Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 06.04.2005, 16:05   #1
edo
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



hallo... hierunter ein computer problem auf english. ich hoffe dass ist kein problem. auf jeden fall, ihr koennt ruhig auf deutsch antworten. danke im voraus! edo

hello,

my girlfriends computer has big problems and we really dont know how to solve it. the antivir program recognises the following trojan horses:

"TR/StartPage.qr.DLL"
"TR/Delprot.A"
"TR/Dldr.leser.A"

however, antivir is not able to remove them, since they happen to be locked or so. restarting windows does not help either. antivir keeps reminding you of these trojans every time you try to open a file or start a program, which is quite annoying.

i tried an updated version of spybot. it found the following:

"effective band toolbar"

however, spybot seems not to be able to remove it, since it keeps finding it after reloading windows.

also, there's an annoying search bar in the right corner of the screen. what is this? is says: "search the web"

and the internet explorer is probably hijacked. it opens in a search site. i tried CWShredder but the file it found (called "CWShidden.Dll") cannot be removed (it returns after restarting windows)

can anyone please take a look at the hijack-logfile (below) and tell me what to do? that would be great. would starting windows in the safe mode and then running a antivirus program help? or is that risky? i do not know much about computer, and neither does my girlfriend, so the more instructions the better! thanks in advance!

edo

ps: i hope i copypasted the logfile in the right way! please let me know if not and i'll try something else.

Logfile of HijackThis v1.99.1
Scan saved at 5:03:20 PM, on 4/5/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\isrvs\desktop.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: (no name) - {955BCA3B-4499-4AEB-B57B-8C75366E5DDA} - C:\WINDOWS\System32\ghli.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O18 - Filter: text/html - {04BB0F7E-0A38-485A-A336-3E65E0C59E57} - C:\WINDOWS\System32\ghli.dll
O18 - Filter: text/plain - {04BB0F7E-0A38-485A-A336-3E65E0C59E57} - C:\WINDOWS\System32\ghli.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing)

Alt 06.04.2005, 16:37   #2
Gigamail
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



Hi,

führe das Tool hier aus und poste ein neues HJT
__________________

__________________

Alt 07.04.2005, 10:03   #3
edo
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



hmm... ich habe das tool ausgefuehrt, aber jetzt oeffnet mein internet explorer nicht mehr und kann ich also der neuen HijackThis logfile nicht posten. habe ich was falsch gemacht? wie kann ich dafuer sorgen das internet explorer wieder funktioniert?

danke im voraus,
edo
__________________

Alt 07.04.2005, 10:21   #4
edo
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



ich habe es via msn doch geschafft online zu kommen. also hier den neuen logfile. hoffentlich hilft es! danke im voraus!


Logfile of HijackThis v1.99.1
Scan saved at 10:26:01 AM, on 4/7/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing)

Alt 08.04.2005, 10:37   #5
edo
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



hi gigamail,

ich glaube dein tool hat geholfen. kaspersky anti virus hat gestern keine viren mehr gefunden, und auch cwshredder hat nichts mehr gefunden.

das einzige ist dass internet explorer jetzt nicht mehr funktioniert. wie kann das sein und was kann ich tun?

und wie bin ich eigentlich ueberhaupt sicher ob der computer viren- und trojanerfrei ist? kannst du vielleicht den letzten logfile noch mal durchschauen?

danke!
edo


Alt 08.04.2005, 16:33   #6
Lutz
 

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



Hi edo,

1.) Bitte poste einmal das Logfile des Cleaners
2.) Mache einen Scan mit Kaspersky AV über den kompletten Rechner, im abgesicherten Modus und teile uns evtl. Virenfunde mit.
3.) Wegen des IE kannst Du die Wiederherstellung über Software -> InternetExplorer -> Reparieren versuchen...
__________________
--> Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...

