

Oh Mann,
seid Ihr schnell....

Vielen Dank!!!

Allerdings sagt mir mein Computer, dass ich bereits die aktuellsten Versionen vom Internet-Explorer habe...?

(Und ihc muss zu meiner Schande gestehen, dass ich von dem, was Du danach geschrieben hast , nicht ganz viel verstanden habe:
Soll ich mir noch ein weiteres Programm runterladen und über die Festplatte schicken?!)

Dann sagt er dir was falsches ;)
Die aktuelle Version ist IE6. Cidre hat dir sogar schon den Link rausgesucht.

Genau. Mach bitte das, was in dem Link von Cidre beschrieben ist.

An Haui,

ok, mache ich glatt.
Ich meine auch, dass ich IE6 bereits habe... komisch alles...
Ich installiere also nun IE 6 (neu) (, das ist das, was mir der Computer so sagt.... ) und lasse den eScan im abgesicherten Modus drüber laufen....

Allerdings weiss ich noch nichts mit diesem Rat anzufangen: "Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." ...
Bislang finde ich keinen derartigen Pfad auf meiner Festplatte...

(Ihr könnt ruhig ehrlich sein.... lebe ich doll hinterm Mond?!? :crazy:

Den Ordner c:\bases musst du selbst erstellen und den Inhalt der mwav.exe (die lädst du runter) mit einem Packprogramm in diesen Ordner entpacken.
Nach den Scan wirst du auch eine mwav.log finden.

Ou Mann...
alllsoooo... was für mich schon ein Teilerfolg ist, dass ich mir mwav runtergeldane habe... :-) . Es hat sich selbst entpackt und ich habe ihn im abgesicherten Modus über meinen PC rennen lassen.

Ich habe KEINEN ORDNER ERSTELLT UND NICHTS .... Trotzdem habe ich Folgendes anzubieten:
File C:\WINNT\system32\hponpc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\odbs.log infected by "Trojan.JS.StartPage.x" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\nofmca.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\Mservice.dll infected by "Trojan-Downloader.Win32.Wintrim.cj" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\winsys32xx.zzp infected by "Email-Worm.Win32.Sober.f" Virus. Action Taken: No Action Taken.

Hilft Euch das, mir zu helfen???
Wäre klasse!!! :rolleyes:

Da ich nicht glaube, dass du eScan korrekt ausgeführt hast, poste mal bitte folgendes aus der mwav.log (steht ganz am Ende):
btw: Du musst dich wirklich an die Anleitung halten und die mwav.exe in den Ordner c:\bases entpacken, sonst ist es mehr oder weniger sinnlos....

Also gut... jetzt habe ich einen Ordner auf C: erstellt. Bases...

Das ist das, was ich noch anzubieten hätte.....


Mon Feb 07 21:24:48 2005 => Total Files Scanned: 3715
Mon Feb 07 21:24:48 2005 => Total Virus(es) Found: 6
Mon Feb 07 21:24:48 2005 => Total Disinfected Files: 0
Mon Feb 07 21:24:48 2005 => Total Files Renamed: 0
Mon Feb 07 21:24:48 2005 => Total Deleted Files: 0
Mon Feb 07 21:24:48 2005 => Total Errors: 0
Mon Feb 07 21:24:48 2005 => Time Elapsed: 00:03:34
Mon Feb 07 21:24:48 2005 => Virus Database Date: 2005/02/07
Mon Feb 07 21:24:49 2005 => Virus Database Count: 117359

Mon Feb 07 21:24:49 2005 => Scan Completed.

Da ich nunmehr mwav entpackt habe.... starte ich es mit "mwavscan" aus dem neuen Ordner heraus und ist das dann überhaupt notwendig?
Und dann sehe ich weiter???? Mittlerweile habe ich auch hoffentlich eine die log.Datei gefunden, wird die automatisch anders aussehen nachdem ich nochmal im abgesicherten Modus die Prozedur durchgepfiffen habe? Oder muss ich jetzt schon was beachten.....??

