Trojaner-Board - Trojaner TR/Startpage.qr.dll

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/Startpage.qr.dll (https://www.trojaner-board.de/13842-trojaner-tr-startpage-qr-dll.html)

Trojaner TR/Startpage.qr.dll

Hallo Leute,
ich bitte um Eure Mithilfe:
hab mir beim Surfen éinen Trojaner eingefangen. ANTIVIR meldete TR/STARTPAGE.qr.dll, konnte diesen aber nicht entfernen. Immer wenn ich den Internetexplorer öffne, kommt die Warnmeldung. Hab Win 98. Habe mit einem anderen Virenprogramm gecheckt und die angeblich infizierten Dateien entfernt und die betroffene infizierte Zeile in der Reg gelöscht( HKEY_CURRENT_USER\software\microsoft\internetexplorer\toolbar\webbrowser\itbarlayout). Ausserdem kommt beim Hochfahren immer die Meldung: windows\temp\se.dll Datei nicht gefunden,oder so.
Escan funktionierte bei mir nicht (wegen Win 98?), Internet Explorer laesst sich nicht loeschen und der Versuch Win 98 neu zu installieren klappte auch nicht.
Was tun?

Danke fuer Eure Mithilfe!

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

http://www.cosgan.org/images/midi/konfus/g015.gif

So,

jetzt das Highjackthis Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 14:04:23, on 15.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE
C:\PROGRAMME\ONLINECONTROL\OCONTROL.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {D049A123-7E75-11D9-871A-0030FE924848} - C:\WINDOWS\SYSTEM\JAGFDA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O18 - Filter: text/html - {D049A122-7E75-11D9-871A-003091DEEDD3} - C:\WINDOWS\SYSTEM\JAGFDA.DLL
O18 - Filter: text/plain - {D049A122-7E75-11D9-871A-003091DEEDD3} - C:\WINDOWS\SYSTEM\JAGFDA.DLL

Was das alles bedeuten soll, weiss ich nicht. Vielen Dank fuer die angebotene Hilfe. Der von Dir angegebene Link funktionierte allerdings nicht. Es gingen immer andere Seiten automatisch auf (about blank). Wahrscheinlich ist der Virus schuld.
Habe zwischenzeitlich die vom Virenscanner gemeldeten infizierten Dateien im abgesicherten Modus geloescht inkl. der System reg, aber die Meldungen kommen immer wieder, auch mit dem Windows\temp\se.dll file. Manchmal kommt die Meldung Zugriff verweigert, manchmal aber Datei nicht gefunden.

Gruesse

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung

fixe folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
O2 - BHO: (no name) - {D049A123-7E75-11D9-871A-0030FE924848} - C:\WINDOWS\SYSTEM\JAGFDA.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Filter: text/html - {D049A122-7E75-11D9-871A-003091DEEDD3} - C:\WINDOWS\SYSTEM\JAGFDA.DLL
O18 - Filter: text/plain - {D049A122-7E75-11D9-871A-003091DEEDD3} - C:\WINDOWS\SYSTEM\JAGFDA.DLL

Lösche folgende Dateien von Hand:

C:\WINDOWS\TEMP\se.dll/sp.html
C:\WINDOWS\SYSTEM\JAGFDA.DLL
C:\WINDOWS\TEMP\SE.DLL,DllInstall
C:\WINDOWS\web\related.htm

Lasse folgende Datei mal hier http://virusscan.jotti.org/de online scannen. Das Ergebnis 10 Zeilen wieder rein posten
C:\WINDOWS\System\spoolsrv32.exe

neu booten neues HJT

BTW System sollte upgedatet werden da Dein IE veraltert ist

http://www.cosgan.org/images/midi/konfus/c060.gif

Hallo Gigamail,

danke fuer deine Tipps.
Habe soweit alles befolgt, nur noch einige Anmerkungen.
Habe Win 98, konnte die Systemwiederherstellung nicht deaktivieren (Anleitung fuer Win XP).
Habe Highjackthis die Files fixen lassen, konnte aber nur die Datei:
C:\WINDOWS\web\related.htm
loeschen. Die anderen Dateien habe ich nicht gefunden, weder durhc die Suchfunktion noch im Win Explorer. Sind die vielleicht schon von Antivir geloescht worden?
Hier das Ergebnis des Scans (scheint immer noch da zu sein):
Service load: 0% 100%