Alt 08.04.2005, 16:48   #7
edo
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



internet explorer funktioniert wieder. danke!

hm, eigentlich hat der cleaner (SpSeHjix112) nur den computer neu gestartet. es wurden dann keine weitere schritte ausgefuehrt. und ich weiss also nicht welche "logfile des cleaners" du meinst... wo und wie kann ich das finden? oder habe ich irgenwas falsch gemacht?

Alt 08.04.2005, 18:15   #8
Lutz
 

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



Wenn der Cleaner ein Reebot erzwungen hat, hat er auch etwas zum cleanen gefunden...

In dem Verzeichnis, wo du den Cleaner abgelegt hast, sollte es auch eine Datei namens SPSeHjFix.log geben. Das ist die Log-Datei, welche während der Bereinigung erstellt wurde.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 09.04.2005, 11:13   #9
edo
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



es ist komisch. der antivirus scan hat keine viren gefunden. aber von dem antivirus monitor kam gestern und heute eine meldung das es in dem ordner System Volume Information ein virus gibt. die meldung war:

System Volume Information\_restore{..........}\RP150\A0034019.exe
is the virus: Trojan.win32.Delprot.a

vor drei tage hatte der computer dieser virus auch. aber ich dachte es war gelöscht weil kaspersky hat es nicht mehr gefunden. jetzt taucht es wieder auf, aber auf einem völlig anderen location (naemlich in system volume inf.). das ist komisch. es ist auch komisch das kaspersky es nicht findet bei dem normalen scan (sowohl in abgesichteren als auch in normalen modus). aber der virusmonitor findet es. ich kann system volume information nicht scannen glaube ich. was ist los? was kann ich tun?

und ich habe den logfile von SPSeHjFix - Editor gefunden. Ich musste es zwei mal ausfuehren, also kommt der log zwei mal:



(4/7/05 10:19:30 AM) SPSeHjFix started v1.1.2
(4/7/05 10:19:30 AM) OS: WinXP Service Pack 1 (5.1.2600)
(4/7/05 10:19:30 AM) Language: english
(4/7/05 10:19:30 AM) Win-Path: C:\WINDOWS
(4/7/05 10:19:30 AM) System-Path: C:\WINDOWS\System32
(4/7/05 10:19:30 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\
(4/7/05 10:20:11 AM) Disinfection started
(4/7/05 10:20:11 AM) Bad-Dll(IEP): c:\dokume~1\stefka~1\lokale~1\temp\se.dll
(4/7/05 10:20:11 AM) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ghli.dll
(4/7/05 10:20:11 AM) Searchassistant Uninstaller - Keys Deleted
(4/7/05 10:20:11 AM) UBF: 9 - UBB: 3 - UBR: 18
(4/7/05 10:20:11 AM) FilterKey: HKCR\text/html (deleted)
(4/7/05 10:20:11 AM) FilterKey: HKCR\CLSID\{BF405B28-8BA2-42D8-B37C-83A4D324D777} (deleted)
(4/7/05 10:20:11 AM) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
(4/7/05 10:20:11 AM) FilterKey: HKCR\text/plain (deleted)
(4/7/05 10:20:11 AM) FilterKey: HKCR\CLSID\{BF405B28-8BA2-42D8-B37C-83A4D324D777} (error while deleting)
(4/7/05 10:20:11 AM) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
(4/7/05 10:20:11 AM) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8C897346-3B81-4F47-85D4-EECE1050CE25} (deleted)
(4/7/05 10:20:11 AM) BHO-Key: HKCR\CLSID\{8C897346-3B81-4F47-85D4-EECE1050CE25} (deleted)
(4/7/05 10:20:11 AM) UBF: 7 - UBB: 2 - UBR: 18
(4/7/05 10:20:11 AM) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(4/7/05 10:20:11 AM) Stealth-String not found
(4/7/05 10:20:12 AM) File added to delete: c:\windows\system32\ghli.dll
(4/7/05 10:20:12 AM) Reboot


