Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR\StartPage

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.02.2005, 21:18   #1
webwilli
 
TR\StartPage - Standard

TR\StartPage



Hallo!
Habe hier ein für mich unlösbares Problem mit diesem TR\StartPage.qr.dll.
Habe schon versucht ein paar Einträge, z.B. die se.dll usw. im abgesicherten Modus zu fixen, hat aber nicht geholfen. Zu allem übel läuft jetzt komischerweise der Windows-Explorer auch nur noch im abgesicherten Modus. Hab ich schon zuviel gefixt? Oder ist das wohl ein anderes Problem?
Naja, ich hoffe hier kann mir jemand helfen. Dazu hier erstmal mein logfile:

Logfile of HijackThis v1.99.0
Scan saved at 21:54:18, on 21.02.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.ewetel.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: (no name) - {02C41136-E95A-448B-A996-A2F890E2B2B0} - C:\WINDOWS\SYSTEM\PHG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe
O18 - Filter: text/html - {CC537DF0-CBB0-4C4A-9B1D-B05277B9D45F} - C:\WINDOWS\SYSTEM\PHG.DLL
O18 - Filter: text/plain - {CC537DF0-CBB0-4C4A-9B1D-B05277B9D45F} - C:\WINDOWS\SYSTEM\PHG.DLL

Alt 21.02.2005, 21:52   #2
Lutz
 

TR\StartPage - Standard

TR\StartPage



Ob Du zuviel 'gefixt' hast, kann ich Dir aus der Ferne nicht verraten.

Devinitiv gefixt werden müssen nach dem jetzigen Log folgende Einträge (im abgesicherten Modus):
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.ewetel.de <- Diese Seite kannst Du nachträglich wieder als Startseite eintragen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
...
O2 - BHO: (no name) - {02C41136-E95A-448B-A996-A2F890E2B2B0} - C:\WINDOWS\SYSTEM\PHG.DLL
...
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
...
O18 - Filter: text/html - {CC537DF0-CBB0-4C4A-9B1D-B05277B9D45F} - C:\WINDOWS\SYSTEM\PHG.DLL
O18 - Filter: text/plain - {CC537DF0-CBB0-4C4A-9B1D-B05277B9D45F} - C:\WINDOWS\SYSTEM\PHG.DLL
Anschließend (vor einem Neustart) die folgenden Dateien manuell löschen:
C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\SYSTEM\PHG.DLL

Boote erst dann neu und erstelle eine neue Log-Datei mit HijackThis
__________________

__________________

Alt 24.02.2005, 17:51   #3
webwilli
 
TR\StartPage - Standard

TR\StartPage



Hallo Lutz.
Irgendwie hat das noch nicht ganz hingehauen. Habe zwar die von dir erwähnten Sachen gefixt und auch die se.dll im temp-Verzeichnis gelöscht (die PHG.dll in windows\system habe ich nicht gefunden!!). Zunächst lief das System auch wieder ordnungsgemäß mit folgendem logfile:

Logfile of HijackThis v1.99.0
Scan saved at 16:29:13, on 22.02.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe


aber bei der ersten Verbindung mit dem Internet (Outlook-Nachrichtenabruf) war dann wieder alles vorbei, die Antivir-Meldung für die se.dll erschien und es ging so gut wie nichts mehr.
Ich hab dann das gleiche Spiel mit HijackThis nochmal gemacht mit folgendem logfile:
Logfile of HijackThis v1.99.0
Scan saved at 17:01:32, on 24.02.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://e:\temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://e:\temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53864387-36DA-4405-8700-B117BC306E42} - C:\WINDOWS\SYSTEM\DNIC.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe
O18 - Filter: text/html - {5D8E36A5-CCEB-40B9-A384-8DCA150F18B1} - C:\WINDOWS\SYSTEM\DNIC.DLL
O18 - Filter: text/plain - {5D8E36A5-CCEB-40B9-A384-8DCA150F18B1} - C:\WINDOWS\SYSTEM\DNIC.DLL


So, dann hab ich die vom ersten Mal schon bekannten Einträge gefixt, die se.dll im tem-Verzeichnis gelöscht, aber die Datei die diesmal DNIC.DLL heißt und in Windows\System stehen soll wieder nicht gefunden!!

Es ergibt sich folgendes logfile:
Logfile of HijackThis v1.99.0
Scan saved at 17:57:23, on 24.02.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe


Was kann ich jetzt noch tun? und wieso finde ich die PHG.DLL bzw DNIC.DLL nicht?
Gruß Webwilli
__________________

Alt 24.02.2005, 18:12   #4
webwilli
 
TR\StartPage - Standard

TR\StartPage



Deinen Grundsatz-Beitrag zu diesem Thema hab ich übrigens gelesen. Den Papierkorb hab ich geleert, die Registry gesäubert (mit RegClaener) hat aber auch nichts gebracht. Kann auch wie beschrieben die rot markierten Dateien nicht finden.
Könnten vielleicht die folgenden die ich über die Suche nach Datum der letzten Änderung in Windows\System gefunden hab was damit zu tun haben?
dle.dll, hnapifa.dll, pji.dll
Gruß Webwilli

Alt 24.02.2005, 18:19   #5
Lutz
 

TR\StartPage - Standard

TR\StartPage



Hallo webwilli,

hast Du im WindowsExplorer unter Extras -> Ordneroptionen -> Ansicht folgendes (durch Häckchen) aktiviert?

