Immer noch Probleme mit dem TR/StartPage.qr.DLL |
||
---|---|---|
#0
| ||
05.03.2005, 17:10
...neu hier
Beiträge: 2 |
||
|
||
05.03.2005, 21:48
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@FlavioC
Auf jeden Fall solltest du sofort mit deiner Bank in Verbindung treten (nicht per Net) denn dieser Trojaner ist ein Keylogger, der saemtliche Tasteneingaben registriert und zu einem Server schickt, wo der Besitzer in aller Ruhe die Passworte und andere Zugangsdaten auswerten und verwenden kann. Lade dir bitte Startdreck: http://www.niksoft.at/_data/startdreck.zip entpacke es in einen Ordner und starte die startdreck.exe. Gehe auf config druecke "unmark all", hake "Run Keys" an, druecke "ok", druecke Save, speichere Das log und poste den Inhalt bitte hier. Gehe in die Registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall Hier findet sich ein Eintrag: UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\LNBH.DLL Den Namen dieser *.dll notieren! Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen! Danach neustarten und diese *.dll Datei und auch die sp.dll Datei von der Festplatte löschen und erneut neustarten, danach ist das Problem behoben. •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.03.2005, 13:18
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo Sabina
Tausendmalsuperdank! Ich glaub, das Ding ist weg. (Endlich wieder ruhig schlafen können...) Ich hab's schlussendlich mit einer Kombination deiner Tipps und denjenigen von Ralf geschafft. Habe die Dateien ...\lnbh.dll und ...se.dll (welcher mit der Virenschutz immer angegeben hat, die ich aber nicht finden konnte) mit dem "Holzhammer" (Textdatei mit deltree /y C:\...) wegbefördert. Hier noch die Log-Files. Wenn Du die noch kurz checken könntest. Logfile of HijackThis v1.99.1 Scan saved at 13:13:20, on 06.03.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\SWTRAY.EXE C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\UNZIPPED\HIJACKTHIS_199\HIJACKTHIS.EXE C:\WINDOWS\NOTEPAD.EXE O4 - HKLM\..\Run: [AVSched32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EAPCISetup] C:\AUDIOPCI\sbsetup.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - Startup: SwTray.lnk = C:\Programme\Microsoft Hardware\Game Controllers\SWTRAY.EXE O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O16 - DPF: Internetbank - https://internetbanking1.lukb.ch/default/internetbank.cab Und von StartDreck: StartDreck (build 2.1.7 public stable) - 2005-03-06 @ 13:14:10 (GMT +01:00) Platform: Windows 98 SE (Win 4.10.2222 A) Internet Explorer: 6.0.2800.1106 Logged in as .. at C9O9U6 »Registry »Run Keys »Current User »Run »RunOnce »Default User »Run »RunOnce »Local Machine »Run *AVSched32=C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min *Disc Detector=C:\Programme\Creative\ShareDLL\CtNotify.exe *InCD=C:\Programme\ahead\InCD\InCD.exe *AVGCtrl=C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min *EnsoniqMixer=starter.exe *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *EAPCISetup=C:\AUDIOPCI\sbsetup.exe +OptionalComponents +IMAIL *Installed=1 +MAPI *NoChange=1 *Installed=1 +MAPI *NoChange=1 *Installed=1 »RunOnce »RunServices *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme »RunServicesOnce »RunOnceEx »RunServicesOnceEx »Files »System/Drivers »Application specific Beim Online-Scan von Panda ist mein Virenscan ausgeflippt. Ich hab dann den Download abgebrochen... Nochmals herzlichsten Dank. Flavio |
|
|
||
06.03.2005, 13:48
Ehrenmitglied
Beiträge: 29434 |
||
|
||
Habe das Forum "Hijacklogs mit se.dll/sp.html säubern. TR/StartPage.qr.dll" mit Interesse verfolgt. Auch mich hat der Trojaner TR/StartPage.qr.DLL heimgesucht :-(
Habe sämtliche Tipps von Ralf (an Nadine V) verfolgt alles analog gemacht. Der "Holzhammer" deltree /y C:\WINDOWS\WINZIPY2.INI im Dos (die Datei hatte bei mir einen leicht anderen Namen) hatte funktioniert.
Das Trojaner-Problem habe ich aber weiterhin.
Als Startseite des Internet-Explorer habe ich immer wieder den "about:blank".
Und bei den Programmstarts kommt die Meldung "Fehler beim Laden von C:\Windows\Temp\se.dll.
Die R's, O2 und O18 habe ich mit Hijack schon x-mal gelöscht. Leider tauchen die immer wieder auf.
Logfile of HijackThis v1.99.1
Scan saved at 17:07:17, on 05.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\SWTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\UNZIPPED\HIJACKTHIS_199\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {87F3852F-8D94-11D9-9D09-0006952E7200} - C:\WINDOWS\SYSTEM\LNBH.DLL
O4 - HKLM\..\Run: [AVSched32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: SwTray.lnk = C:\Programme\Microsoft Hardware\Game Controllers\SWTRAY.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O16 - DPF: Internetbank - https://internetbanking1.lukb.ch/default/internetbank.cab
O18 - Filter: text/html - {87F3852E-8D94-11D9-9D09-0006FA62D79B} - C:\WINDOWS\SYSTEM\LNBH.DLL
O18 - Filter: text/plain - {87F3852E-8D94-11D9-9D09-0006FA62D79B} - C:\WINDOWS\SYSTEM\LNBH.DLL
Und das Logfile von StartDreck:
StartDreck (build 2.1.7 public stable) - 2005-03-05 @ 16:52:43 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as .. at C9O9U6
»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*AVSched32=C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
*Disc Detector=C:\Programme\Creative\ShareDLL\CtNotify.exe
*InCD=C:\Programme\ahead\InCD\InCD.exe
*AVGCtrl=C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
*EnsoniqMixer=starter.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
+OptionalComponents
+IMAIL
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific
Was kann ich noch versuchen?
Allerbesten Dank für Eure Hilfe.
Flavio