(4/7/05 10:21:46 AM) SPSeHjFix started v1.1.2
(4/7/05 10:21:46 AM) OS: WinXP Service Pack 1 (5.1.2600)
(4/7/05 10:21:46 AM) Language: english
(4/7/05 10:21:46 AM) Win-Path: C:\WINDOWS
(4/7/05 10:21:46 AM) System-Path: C:\WINDOWS\System32
(4/7/05 10:21:46 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\
(4/7/05 10:22:35 AM) Disinfection started
(4/7/05 10:22:35 AM) Bad-Dll(IEP): c:\dokume~1\stefka~1\lokale~1\temp\se.dll
(4/7/05 10:22:35 AM) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ghli.dll
(4/7/05 10:22:35 AM) Searchassistant Uninstaller - Keys Deleted
(4/7/05 10:22:35 AM) UBF: 9 - UBB: 3 - UBR: 18
(4/7/05 10:22:35 AM) FilterKey: HKCR\text/html (deleted)
(4/7/05 10:22:35 AM) FilterKey: HKCR\CLSID\{E0523A8D-393B-4BCC-9C28-15829B33E8FC} (deleted)
(4/7/05 10:22:35 AM) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
(4/7/05 10:22:35 AM) FilterKey: HKCR\text/plain (deleted)
(4/7/05 10:22:35 AM) FilterKey: HKCR\CLSID\{E0523A8D-393B-4BCC-9C28-15829B33E8FC} (error while deleting)
(4/7/05 10:22:35 AM) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
(4/7/05 10:22:35 AM) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18E53E5B-C1AC-483E-B8BC-55237DDE7857} (deleted)
(4/7/05 10:22:35 AM) BHO-Key: HKCR\CLSID\{18E53E5B-C1AC-483E-B8BC-55237DDE7857} (deleted)
(4/7/05 10:22:35 AM) UBF: 7 - UBB: 2 - UBR: 18
(4/7/05 10:22:35 AM) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(4/7/05 10:22:35 AM) Stealth-String not found
(4/7/05 10:22:35 AM) File added to delete: c:\windows\system32\ghli.dll
(4/7/05 10:22:35 AM) Reboot


heute fruh habe ich SPSeHjFix noch mal ausgefuehrt. der computer wurde nicht neu gestartet. Es wurde dieser log produziert:

(4/9/05 11:35:06 AM) SPSeHjFix started v1.1.2
(4/9/05 11:35:06 AM) OS: WinXP Service Pack 1 (5.1.2600)
(4/9/05 11:35:06 AM) Language: english
(4/9/05 11:35:06 AM) Win-Path: C:\WINDOWS
(4/9/05 11:35:06 AM) System-Path: C:\WINDOWS\System32
(4/9/05 11:35:06 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\
(4/9/05 11:35:07 AM) Disinfection started
(4/9/05 11:35:07 AM) Bad-Dll(IEP): (not found)
(4/9/05 11:35:07 AM) Bad-Dll(IEP) in BHO: (not found)
(4/9/05 11:35:07 AM) UBF: 7 - UBB: 3 - UBR: 17
(4/9/05 11:35:07 AM) UBF: 7 - UBB: 3 - UBR: 17
(4/9/05 11:35:07 AM) Bad IE-pages: (none)
(4/9/05 11:35:07 AM) Stealth-String not found
(4/9/05 11:35:07 AM) Not infected->END



SOLL ich noch einen neuen Hijack This log posten?

Danke im voraus für die hilfe!!!!!