[General]
EngineType=1

[Welchia]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","",""
DeleteFile1=%winsysdir%\wins\svchost.exe
DeleteFile2=%winsysdir%\wins\Dllhost.exe

[LovGate]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","",""
Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","",""
Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","",""
DeleteFile1=%winsysdir%\NetServices.exe
DeleteFile2=%winsysdir%\RAVMOND.EXE
DeleteFile3=%winsysdir%\RAVMOND.EXE
DeleteFile4=%winsysdir%\WinGate.exe
DeleteFile5=%winsysdir%\WinDriver.exe
DeleteFile6=%winsysdir%\WinHelp.exe
DeleteFile7=%winsysdir%\winrpc.exe
DeleteFile8=%winsysdir%\ily.dll
DeleteFile9=%winsysdir%\task.dll
DeleteFile10=%winsysdir%\reg.dll
DeleteFile11=%winsysdir%\1.dll
DeleteFile12=%winsysdir%\win32vxd.dll
DeleteFile13=%winsysdir%\kernel66.dll
DeleteFile14=%winsysdir%\kernel66.dll
DeleteFile15=%winsysdir%\iky668.dll
DeleteFile16=%winsysdir%\reg678.dll
DeleteFile17=%winsysdir%\task688.dll
DeleteFile18=%winsysdir%\111.dll

[CodeRed]
DeleteFile1=%inetpub%\scripts\root.exe
DeleteFile2=%PF%\common~1\system\MSADC\root.exe
DeleteFile3=%SYSTEMDIR%explorer.exe
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D

[OpaServ]
DeleteFile1=%SYSTEMDIR%\Tmp.ini
; this is Opaserv.M
DeleteFile2=%SYSTEMDIR%\MSLICENF.COM
DeleteFile3=%SYSTEMDIR%\BOOT.EXE
BAT1=Autoexec.bat,MSLICENF
BAT2=Autoexec.bat,BOOT.EXE

[Sobig.e]
DeleteFile1=%winsysdir%\cgtask.exe
DeleteFile2=%winsysdir%\mmtask.exe

[Winupie]
DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll

[Swen]
DeleteFile1=%winsysdir%\SWEN*.DAT

[JS.Fortnight]
DeleteFile1=%PF%\sign.htm
DeleteFile2=%PF%\sign.html

[Novarg]
DeleteFile1=%winsysdir%\shimgapi.dll

[Pagabot]
Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"",""

[Parite.b]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"",""

[Parite.a]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"",""

Ich wusste nicht, dass es SO schwierig wird..... (für mich jedenfalls....)

Du hast eScan, wie von mir vermutet, falsch ausgeführt. Scanne erneut im abgesicherten Modus und halte dich diesmal genau an die Anleitung ("all local drives" muss aktiviert sein!).
Mach einfach alles wie beschrieben (entpacken->updaten->abges. Modus->scannen)

Ok, mache ich, aber morgen... *gähn*

Nur, welches update fahre ich? "KAVUpd" oder "esupdate" ?

Vielen Dank soweit und eine angenehme Nachtruhe....

Dirk

Die Anleitung ist zum lesen da ;)

Hallo Haui, hallo Cidre.....

ich habe nun escan nochmal drüberlaufen lassen... allerdings mit denselben Meldungen wie gestern auch.....

Zum einen hier die direkte
Virus Log Information
File C:\WINNT\system32\hponpc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\odbs.log infected by "Trojan.JS.StartPage.x" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\nofmca.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\Mservice.dll infected by "Trojan-Downloader.Win32.Wintrim.cj" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\winsys32xx.zzp infected by "Email-Worm.Win32.Sober.f" Virus. Action Taken: No Action Taken.


Das, was ich über den Weg eingegeben hatte C:\bases .... suchen... infected... ist identisch....

Was mache ich denn nur falsch?!?
Zuerst habe ich das KAVUpdate laufen lassen... jetzt habe ich einen zusätzlichen Ordner "Downloads" auf meiner festplatte, in welcher offenbar die Virendefinitionen gelandet sind,....... :headbang:

Nochmal: Probleme mit StartPage.qr.DLL ... der Verzweiflung nah!
 

Hallo Zusammen....

ich habe nun im abgesicherten Modus nacheinander alle geschütze aufgefahren, die ich hatte und dann zu guter Letzt alles, was escan herausschrieb manuell gelöscht.
Das war

File C:\WINNT\system32\hponpc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\WINNT\odbs.log infected by "Trojan.JS.StartPage.x" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\nofmca.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\Mservice.dll infected by "Trojan-Downloader.Win32.Wintrim.cj" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\winsys32xx.zzp infected by "Email-Worm.Win32.Sober.f" Virus. Action Taken: No Action Taken.

