TR/Startpage.qr.dll entfernen unter Win XP
 

Hi ihr..

Hab mir heute den oben genannten Trojaner eingefangen.. nach kläglich gescheiterten versuchen mit highjackthis war dieses blöde ding immer noch.. ich hab ihn so weg bekommen:

1. Systemwiederherstellung unter Win XP gestartet ( programme/zubehör/systemprogramme/systemwiederherstellung)

2. System auf 2 Tage vorher zurück gestellt.

3. Antivir Update download gestartet und installiert

4. Antivir hat TR/Startpage.qr.dll gelöscht..

Die probleme mit der Startseite hatte ich allerdings schon nach der Systemwiederherstellung nicht mehr..

vielleicht klappt das ja bei euch auch..

Mfg tribby :party:

Hallo,

mit Hilfe der Boardsuche wärst Du hier gelandet:

http://www.trojaner-board.de/showpos...9&postcount=54

Poste nach der Anwendung ein Hijackthis-Logfile.

dartus

wieso hab ich was falschgemacht ??

Logfile of HijackThis v1.99.1
Scan saved at 20:19:58, on 18.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
K:\Daemon Tool\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\j2re1.4.2_06\bin\jucheck.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
K:\half life 2\steam.exe
C:\Programme\HotKey\HotKey.exe
C:\Programme\Winamp\winamp.exe
C:\DOKUME~1\KINGOF~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\King of the Kiez\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "K:\Daemon Tool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "k:\half life 2\steam.exe" -silent
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: HotKey Driver.lnk = C:\Programme\HotKey\HotKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE



Ich dachte er wäre weg.. weil meine startseite wieder die alte ist.. hab mich wohl geirrt.. und mit dem BETA 8 geht das weg ??

Nein, klick auf den Link und lade den Cleaner.
Zur Kontrolle noch das Logfile. :)

dartus

log ist da

Hallo,

downloade Dir lspfix . WICHTIG!!
und spybotS&D
installieren und updaten.

Deinstalliere über Systemsteuerung --> Software "Newdotnet" oder ähnliche Software und siehe Haui's Hinweis

Wechsel in den abgesicherten Modus bei deaktivieter Systemwiederherstellung:
http://www.systemwiederherstellung-d...indows-xp.html
und fixe folgende Einträge:

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Folgende Ordner löschen:

C:\Programme\NewDotNet
C:\Programme\MSN Apps

Starte spybot und lösche alle Funde.

Neustart --> Systemwiederherstellung aktivieren

Falls Du nun Probleme hast ins Internet zu kommen, starte Lspfix und repariere Deine Winsocks. Remove alle New.Net Einträge.

dartus

Bitte die MSN Toolbar auch über Systemsteuerung-> Software deinstallieren.

Thx Haui,

wollte gerade editieren.

dartus