Trojaner-Board - TR/Startpage.qr.DLL einfach nicht wegzubekommen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Startpage.qr.DLL einfach nicht wegzubekommen (https://www.trojaner-board.de/15660-tr-startpage-qr-dll-einfach-wegzubekommen.html)

Bei dir fällt mir wirklich nur noch eins ein:
http://www.mainzelahr.de/smile/schilder/feedtroll.gif

@ Serenity

Dein Logfile sieht auf jedenfall schon mal besser aus(aber es ist immer noch nicht upgedatet) als am Anfang.
Scanne dein System jetzt mit eScan. (Haken setzen bei All Local drives un All Scan Files)
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

ha ha bin doch nochmal wiedergekommen
habe hijack this runtergeladen
(im offlinmodus ) durchgeführt
alles mir unbekannte gelöscht
neu gestartet und ich glaub ich bin geheilt
es kamm auf jeden fall keine info mit datei dll konnte nicht gefunden werden

[QUOTE=Gigamail]@ Serenity

Dein Logfile sieht auf jedenfall schon mal besser aus(aber es ist immer noch nicht upgedatet) als am Anfang.

was heißt noch immer nicht upgedatet????

Wie kann ich denn das machen???

Lg Serenity :crazy:

@ serenity

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

das heisst Du solltest ein Windowsupdate auf SP 2 machen um Sicherheitslöscher in deinem system zu schliessen Windowsupdate auf SP 2

Aso.... das.... *schäm*

Hab i gestan so oft probiert, hat aba nie funktioniert, da sind immer Fehlermeldungen gekommen... werds heut wieder probieren!!!

Danke!

Du kannst auch die SP 2-CD direkt bei Microsoft bestellen (ist kostenlos) dauert aber ca. 1 Woche SP 2 bestellung

P.S. eScann nicht vergessen und Ergebnisse mitteilen

Hab mir scho di CD bestellt! Danke für den Hinweis... online hat das net hinghaut.. mei verbindung is immer wieder zurückgesetzt worden!

Danke nochmals!

Lade gerade escan herunter... und werde die Anweisungen befolgen!

Lg Serenity

Hi gigamail
hab den tr startpage gebannt
kannst du mir eine frage beantworten?

spyboot hat auch nichts gefunden aber eine meldung
xuron 55 installdollar
was bedeutet sie ?

Hallo kann mir einer helfen?

@tommi74

Bitte mache wie schon mehrfach gefordert, einen eigenen Beitrag auf und poste nicht quer durch 'alle' vorhandenen Beiträge. Dann wird Dir auch geholfen!

Hi!

Also die Malwareüberprüfung hat folgendes ergeben:

wsxsvc.exe 65536 Bytes
Unsere Antwort: Adware.DelphinMediaViewer.c Bearbeitung abgeschlossen

ciadmin9.exe 90112 Bytes
Unsere Antwort: Adware.Urlspy.a Bearbeitung abgeschlossen

userinit.exe 22528 Bytes
Unsere Antwort: windows systemdatei Bearbeitung abgeschlossen

ScnPanel.exe 1748992 Bytes
Unsere Antwort: scannertreiber Bearbeitung abgeschlossen

adptif81.exe 32768 Bytes
Unsere Antwort: Adware.iedriver.a Bearbeitung abgeschlossen

HOffe, dass hilft euch weiter

hast Du den eScan wie beschrieben schon ausgeführt? Wenn nicht noch machen und Ergebnisse mitteilen.
Poste auch noch ein aktuelles HJT

So, dass hat der escan ergeben:

[General]
EngineType=1

[Welchia]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","",""
DeleteFile1=%winsysdir%\wins\svchost.exe
DeleteFile2=%winsysdir%\wins\Dllhost.exe

[LovGate]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","",""
Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","",""
Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","",""
DeleteFile1=%winsysdir%\NetServices.exe
DeleteFile2=%winsysdir%\RAVMOND.EXE
DeleteFile3=%winsysdir%\RAVMOND.EXE
DeleteFile4=%winsysdir%\WinGate.exe
DeleteFile5=%winsysdir%\WinDriver.exe
DeleteFile6=%winsysdir%\WinHelp.exe
DeleteFile7=%winsysdir%\winrpc.exe
DeleteFile8=%winsysdir%\ily.dll
DeleteFile9=%winsysdir%\task.dll
DeleteFile10=%winsysdir%\reg.dll
DeleteFile11=%winsysdir%\1.dll
DeleteFile12=%winsysdir%\win32vxd.dll
DeleteFile13=%winsysdir%\kernel66.dll
DeleteFile14=%winsysdir%\kernel66.dll
DeleteFile15=%winsysdir%\iky668.dll
DeleteFile16=%winsysdir%\reg678.dll
DeleteFile17=%winsysdir%\task688.dll
DeleteFile18=%winsysdir%\111.dll

[CodeRed]
DeleteFile1=%inetpub%\scripts\root.exe
DeleteFile2=%PF%\common~1\system\MSADC\root.exe
DeleteFile3=%SYSTEMDIR%explorer.exe
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D

[OpaServ]
DeleteFile1=%SYSTEMDIR%\Tmp.ini
; this is Opaserv.M
DeleteFile2=%SYSTEMDIR%\MSLICENF.COM
DeleteFile3=%SYSTEMDIR%\BOOT.EXE
BAT1=Autoexec.bat,MSLICENF
BAT2=Autoexec.bat,BOOT.EXE

[Sobig.e]
DeleteFile1=%winsysdir%\cgtask.exe
DeleteFile2=%winsysdir%\mmtask.exe

[Winupie]
DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll

[Swen]
DeleteFile1=%winsysdir%\SWEN*.DAT

[JS.Fortnight]
DeleteFile1=%PF%\sign.htm
DeleteFile2=%PF%\sign.html

[Novarg]
DeleteFile1=%winsysdir%\shimgapi.dll

[Pagabot]
Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"",""

[Parite.b]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"",""

[Parite.a]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"",""

Total Virus(es) Found: 20

Mach noch schnell HJT:

Logfile of HijackThis v1.98.0
Scan saved at 16:05:13, on 23.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\WinZip\WZQKPICK.EXE
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe
C:\Dokumente und Einstellungen\Verena\Eigene Dateien\Unzipped\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: CleanInet.cmd
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O4 - Global Startup: updater.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2660BA9-8A5D-4BBA-96D5-3074743A3E0D}: NameServer = 195.3.96.68 213.33.98.136

So!

Bin schon gespannt auf deine Meinung!

Hab noch eine Frage:

Ich bin jetzt im normalen Modus... habe escan im abgesichterten Modus gemacht!
Wenn ich vom abges. in den normalen Modus wechsle, kommt immer eien Meldung:

"Sie haben das Systemkonfiguartionsprogramm (SP) verwendet, um einige Änderungen an den Windows-Startoptionen vorzunehmen. Das Sp befindet sich derzeit im Diagnose-Modus oder im Modus für den benutzerdefinierten Systemstart. Daher wird diese Meldung angezeigt und dieses Programm bei jedem Windows-Systemstart ausgeführt.
Wählen Sie den normalen Systemstart auf der Registerkarte "Allgemein", um Windows normal zu starten und sämtliche Änderungen, die unter Verwendung des SP durchgeführt wurden, rückgägnig zu machen."

Was soll ich denn damit machen???