Edo

Alt 09.04.2005, 12:33   #10
Gigamail
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



Hi Edo

Der Ordner den Du beschreibst ist für die Systemwiederherstellung von Windows und es ist ganz normal wenn man was löscht damit das dort für den Fall der Wiederherstellung gespeichert wird. Deaktiviere also die systemwiederherstellung
http://www.systemwiederherstellung-d...indows-xp.html fahre den rechner runter und boote neu aktiviere danach die Systemwiederherstellung und dann sollte das Teil weg sein.
Zur Auswertung von SPSeHjFix muss Dir Lutz was dazu sagen, da er bei der Entwicklung des Tools mit beteiligt war

@ Gruß an Lutz :aplaus:
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 09.04.2005, 16:03   #11
Lutz
 

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



Zitat:
Zitat von Gigamail
Zur Auswertung von SPSeHjFix muss Dir Lutz was dazu sagen, da er bei der Entwicklung des Tools mit beteiligt war...
Na ja, bei der Entwicklung des Tools war ich nicht wirklich beteiligt. Das würde mein Können auch bei weitem übersteigen. Ich habe von Programmierung leider Null Ahnung...
Ich habe 'lediglich' Seeker gebeten, aktiv zu werden und war allenfalls etwas koordinierend tätig.

Das Log des Cleaners sieht so weit gut aus. Vor allem das letzte, bei dem angezeigt wird 'Not infected'. Da es sich aber um eine kleine Abweichnung der Datei se.dll/spage.html handelt (sonst meist se.dll/sp.html), würde mich ein aktuelles Log von HijackThis schon interessieren.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 09.04.2005, 18:23   #12
Gigamail
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



@ Lutz

Zitat:
Zitat Lutz
Ich habe 'lediglich' Seeker gebeten, aktiv zu werden und war allenfalls etwas koordinierend tätig.
man muss nicht alles selber können, wichtig ist die Leute zu kennen die es können
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 09.04.2005, 19:07   #13
edo
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



danke für die antworte und die informationen!

also, ich habe zuerst die systemweiderherstellung deaktiviert, dann den rechner heruntergeladen, und dann neu gestartet (und systemwiederherstellung neu aktiviert). der teil soll jetzt weg sein oder? kann ich dass noch irgendwie ueberpruefen?

und hier noch ein neues log von hijackthis. lutz, kannst du noch mal bescheid sagen wegen diesem se.dll/spage.html? ist alles jetzt in ordnung? ich hoffe es!

noch mal danke!
edo

Logfile of HijackThis v1.99.1
Scan saved at 7:49:59 PM, on 4/9/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fu-berlin.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing)

Alt 09.04.2005, 21:19   #14
Lutz
 

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



Hallo edo,

das se.dll-Problem ist scheinbar gelöst.
Aber da ist noch etwas, was imho nichts auf einem sauberen Rechner zu suchen hat:
Zitat:
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
Vergleiche hier: http://www.sysinfo.org/startuplist.p...y=1&submit=%3E

Da Du Kaspersky AntiVirus auf Deinem Rechner hast, mach bitte mal einen kompletten Scan im abgesicherten Modus
Wenn Kaspersky nichts finden sollte, überprüfe bitte die Datei C:\WINDOWS\isrvs\desktop.exe einmal hier -> http://virusscan.jotti.org/de/
(sofern noch vorhanden)

Teile uns bitte die jeweiligen Ergebnisse mit.

Anschließend suche mal unter Systemsteuerung - Software, ob es dort einen Eintrag Desktop Search (oder ähnlich) gibt. Wenn ja, bitte deinstallieren.

Ansonsten noch folgende Einträge mit HijackThis fixen:
Zitat:
O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvdd...m::/on-line .exe
Sofern noch vorhanden folgende Dateien manuell löschen:
C:\WINDOWS\isrvs\desktop.exe
C:\foo.mht
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 10.04.2005, 12:35   #15
edo
 
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - Standard

Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...



