Home » Spyware & Browser Hijacker Support Forum » Sehr hartnäckiges Problem mit: StartPa.DU.DLL.1 » Themenansicht

Sehr hartnäckiges Problem mit: StartPa.DU.DLL.1
#0
08.07.2005, 17:06
Roman76
...neu hier

Beiträge: 2
#1 Edit: Jetzt hab' ich auch noch in der falschen Rubrik gepostet. Bitte um Nachsicht *ImErdbodenVersink*

Habe mir offensichtlich heute vormittag ein 'Problem' eingefangen.

Soweit ich es eingrenzen kann, handelt es sich um 'TR/StartPa.DU.DLL.1', das sagt zumindestens AntiVir.

Nachdem ich jetzt 6 Stunden dutzende Forenbeiträge und sonstige Quellen durchstöbert habe, habe ich mir ein halbes dutzend Programme runtergeladen und mal einwenig gebastelt. Manche Probleme habe ich wegbekommen, machen sind noch immer da.

Ursprünglich habe ich im MS Internet Explorer eine neue Startseite gehabt die ich nicht wegbrachte, der Browser arbeitete insgesamt nicht korrekt (manche Seiten und Links wurden nicht korrekt dargestellt) etc.; zumindestens das Suchseitenproblem konnte ich schon entschärfen.

Ich darf vorausschicken, dass ich bis heute vormittag überhaupt keine Ahnung von der Materie hatte. Man möge mir daher bitte den einen oder anderen Fehler verzeihen.

Anbei das Protokoll von HiJackIt. Ich hoffe es kann jemand was damit anfangen. Ich habe aufgrund anderer Trojanerlöschanleitungen im abgesicherten Modus schon reichlich umhergebasteltt, Erklärungen aber bitte nicht allzu technisch :-)

Liebe Grüße
Roman

Logfile of HijackThis v1.99.1
Scan saved at 16:54:42, on 08.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\d3oz32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ahead\Nero BackItUp\NBJ.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\netbr32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {FBC707C2-6736-7AF8-767A-4C9312FD504B} - C:\WINDOWS\system32\mfcxn32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [d3oz32.exe] C:\WINDOWS\system32\d3oz32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Dieser Beitrag wurde am 08.07.2005 um 17:11 Uhr von Roman76 editiert.
Seitenanfang Seitenende
08.07.2005, 21:21
raman
Moderator

Beiträge: 7805
#2 Fix mal das, im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\knnwa.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {FBC707C2-6736-7AF8-767A-4C9312FD504B} - C:\WINDOWS\system32\mfcxn32.dll
O4 - HKLM\..\Run: [d3oz32.exe] C:\WINDOWS\system32\d3oz32.exe

Neu starten und das bitte mal abarbeiten....
http://board.protecus.de/t9373.htm


Teste auch folgende Dateien bei virusscan.jotti.org :

C:\WINDOWS\system32\mfcxn32.dll
C:\WINDOWS\system32\d3oz32.exe

Falls si nicht erkannt weden sollten, schicke sie an die Adresse unten in meinem Posting. Auf jeden fall die Datien loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.07.2005, 15:34
Roman76
...neu hier

Themenstarter

Beiträge: 2
#3 Vielen Dank.
Jetzt hat's geklappt :-)

Im ersten Durchgang habe ich mfcxn32.dll und d3oz32.exe nicht gefixt, da das für mich - als Laien - zu sehr nach echten Windowsdatei klang ...

Roman
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 1