Diesen Eintrag habe ich nicht gelöscht:
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Ich bzw. mein PC hat momentan keine Symptome mehr... bin ich geheilt??? :huepp: :huepp: :huepp:
Das wäre ein Traum.....


Könnt Ihr Euch zur Sicherheit nochmal was anschauen?
Mein HiJackThis - Log sieht nun so aus:

Logfile of HijackThis v1.99.0
Scan saved at 19:50:24, on 09.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Exif Launcher\QuickDCF.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Canon\MultiPASS4\MPDBMgr.exe
C:\MY_DOWNLOAD_FILES\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe
O8 - Extra context menu item: Download using Download &Express - file://C:\WINNT\System32\MetaProducts\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\MY_DOW~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemp...veSekurity.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72B1B1CF-B6A7-45C8-A2EE-6C3CD1A62C75}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A658B2-84ED-4FCB-9FD8-3D808219E054}: NameServer = 192.168.121.252,192.168.121.253
O18 - Filter: text/html - {D7DF9F32-C6AA-4E41-8F07-29EB28E3E10E} - C:\WINNT\system32\hponpc.dll
O18 - Filter: text/plain - {D7DF9F32-C6AA-4E41-8F07-29EB28E3E10E} - C:\WINNT\system32\hponpc.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE

Vielen Dank und alles, alles Gute,
ich empfehle Euch weiter!!!

Diese Einträge solltest du noch fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\MY_DOW~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O18 - Filter: text/html - {D7DF9F32-C6AA-4E41-8F07-29EB28E3E10E} - C:\WINNT\system32\hponpc.dll
O18 - Filter: text/plain - {D7DF9F32-C6AA-4E41-8F07-29EB28E3E10E} - C:\WINNT\system32\hponpc.dll

Diese Dateien, falls noch nicht geschehen, löschen:

C:\WINNT\system32\hponpc.dll
C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\sp.dll

Danach dies ausführen:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Vielen, vielen Dank,

wenn Ihr mir jetzt noch erklären könnt, was mit "fixen" gemeint ist....
Stelle ich den Wert, der eigentlich dort stehen sollte, irgendwo ein, so wie im Regedit oder was muss ich machen....?

Und was bedeutret "sicher konfigurieren" für den IE?!?

Und warum ist immer noch diese blöde sp.dll auf meinem Rechner ???
(Wahrscheinlich, weil ich nicht Eure Ratschläge genau befolgen konnte.... egal, wenn ich diese letzten Punkte noch hinkriegen sollte, also das fixen usw. , bin ich schon zufrieden,......)

Danke nochmals

Dirk

@Dirk

"fixen" heisst... die in deinem angezeigten HJT-logfile angezeigten Registry-Einträge "anhaken" und mit dem Button "fixedchecked" zu
entfernen...

lg


Tom59

Hallo ich bin es nochmal.....

Nachdem ich ungefähr einen bis zwei Sorgenfreie Tage mit meinem PC hatte, hat sich jetzt eine andere Seuche auf meinem PC nieder gelassen...

Nachdem es zuerst eine SP.DLL Datei war, zeigt mir mein PC an, dass eine SE.:.DLL nun meinen PC befallen hat
Die Symptome sind altbekannt. Die Starteeite ändert sich in "about:blank" und dargestellt wird dann eine "Search for:" Seite, in der ich Viagra kaufen und Baseballwetten abschliessen kann.
Der Clou allerdings ist, dass der PC diese SE.DLL Datei nicht finden kann, ...denn es kommt anschliessend (nachdem ich AntiVir bitte, die Datei zu löschen) eine Meldung, dass "das angegebene Modul nicht gefunden " werden kann......

Ich darf nochmal meine HJT-Log posten?!?

Vielen Dank!!!