File: spoolsrv32.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir No viruses found (0.34 seconds taken)
Avast No viruses found (1.50 seconds taken)
AVG Antivirus No viruses found (0.79 seconds taken)
BitDefender No viruses found (1.30 seconds taken)
ClamAV No viruses found (0.76 seconds taken)
Dr.Web Trojan.Promospy (1.50 seconds taken)
F-Prot Antivirus No viruses found (0.11 seconds taken)
Fortinet W32/Nachi.fam (0.75 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Adload.c (1.30 seconds taken)
mks_vir No viruses found (0.33 seconds taken)
NOD32 Win32/TrojanDownloader.Adload.C (0.87 seconds taken)
Norman Virus Control No viruses found (2.13 seconds taken)

Statistics
Last piece of malware found was Win32/TrojanDownloader.Adload.C in spoolsrv32.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.68 seconds
Avast X 3.01 seconds
AVG Antivirus X 1.57 seconds
BitDefender X 1.64 seconds
ClamAV X 1.19 seconds
Dr.Web Trojan.Promospy 1.41 seconds
F-Prot Antivirus X 0.09 seconds
Fortinet W32/Nachi.fam 0.42 seconds
Kaspersky Anti-Virus Trojan-Downloader.Win32.Adload.c 0.99 seconds
mks_vir X 0.25 seconds
NOD32 Win32/TrojanDownloader.Adload.C 0.51 seconds
Norman Virus Control X 0.78 seconds

Die Fehlermeldung Win\temp\se.dll kommt nicht mehr, beim Oeffnen von IE kommt aber about:blank, obwohl eine Startseite eingetragen ist.

Vielleicht bloede Frage, aber was heisst: neues HJT und BTW System

Wenn das Ding immer noch da ist, bin ich geneigt, die Festplatte zu formatieren.
Danke fuer die Infos und die Hilfe.
Warte auf Instruktionen :)

Zitat:

aber was heisst: neues HJT und BTW

HJT=Hijackthis
BTW=by the way=nebenbei bemerkt, übrigens

Zitat:

Die anderen Dateien habe ich nicht gefunden, weder durhc die Suchfunktion noch im Win Explorer.

lese bitte hier für versteckte Datein unter Windows 98
und sehe ob Du Sie dann findest

Zitat:

Habe Win 98, konnte die Systemwiederherstellung nicht deaktivieren

Sorry mein Fehler gab es in 98 noch nicht

Poste ein neues HJT

http://www.cosgan.org/images/midi/konfus/c055.gif

Hallo Gigamail,

vielen Dank fuer die Tipps und die Hilfe!
Hatte aber irgendwie genug, als die ganzen Virenmeldungen wieder losgingen und dann kurzerhand format C: eingetippt.
Jetzt ist alles wieder installiert und funktioniert einwandfrei. Habe auch Internet Explorer 6 installiert, bin mir allerdings nicht sicher, ob SP1 oder SP2.

Nix fuer ungut, aber die Neuinstallation war mir einfach sicherer und auch nicht zu aufwendig.

Gruesse

ok ist sicher die sauberste Lösung hoffentlich hast Du auch sicher aufgesetzt
lese dazu auch nochmal hier

Sichere Browser verwenden steht aber alles in dem Link

http://www.cosgan.net/images/smilie/froehlich/c030.gif

Danke für die Tpps,
wie sieht denn eine Absicherung des Systems bei Windows 98 nach Neuformatierung der Festplatte wegen Virus aus. Wie bei Win Millennium/2000 oder sind noch andere Punkte zu beachten?
Gruß

schau mal hier vielleicht hilft das schon etwas weiter

http://www.cosgan.net/images/smilie/teufel/a020.gif