Home » Viren, Trojaner & Malware Forum » Wieder der Trojaner TR/StartPage.qr.DLL » Themenansicht

Wieder der Trojaner TR/StartPage.qr.DLL
#0
07.03.2005, 17:36
Boeman3
...neu hier

Beiträge: 4
#1 Habe mir vor einigen Tagen einen Trojaner eingefangen, der von AntiVir als "TR/StartPage.qr.DLL" identifiziert wurde und mit der Datei SE.Dll, in welcher er wohl sitzt, mit der Meldung "Die Datei wurde entsprechend der Standardeinstellung verschoben" nicht beseitigt, aber etwas abgemildert wurde. Trotzdem: er müllt mir offensichtlich den Arbeitsspeicher voll (oder reduziert ihn anderweitig beträchtlich), gibt mir an Stelle der Startseite "about:blank" immer die Startseite "Search For", stört bei T-online-eMail, stört beim Internet-Explorer, führt zu regelmäßigen Abstürzen usw.. Können Sie mir helfen? Sollte erwähnen, dass ich zwar reger und erfahrener Nutzer von Textverarbeitung, Grafik, Bildbearbeitung usw. bin, aber keine Ahnung vom "Innenleben" meines PC habe (bin 65 Jahre alt!). Arbeite mit Win98SE.
Schon jetzt herzlichen Dank, falls Sie mir helfen können!
Seitenanfang Seitenende
07.03.2005, 23:33
Rolfs
Member

Beiträge: 239
#2 Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.

Rolfs
Seitenanfang Seitenende
08.03.2005, 10:45
raman
Moderator

Beiträge: 7805
#3 (Seufz) Macht euch doch bitte die Muehe die Boardsuche zu bemuehen, oder wenigstens die Angehefteten Threads in den Foren zu lesen:
http://board.protecus.de/t15867.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.03.2005, 14:34
Boeman3
...neu hier

Themenstarter

Beiträge: 4
#4 Logfile of HijackThis v1.99.1
Scan saved at 14:28:53, on 09.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MULTIMEDIA KEYBOARD\MULTIMEDIA KEYBOARD\1.1\KBDAP32A.EXE
C:\PROGRAMME\BROWSER MOUSE\1.0\MOUSE32A.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STOPITBLOCKITSYSTEMTRAY.EXE
C:\PROGS\QUICKDSK\QUICKDSK.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
D:\CALENDAR CREATOR 4.0\CCSCHED.EXE
C:\PROGRAMME\BEARPAW 4800TA PRO\DRIVER\WATCH.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MEINE SPEZIELLE EDITION\CALCHECK.EXE
C:\PROGRAMME\DT\SINUS 154 STICK\WIFIUSB.EXE
C:\PROGRAMME\NETSHOW SERVICES\TOOLS\REXPROXY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\EIGENE DATEIEN\TROJANER\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.ifindmore.net/index2.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {4961663F-2178-47F8-A489-DED97268F04D} - C:\WINDOWS\SYSTEM\CFHO.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMMOUSE] C:\Programme\Browser mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\SYSTEM\PSDrvCheck.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SystemTraySD] C:\WINDOWS\SYSTEM\StopItBlockItSystemTray.exe
O4 - HKLM\..\Run: [MonitorSD] C:\WINDOWS\SYSTEM\SDMonitor.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKCU\..\Run: [QuickDesk] "C:\Progs\QuickDsk\QuickDsk.exe"
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\RunServices: [QuickDesk] "C:\Progs\QuickDsk\QuickDsk.exe"
O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Ereigniserinnerung.lnk = C:\Programme\Broderbund\PrintMaster\PMREMIND.EXE
O4 - Startup: Calendar Creator Terminplaner.lnk = D:\Calendar Creator 4.0\CCSCHED.EXE
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 4800TA Pro\Driver\WATCH.exe
O4 - Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Startup: Sinus 154 stick.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O4 - Global Startup: NetShow PowerPoint Helper.lnk = C:\Programme\NetShow Services\Tools\nsppthlp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.152/code/PWActiveXImgCtl.CAB
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.lizardtech.com/software/expressview/webinstall/isetup.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253
O18 - Filter: text/html - {280AF334-5BD6-4078-9321-E523E3713F76} - C:\WINDOWS\SYSTEM\CFHO.DLL
O18 - Filter: text/plain - {280AF334-5BD6-4078-9321-E523E3713F76} - C:\WINDOWS\SYSTEM\CFHO.DLL
O19 - User stylesheet: (file missing)
Seitenanfang Seitenende
09.03.2005, 15:00
raman
Moderator

Beiträge: 7805
#5 Damit hast du es schon versucht?
http://www.trojaner-board.de/showthread.php?t=14366&page=3
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.03.2005, 07:53
Boeman3
...neu hier

Themenstarter

Beiträge: 4
#6 Liebe Freunde und Mitleidende!
Diesen Brief habe ich zwar vor wenigen Minuten schone einmal getippt, aber dann ist er irgendwo bei Euch verschwunden.
Also: wenn ich mir die Erfolgsmeldungen und Danksagungen anderer "Patienten" ansehe, komme ich mir doch reichlich blöd vor: ich hab alles getan, wa mir irgendwelche freundlichen Menschen aus dem Cyberspace geraten haben, habe ein riesiges Logfile mit sicher vielen Hinweisen gepostet, bloß mir sagt das Ding definitiv nichts. Kann mir jemand sagen, wie ich weiter verfahren soll? Mein PC wird immer problematischer (ich bin schon froh, wenn ich überhaupt ins Netz komme) und unser "Freund" immer aggressiver!
Schon jetzt einmal Dank für jeden Tipp, in jedem Fall freundliche Grüße und ein schönes Wochenende!
Manfred
Seitenanfang Seitenende
11.03.2005, 08:03
raman
Moderator

Beiträge: 7805
#7 Du hast den "Cleaner" benutzt und es hat keinen Erfolg gebracht?
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.03.2005, 12:21
Boeman3
...neu hier

Themenstarter

Beiträge: 4
#8 Lieber Ralf!!!!!!
Fühl' Dich geknutscht! Ich glaube, das hat geholfen! Und so simpel! Der Computer rödelt im Hintergrund zwar immer noch ein wenig, aber bisher hat alles geklappt, wie ich es gewohnt bin!
Also: ich hoffe, ich muss mich nicht mehr wieder melden. Daher: ganz herzliches "Danke schön!" und ein wunderschönes Wochenende von
Deinem dankbaren Manfred
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1