Versteckte Dateien -> Alle Dateien anzeigen

So sollten diese Dateien für Dich sichtbar werden.

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 24.02.2005, 18:32   #6
webwilli
 
TR\StartPage - Standard

TR\StartPage



Ja, da hab ich schon drauf geachtet. Der Haken ist gesetzt. Die Datei ist aber trotzdem nicht zu finden. Hab halt nur die unten beschriebenen gefunden.
Gruß
Webwilli

Alt 24.02.2005, 18:49   #7
Lutz
 

TR\StartPage - Standard

TR\StartPage



Schon merkwürdig...
Irgendetwas ist da, was im Log nicht angezeigt wird.
Mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 25.02.2005, 20:05   #8
webwilli
 
TR\StartPage - Standard

TR\StartPage



Hallo Lutz,
eScan läuft auf dem Rechner aus welchem Grund auch immer nicht (auf einem anderen win98 Rechner läuft es prima).
Aufgrund eines anderen Hinweises habe ich in der Reg. aber den gesuchten Eintrag DNIC.DLL auf den im log hingewiesen wird gefunden, uind zwar unter:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

den Eintrag:

UninstallString "regvr32 /s /u C:\Windows\System\DNIC.DLL

So, nun hab ich in der Reg. nach dieser DNIC.DLL gesucht (bei den Suchoptionen alle Häkchen bei Schlüssel, Werte, Daten gesetzt) und erhalte folgendes Ergebnis:

siehe reg.jpg

Kann ich nun diese mir angezeigten bzw. dann auch den oben genannten Eintrag löschen?

Gruss Webwilli
Miniaturansicht angehängter Grafiken
TR\StartPage-reg.jpg  

Alt 25.02.2005, 21:57   #9
Lutz
 

TR\StartPage - Standard

TR\StartPage



Hallo webwilli,

ich habe vorhin -eher zufällig- diese Beschreibung von TrendMicro gefunden -> http://es.trendmicro-europe.com/ente...PAGE.V&VSect=O

Da ich aufgrund Deiner Beschreibungen annehmen, dass Du nicht ganz 'unbedarft' bist, zeige ich Dir den Link. Vielleicht findest Du ja weitere Parallelen, auch wenn es sich in Deinem Fall u. U. um eine andere Spezies des Hijackers handelt.

Um auf Deine Frage zurück zu kommen. Ich denke, wenn Du vorher für alle Fälle ein Backup der gesamten Registry machst, kann eigentlich nicht viel passieren, wenn Du die entsprechenden Funde löschst.

Irgendwie habe ich den Eindruck, dass sich auch Dein AntiVir immer wieder verabschiedet. Auf dem Sreenshot von Dir fehlt auch das Icon. Das könnte u.U. den gleichen Hintergrund haben, wie die Tatsache, dass eScan bei Dir nicht läuft...

Vielleicht hast Du mit einem Online-Scanner mehr Erfolg?!? Hier eine kleine Auswahl -> http://malware.bul-online.de/av_onlinescan.php

Ansonsten könntest Du -da Du von mehreren Rechner sprichst- die Festplatte des infizierten Rechners mal als Slave in einen Rechner bauen, auf dem eScan läuft und von dort aus die Platte scannen. Aber je nach Wichtigkeit der Daten ist es evtl. schneller und einfacher, Du setzt den Rechner neu auf?!

Du siehst, mir gehen langsam die Ideen aus...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Antwort

Themen zu TR\StartPage
abgesicherten modus, about, anderes, bho, bla, dateien, filter, hijack, hijackthis, internet, internet explorer, logfile, logitech, microsoft, problem, programme, registry, rundll, runonce, services, software, system, temp, träge, usb, windows-explorer, windows\temp, yahoo, zuviel



Ähnliche Themen: TR\StartPage


  1. win32/startpage.oie Trojaner + win32/startpage.oph Trojaner gefunden
    Log-Analyse und Auswertung - 19.02.2013 (22)
  2. TR/StartPage.hl
    Plagegeister aller Art und deren Bekämpfung - 15.12.2005 (4)
  3. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 08.10.2005 (3)
  4. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (3)
  5. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 06.08.2005 (1)
  6. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 23.02.2005 (4)
  7. StartPage.qr.dll
    Log-Analyse und Auswertung - 18.02.2005 (3)
  8. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 18.02.2005 (0)
  9. TR\startpage.qr.dll Was tun???
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (1)
  10. TR/StartPage.TJ
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (1)
  11. startpage
    Log-Analyse und Auswertung - 09.02.2005 (4)
  12. TR StartPage.IX
    Log-Analyse und Auswertung - 30.01.2005 (3)
  13. startpage.nk.3
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (11)
  14. TR/StartPage.NK.2 :(
    Log-Analyse und Auswertung - 28.10.2004 (9)
  15. tr/startpage.nk.3
    Log-Analyse und Auswertung - 19.10.2004 (5)
  16. Dldr.startpage Startpage/is
    Log-Analyse und Auswertung - 19.08.2004 (8)
  17. TR/StartPage.IG.1
    Log-Analyse und Auswertung - 23.07.2004 (3)

Zum Thema TR\StartPage - Hallo! Habe hier ein für mich unlösbares Problem mit diesem TR\StartPage.qr.dll. Habe schon versucht ein paar Einträge, z.B. die se.dll usw. im abgesicherten Modus zu fixen, hat aber nicht geholfen. - TR\StartPage...
Archiv
Du betrachtest: TR\StartPage auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.