Immer noch Probleme mit dem TR/StartPage.qr.DLL

#0
05.03.2005, 17:10
...neu hier

Beiträge: 2
#1 Hallo zusammen

Habe das Forum "Hijacklogs mit se.dll/sp.html säubern. TR/StartPage.qr.dll" mit Interesse verfolgt. Auch mich hat der Trojaner TR/StartPage.qr.DLL heimgesucht :-(
Habe sämtliche Tipps von Ralf (an Nadine V) verfolgt alles analog gemacht. Der "Holzhammer" deltree /y C:\WINDOWS\WINZIPY2.INI im Dos (die Datei hatte bei mir einen leicht anderen Namen) hatte funktioniert.

Das Trojaner-Problem habe ich aber weiterhin.
Als Startseite des Internet-Explorer habe ich immer wieder den "about:blank".

Und bei den Programmstarts kommt die Meldung "Fehler beim Laden von C:\Windows\Temp\se.dll.

Die R's, O2 und O18 habe ich mit Hijack schon x-mal gelöscht. Leider tauchen die immer wieder auf.

Logfile of HijackThis v1.99.1
Scan saved at 17:07:17, on 05.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\SWTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\UNZIPPED\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {87F3852F-8D94-11D9-9D09-0006952E7200} - C:\WINDOWS\SYSTEM\LNBH.DLL
O4 - HKLM\..\Run: [AVSched32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: SwTray.lnk = C:\Programme\Microsoft Hardware\Game Controllers\SWTRAY.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O16 - DPF: Internetbank - https://internetbanking1.lukb.ch/default/internetbank.cab
O18 - Filter: text/html - {87F3852E-8D94-11D9-9D09-0006FA62D79B} - C:\WINDOWS\SYSTEM\LNBH.DLL
O18 - Filter: text/plain - {87F3852E-8D94-11D9-9D09-0006FA62D79B} - C:\WINDOWS\SYSTEM\LNBH.DLL

Und das Logfile von StartDreck:

StartDreck (build 2.1.7 public stable) - 2005-03-05 @ 16:52:43 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as .. at C9O9U6

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*AVSched32=C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
*Disc Detector=C:\Programme\Creative\ShareDLL\CtNotify.exe
*InCD=C:\Programme\ahead\InCD\InCD.exe
*AVGCtrl=C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
*EnsoniqMixer=starter.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
+OptionalComponents
+IMAIL
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific

Was kann ich noch versuchen?
Allerbesten Dank für Eure Hilfe.

Flavio
Seitenanfang Seitenende
05.03.2005, 21:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@FlavioC

Auf jeden Fall solltest du sofort mit deiner Bank in Verbindung treten (nicht per Net) denn dieser Trojaner ist ein Keylogger, der saemtliche Tasteneingaben registriert und zu einem Server schickt, wo der Besitzer in aller Ruhe die Passworte und andere Zugangsdaten auswerten und verwenden kann.

Lade dir bitte Startdreck: http://www.niksoft.at/_data/startdreck.zip entpacke es in einen Ordner und starte die startdreck.exe. Gehe auf config druecke "unmark all", hake "Run Keys" an, druecke "ok", druecke Save, speichere Das log und poste den Inhalt bitte hier.

Gehe in die Registry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

Hier findet sich ein Eintrag:

UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\LNBH.DLL

Den Namen dieser *.dll notieren!

Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen!
Danach neustarten und diese *.dll Datei und auch die sp.dll Datei von der Festplatte löschen und erneut neustarten, danach ist das Problem behoben.

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.03.2005, 13:18
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina

Tausendmalsuperdank!
Ich glaub, das Ding ist weg.
(Endlich wieder ruhig schlafen können...)

Ich hab's schlussendlich mit einer Kombination deiner Tipps und denjenigen von Ralf geschafft. Habe die Dateien ...\lnbh.dll und ...se.dll (welcher mit der Virenschutz immer angegeben hat, die ich aber nicht finden konnte) mit dem "Holzhammer" (Textdatei mit deltree /y C:\...) wegbefördert.

Hier noch die Log-Files. Wenn Du die noch kurz checken könntest.

Logfile of HijackThis v1.99.1
Scan saved at 13:13:20, on 06.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\SWTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\UNZIPPED\HIJACKTHIS_199\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

O4 - HKLM\..\Run: [AVSched32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EAPCISetup] C:\AUDIOPCI\sbsetup.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: SwTray.lnk = C:\Programme\Microsoft Hardware\Game Controllers\SWTRAY.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O16 - DPF: Internetbank - https://internetbanking1.lukb.ch/default/internetbank.cab


Und von StartDreck:

StartDreck (build 2.1.7 public stable) - 2005-03-06 @ 13:14:10 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as .. at C9O9U6

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*AVSched32=C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
*Disc Detector=C:\Programme\Creative\ShareDLL\CtNotify.exe
*InCD=C:\Programme\ahead\InCD\InCD.exe
*AVGCtrl=C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
*EnsoniqMixer=starter.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*EAPCISetup=C:\AUDIOPCI\sbsetup.exe
+OptionalComponents
+IMAIL
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific


Beim Online-Scan von Panda ist mein Virenscan ausgeflippt. Ich hab dann den Download abgebrochen...

Nochmals herzlichsten Dank.

Flavio
Seitenanfang Seitenende
06.03.2005, 13:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@FlavioC

Das Log ist sauber ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: