Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/StartPage.qr - eine Odysee..

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.02.2005, 15:25   #1
SebSwiss
 
TR/StartPage.qr - eine Odysee.. - Icon21

TR/StartPage.qr - eine Odysee..



Hi!
Dieser Trojaner will mich einfach nicht verlassen.
Folgendes hab ich schon gemacht:
AntiVir drüber laufen lassen (hat Datei gelöscht, kommt aber wieder),
CW-Schredder (findet nix),
Spybot (hat zwar viel gefunden, Problem ist trotzdem noch da..),
Hijack This (Log-Datei automatisch auswerten lassen und betreffendes gefixt, bringt auch nix).
Alles im abgesicherten Modus..
eScan wollte ich auch noch ausführen, geht aber nicht, wegen "zu wenig Arbeitsspeicher"
Hier mal das Hijack This Log:
Zitat:
Logfile of HijackThis v1.99.0
Scan saved at 15:23:35, on 06.02.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\HP DESKJET 880C SERIES\EREG\REMIND32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.4\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {A97E77CF-EFBE-48ED-9ECF-058C64387AE9} - C:\WINDOWS\SYSTEM\JDAD.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Startup: Reminder-hpc41001.lnk = C:\Programme\HP DeskJet 880C Series\ereg\Remind32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O18 - Filter: text/html - {3A1A6FB2-83A2-4170-A76D-CF690E35FE11} - C:\WINDOWS\SYSTEM\JDAD.DLL
O18 - Filter: text/plain - {3A1A6FB2-83A2-4170-A76D-CF690E35FE11} - C:\WINDOWS\SYSTEM\JDAD.DLL
Die mit markierten Einträge kommen immer wieder
Ich hoffe ihr könnt mir helfen..
Ciao

Alt 06.02.2005, 16:09   #2
Chris14
 

TR/StartPage.qr - eine Odysee.. - Standard

TR/StartPage.qr - eine Odysee..



hmm jep..
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
O2 - BHO: (no name) - {A97E77CF-EFBE-48ED-9ECF-058C64387AE9} - C:\WINDOWS\SYSTEM\JDAD.DLL
O18 - Filter: text/html - {3A1A6FB2-83A2-4170-A76D-CF690E35FE11} - C:\WINDOWS\SYSTEM\JDAD.DLL
O18 - Filter: text/plain - {3A1A6FB2-83A2-4170-A76D-CF690E35FE11} - C:\WINDOWS\SYSTEM\JDAD.DLL

3.dateien löschen
-lösche die datei JDAD.DLL im ordner c:\windows\system
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log
__________________


Alt 07.02.2005, 14:13   #3
SebSwiss
 
TR/StartPage.qr - eine Odysee.. - Beitrag

TR/StartPage.qr - eine Odysee..



Soo..
eScan kann ich immernoch nicht ausführen
Den Rest hab ich mit Hijack This gefixt,
hier die aktuelle LOG
Zitat:
Logfile of HijackThis v1.99.0
Scan saved at 14:13:44, on 07.02.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\HP DESKJET 880C SERIES\EREG\REMIND32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\OPENOFFICE.ORG1.1.4\PROGRAM\SOFFICE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
Browser funktioniert auch wieder, das Problem, also der Trojander, scheint weg zu sein.
Ciao
__________________

Antwort

Themen zu TR/StartPage.qr - eine Odysee..
adobe, auswerten, bho, boot, datei gelöscht, desktop, explorer, gelöscht, heulen, hijackthis, immer wieder, internet, internet explorer, log-datei, logfile, messenger, microsoft, msn, msn messenger, problem, programme, registry, rundll, rundll32.exe, software, sun java, system, temp, trojaner, träge, windows, windows\temp




Ähnliche Themen: TR/StartPage.qr - eine Odysee..


  1. win32/startpage.oie Trojaner + win32/startpage.oph Trojaner gefunden
    Log-Analyse und Auswertung - 19.02.2013 (22)
  2. TR/StartPage.aop.8
    Plagegeister aller Art und deren Bekämpfung - 29.06.2007 (9)
  3. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (3)
  4. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 06.08.2005 (1)
  5. StartPage.qr.dll
    Log-Analyse und Auswertung - 18.02.2005 (3)
  6. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 18.02.2005 (0)
  7. TR\startpage.qr.dll Was tun???
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (1)
  8. TR/StartPage.TJ
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (1)
  9. startpage
    Log-Analyse und Auswertung - 09.02.2005 (4)
  10. TR/startpage
    Log-Analyse und Auswertung - 07.02.2005 (3)
  11. Bitte um eine Auswertung TR/Startpage
    Log-Analyse und Auswertung - 05.02.2005 (1)
  12. TR/StartPage
    Log-Analyse und Auswertung - 02.02.2005 (5)
  13. Tr/startpage
    Log-Analyse und Auswertung - 31.01.2005 (3)
  14. StartPage
    Log-Analyse und Auswertung - 21.01.2005 (6)
  15. TR/StartPage
    Log-Analyse und Auswertung - 20.01.2005 (3)
  16. W32/Startpage EW
    Plagegeister aller Art und deren Bekämpfung - 06.01.2005 (1)
  17. Dldr.startpage Startpage/is
    Log-Analyse und Auswertung - 19.08.2004 (8)

Zum Thema TR/StartPage.qr - eine Odysee.. - Hi! Dieser Trojaner will mich einfach nicht verlassen. Folgendes hab ich schon gemacht: AntiVir drüber laufen lassen (hat Datei gelöscht, kommt aber wieder), CW-Schredder (findet nix), Spybot (hat zwar viel - TR/StartPage.qr - eine Odysee.....
Archiv
Du betrachtest: TR/StartPage.qr - eine Odysee.. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.