Logfile of HijackThis v1.99.0
Scan saved at 12:02:52, on 12.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Exif Launcher\QuickDCF.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\MY_DOWNLOAD_FILES\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRKKE~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B9883EFA-36BF-4B29-B7EC-32BDCC38A760} - C:\WINNT\system32\kelf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe
O8 - Extra context menu item: Download using Download &Express - file://C:\WINNT\System32\MetaProducts\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemp...veSekurity.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72B1B1CF-B6A7-45C8-A2EE-6C3CD1A62C75}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A658B2-84ED-4FCB-9FD8-3D808219E054}: NameServer = 192.168.121.252,192.168.121.253
O18 - Filter: text/html - {2A5865DD-F856-4CCF-B482-E4A571ECEA1D} - C:\WINNT\system32\kelf.dll
O18 - Filter: text/plain - {2A5865DD-F856-4CCF-B482-E4A571ECEA1D} - C:\WINNT\system32\kelf.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE

Hallo Der Dirk,

vermutlich hast Du Dir nach zwei Tagen einen neuen Browser-Hijacker eingefangen. Du solltest Dir nach der Bereinigung (s. unten) mal Gedanken machen, ob es nicht Zeit ist, den Browser zu wechseln. Firefox, Mozialla und Opera sind gegenüber solchen 'Angriffen' nahezu immun...

Bitte fixe im abgesicherten Modus mit HijackThis folgendes:
Lösche anschließend diese Dateien manuell:
Poste danach ein neues Log aus dem normalen Modus zur Kontrolle.

Hallo Lutz....

Ich habe gemacht, was Du mir geschrieben hast.
Die Symptome scheinen erstmal weg zu sein..... Jedenfalls hat sich meine Startseite nicht mehr verschoben und Virenwarnungen bekomme ich auch keine....

Anbei noch ein abschliessendes HJT-Log...
Vielen Dank für die Hilfe

Dirk

Logfile of HijackThis v1.99.0
Scan saved at 17:13:10, on 14.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Exif Launcher\QuickDCF.exe
C:\MY_DOWNLOAD_FILES\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe
O8 - Extra context menu item: Download using Download &Express - file://C:\WINNT\System32\MetaProducts\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72B1B1CF-B6A7-45C8-A2EE-6C3CD1A62C75}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A658B2-84ED-4FCB-9FD8-3D808219E054}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE

Aaaaaaaaaah........immernoch der Verzweiflung nah...
 

Hallo,

ich bin heute nur mit Firefox und Opera gesurft (ich finde Firefox besser).
IE habe ich ausser Acht gelassen, aber immer mal geschaut, ob die Startseite verschoben ist, mit rechtsklick und "eigenschaften". Alles war prima.
Als ich dann den Firefox Browser schloss und eine Musikdatei (und das war absolut nicht die erste heute!!!) anklickte, meldete sich plötzlich wie aus dem Nichts wieder mein Problem!!! SE.DLL ist ein trojanisches Pferd..... und dann der Runtime Error, dass Se.DLL nicht gefunden werden kann.... (übrigens auch nicht im abgesicherten Modus.... ) .
Die Startseite im IE ist nun auch wieder verschoben... :headbang:

Hi Leutz.

Habe leider auch den Trojaner TR/StartParge.qr.DLL :pfui:

Diese Dateien sind laut eScan infiziert. Was soll ich dagegen machen?


Sun Feb 20 18:23:29 2005 => File C:\WINDOWS\System32\win.hta infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken.

Sun Feb 20 18:23:33 2005 => File C:\WINDOWS\System32\46hikplkab.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Sun Feb 20 18:26:48 2005 => File C:\DOKUME~1\Phil\LOKALE~1\TEMPOR~1\Content.IE5\TOON5LSH\ysb_prompt[1].php infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.


Sun Feb 20 18:27:20 2005 => File C:\DOKUME~1\Phil\LOKALE~1\TEMPOR~1\Content.IE5\EXBSP87I\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Sun Feb 20 18:27:20 2005 => File C:\DOKUME~1\Phil\LOKALE~1\TEMPOR~1\Content.IE5\EXBSP87I\0006_regular[1].cab infected by "Trojan-Downloader.Win32.IstBar.gu" Virus. Action Taken: No Action Taken.

Sun Feb 20 18:29:36 2005 => File C:\Downloads\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.


Und noch ne Frage nebenbei, für den Noobie: Warum im abgesicherten Modus alles löschen? Bleiben die Dateien nicht auch im normalen Modus gelöscht?

Dankö!

Philly19 ;)