hallo lutz,

dieser ordner ISRVS gibt es gar nicht (mehr). aber angeblich sind die prozesse aus diesem ordner irgendwie noch aktiv, wie zum beispiel diese C:\WINDOWS\isrvs\desktop.exe

bei RegCleaner 4.3 werden bei "Sicherungen" verschiedene prozesse aus diesem ordner angezeigt. es geht um verschiedene male "desktop search" und "ffis". "ffis" hat genauso wie "desktop search" nichts auf einem sauberen rechner zu suchen ( so habe ich hier entdeckt: http://www.sysinfo.org/startuplist.php?filter=ffis )

kann ich diese einfach mit RegCleaner 4.3entfernen?

es wird bei RegCleaner 4.3 auch noch zwei mal "desktop" angegeben. wenn ich die ansehe mit Editor dann wird nach REGEDIT4 verwiesen. was sind dass für prozesse? soll ich die auch entfernen?

ich habe bei http://virusscan.jotti.org/de/
versucht um C:\WINDOWS\isrvs\desktop.exe zu scannen, aber dann wird angegeben: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

bei Systemsteuerrung --> Software gibt es kein Desktop Search. Dafür gibt es aber ein Desktop Zoom, aber das ist doch ein normalen programm, oder?

kann ich schon mit dem fixen mit HijackThis anfangen oder soll ich erst diese desktop search sache lösen? und müss ich bei dem fixen mit hijack this in abgesicherte modus arbeiten oder nicht? und müss ich systemweiderherstellung deaktivieren?

danke,

edo

Antwort

Themen zu Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...
adobe, antispyware, antivir, antivir update, antivirus, askbar, bho, computer, danke, drivers, einstellungen, explorer, file, file missing, help, hijackthis, internet, internet explorer, notebook, problem, programme, rundll, search the web, software, system, temp, trojan, trojaner, windows, windows xp



Ähnliche Themen: Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile...


  1. Logfile check bitte.
    Log-Analyse und Auswertung - 21.09.2009 (1)
  2. Bitte um Logfile-Check
    Log-Analyse und Auswertung - 22.01.2009 (1)
  3. HiJack-Logfile check bitte
    Log-Analyse und Auswertung - 11.09.2008 (1)
  4. Bitte um check einer Logfile !!
    Log-Analyse und Auswertung - 14.09.2007 (1)
  5. Bitte um LogFile check!!
    Log-Analyse und Auswertung - 11.10.2006 (4)
  6. Bitte um LogFile check! Danke
    Log-Analyse und Auswertung - 11.10.2006 (3)
  7. Bitte um Logfile-Check
    Log-Analyse und Auswertung - 03.01.2006 (1)
  8. Bitte um LogFile Check
    Mülltonne - 28.09.2005 (0)
  9. Smitfraud - bitte um Logfile-Check
    Log-Analyse und Auswertung - 02.08.2005 (8)
  10. Bitte um Logfile check
    Log-Analyse und Auswertung - 02.08.2005 (6)
  11. Bitte um Check-LogFile
    Log-Analyse und Auswertung - 14.04.2005 (3)
  12. Hilfe... trojaner TR/Delprot.a und adware davon auf computer
    Plagegeister aller Art und deren Bekämpfung - 09.04.2005 (13)
  13. Trojaner Startpage bitte um Hilfe
    Log-Analyse und Auswertung - 03.02.2005 (7)
  14. Bitte um Logfile-Check nach Trojaner entfernung
    Plagegeister aller Art und deren Bekämpfung - 31.01.2005 (5)
  15. Bitte dringend um Hilfe - Startpage/Trojaner
    Log-Analyse und Auswertung - 28.01.2005 (2)
  16. Bitte um Logfile Check!
    Log-Analyse und Auswertung - 04.01.2005 (4)
  17. Wieder mal 100%CPU - Bitte check mal das Logfile.
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (5)

Zum Thema Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... - hallo... hierunter ein computer problem auf english. ich hoffe dass ist kein problem. auf jeden fall, ihr koennt ruhig auf deutsch antworten. danke im voraus! edo hello, my girlfriends computer - Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile......
Archiv
Du betrachtest: Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.