Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Klasse Forum!Aber wer von euch kann einem absolutem Leien etwas erklären? (https://www.trojaner-board.de/13324-klasse-forum-euch-absolutem-leien-etwas-erklaeren.html)

unwissender 05.02.2005 16:05

Klasse Forum!Aber wer von euch kann einem absolutem Leien etwas erklären?
 
-Immer wieder kehrende Startseite beim Explorer-

Hallo Forumbesucher!

Ich bin absoluter Leie was Virenbekämpfung angeht, bzw. Trojaner. Jetzt habe ich einen, und bekomme ihn nicht weg. Der Trojaner heisst Trojanische Pferd TR/StartPage.qr.DLL , dies zeig mir mein AntiVir immer wieder an, bei vielen Anwendungen! Jetzt denkt Ihr wahrscheinlich, schon wieder einer mit dem Startseite Trojaner....Ja, ich habe schon mehrfach gesehen das Ihr diesen Trojaner behandelt habt, aber ich komme mit euren Begriffen nicht klar, und dann diese ganzen, ich nenne Sie mal "protokolle", da weiß ich noch nicht mal wo ich diese her bekomme!!! Auf den Kopf gefallen bin ja nun auch nicht, nur bin ich nicht so ein Profi wie Ihr es seid!

Kurz: Immer wenn ich meinen Internet Explorer öffne, bekomme ich eine Suchmachine, mit der Adresse about blank :crazy:
Auch gelegentlich , wenn ich diverse Ordner öffne kommt die Meldung von AntiVir Trojanische Pferd TR/StartPage.qr.DLL
selbst nach anklicken von Löschen der betroffenen Datei, passiert nichts!!!

Könnt Ihr mir helfen?????

Gruß Unwissender

MountainKing 05.02.2005 16:12

Erstelle ein Logfile mit HJT:

http://www.hijackthis.de/forum/showthread.php?t=17

und poste es hier in den Thread.

unwissender 05.02.2005 16:17

Zitat:

Zitat von MountainKing
Erstelle ein Logfile mit HJT:

http://www.hijackthis.de/forum/showthread.php?t=17

und poste es hier in den Thread.


Hey Flott!!!!!

Jetzt fängt das Problem für mich an!
Was bedeutet "Erstelle ein Logfile mit HJT" + "poste es hier in den Thread.[/QUOTE]" ????? Ich bin leider nur ein Amateur! Sorry!

Chris14 05.02.2005 16:17

bitte..
www.hjt.klaffke.de mach das was dort steht. ist sehr einfach und sogar bebildert^^

unwissender 05.02.2005 16:18

I try it...

unwissender 05.02.2005 16:32

muß ich mich da irgenwie registrieren?
Der stellt mir 5 anklickoptionen

Do system scan and save a logfile
Do a system scan only
View the list of backups
Open the Misc tools section

was soll ich machen?
In der Erklärung ersscheint diesses Fenster nicht!

Chris14 05.02.2005 16:33

ach jep die erklärung ist etwas veraltet. klick auf do a system scan only und gehe weiter nach der anleitung vor.

unwissender 05.02.2005 16:48

..hat schon ganz gut funktioniert mit der Auswertung. Jetzt habe ich zweimal Böse und zweimal evt. Böse. Was mache ich jetzt?

Chris14 05.02.2005 16:50

jetzt solltest du das log posten. wie in der anleitung ja bereits beschrieben hast du ja jetzt das log gespeichert. nun musst du das zuvor gespeicherte log öffnen, den ganzen inhalt markieren, kopieren und hier einfügen.

unwissender 05.02.2005 16:52

meitest du das !Moment!

unwissender 05.02.2005 16:54

Logfile of HijackThis v1.99.0
Scan saved at 16:39:22, on 5.2.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\DOKUME~1\HANDBA~1\LOKALE~1\Temp\Rar$EX00.798\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HANDBA~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HANDBA~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C5F9DB24-EA15-4859-874D-25E2DDEDFE41} - C:\WINDOWS\System32\goic.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107377811946
O18 - Filter: text/html - {314C7944-BBBF-4828-B828-D70EC45B4B74} - C:\WINDOWS\System32\goic.dll
O18 - Filter: text/plain - {314C7944-BBBF-4828-B828-D70EC45B4B74} - C:\WINDOWS\System32\goic.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Chris14 05.02.2005 16:56

du hast nur einen startpage drauf so wies aussieht..
also führe das aus:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor (alles ab da abgesicherter modus)

2.einträge löschen
-fixe mit hijackthis diese einträge: (heißt soviel wie: vor den genannten eintrag haken setzen und auf fix it klicken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HANDBA~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HANDBA~1\LOKALE~1\Temp\sp.dll/sp.html
O2 - BHO: (no name) - {C5F9DB24-EA15-4859-874D-25E2DDEDFE41} - C:\WINDOWS\System32\goic.dll
O18 - Filter: text/plain - {314C7944-BBBF-4828-B828-D70EC45B4B74} - C:\WINDOWS\System32\goic.dll
O18 - Filter: text/html - {314C7944-BBBF-4828-B828-D70EC45B4B74} - C:\WINDOWS\System32\goic.dll

3.dateien löschen
-lösche die datei goic.dll im ordner c:\windows\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

unwissender 05.02.2005 17:03

ab wann bin ich im abgesicherten Modus und kann ich mir Escan auch herunterladen ohne es zu kaufen oder beim "try" mich registrieren zu müßen???

Chris14 05.02.2005 17:04

der link, den ich dir gegeben habe, enthält bereits einen downloadlink.

zum abgesicherten modus steht hier http://www.systemwiederherstellung-deaktivieren.de wie man reinkommt.

unwissender 05.02.2005 17:18

escan sucht gerade und hat schon drei sachen gefunden!vorher kam so ein fenster wo etwas mit buy und so drinne stand nd konnte es nur mit ok schließen....bin gespannt was da noch bei rum kommt


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131