Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/StartPage.qr.DLL

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.03.2005, 19:09   #1
rezzer
 
TR/StartPage.qr.DLL - Standard

TR/StartPage.qr.DLL



Hi
Ich habe mir wohl nen Pferd geholt!!!
Mein Antivir meldet mir immer :

C:\DOKUME~1\REZZER\LOKALE~1\TEMP\SE.DLL

Is the Trojan horse TR/StartPage.qr.DLL

Ich habe es natürlich versucht zu löschen aber es kommt zu der Antivir message immer noch eine Fehler meldung das die SE.DLL nicht gefunden werden kann !!!

Ich habe schon einige Treands gelesen und es wird immer nach HijackThis LOG gerfagt ich poste ihn einfach mal mit !!!!

Logfile of HijackThis v1.99.1
Scan saved at 20:08:34, on 17.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Steam\Steam.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Dokumente und Einstellungen\rezzer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {888E01BB-0B15-4326-A0D1-8993C47D224D} - C:\WINDOWS\System32\jhbl.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O15 - Trusted Zone: http://*.63.219.181.7
O18 - Filter: text/html - {816A33AA-421B-4A28-858A-F90824B9D774} - C:\WINDOWS\System32\jhbl.dll
O18 - Filter: text/plain - {816A33AA-421B-4A28-858A-F90824B9D774} - C:\WINDOWS\System32\jhbl.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks C:\Programme\ewido\security suite\ewidoguard.exe


Vielen dank im Vorraus !

Alt 17.03.2005, 19:11   #2
chaosman
 
TR/StartPage.qr.DLL - Standard

TR/StartPage.qr.DLL



@rezzer
update system und IE

lese dich hiermal durch
http://www.trojaner-board.de/showthr...179#post127179

um den O15 eintrag wegzubekommen:
http://www.trojaner-board.de/showthr...9&page=4&pp=10
mache das, was in das posting vom Lutz steht.

poste danach ein neues HJT logfile

chaosman
__________________

__________________

Alt 17.03.2005, 19:29   #3
rezzer
 
TR/StartPage.qr.DLL - Standard

TR/StartPage.qr.DLL



sooo das erste habe ich gemacht doch im 2link habe ich nicht wirklich was drauß schließen können !!!

NEUER LOG :

Logfile of HijackThis v1.99.1
Scan saved at 20:29:26, on 17.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Dokumente und Einstellungen\rezzer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {795B18C2-8BCB-4157-83A1-DEEE7102C805} - C:\WINDOWS\System32\jhbl.dll (file missing)
O2 - BHO: (no name) - {888E01BB-0B15-4326-A0D1-8993C47D224D} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O15 - Trusted Zone: http://*.63.219.181.7
O18 - Filter: text/html - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll
O18 - Filter: text/plain - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
__________________

Alt 17.03.2005, 19:34   #4
chaosman
 
TR/StartPage.qr.DLL - Standard

TR/StartPage.qr.DLL



@rezzer
der O15 eintrag:
mach bitte folgendes:

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.

Es sollten jetzt alle Einträge aus den vertrauenswürdigen Sites verschwunden sein.
Starte den Rechner neu und poste anschließend ein neues Log von HijackThis.

Zitat:
; DelDomains.inf
; Created by: Mike Burgess Microsoft MVP
; http://mvps.org/winhelp2002/
;
; Warning: Deletes all entries in the Restricted & Trusted Zone list
;
; To execute this file: in Explorer - right-click (this file)
; Select Install from the Menu.

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
__________________
Zitat
Lutz

chaosman
__________________
Bonus vir semper tiro

Alt 17.03.2005, 19:38   #5
chaosman
 
TR/StartPage.qr.DLL - Standard

TR/StartPage.qr.DLL



@rezzer

system und IE update gemacht?
bitte nachholen

wechsle dann in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {795B18C2-8BCB-4157-83A1-DEEE7102C805} - C:\WINDOWS\System32\jhbl.dll (file missing)
O2 - BHO: (no name) - {888E01BB-0B15-4326-A0D1-8993C47D224D} - (no file)
O18 - Filter: text/html - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll
O18 - Filter: text/plain - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll
lösche danach manuell
C:\WINDOWS\System32\jhbl.dll falls noch vorhanden
C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
neu booten, neue startseite vergeben, neues HJT logfile posten
könntest auch noch deine TIFs leeren:
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

chaosman

__________________
Bonus vir semper tiro

Alt 17.03.2005, 19:42   #6
rezzer
 
TR/StartPage.qr.DLL - Standard

TR/StartPage.qr.DLL



Logfile of HijackThis v1.99.1
Scan saved at 20:41:31, on 17.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Dokumente und Einstellungen\rezzer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {795B18C2-8BCB-4157-83A1-DEEE7102C805} - C:\WINDOWS\System32\jhbl.dll (file missing)
O2 - BHO: (no name) - {888E01BB-0B15-4326-A0D1-8993C47D224D} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O18 - Filter: text/html - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll
O18 - Filter: text/plain - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe


Habe alles gemacht !!!!

Alt 17.03.2005, 19:48   #7
rezzer
 
TR/StartPage.qr.DLL - Standard

TR/StartPage.qr.DLL



ohhh ich muss noch updaten^^ sorry !

Alt 17.03.2005, 20:13   #8
chaosman
 
TR/StartPage.qr.DLL - Standard

TR/StartPage.qr.DLL



@rezzer
erst mal updaten, gell.
so kommen wir nicht weiter,
hast du den hier laufen lassen?
http://www.trojaner-board.de/showthr...179#post127179
das hier mal lesen
http://www.trojaner-info.de/anleitun...out_blank.html

lade escan
download
anleitung
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu TR/StartPage.qr.DLL
antivir, antivir meldet, antivir update, bho, browser, desktop, einstellungen, explorer, fehler, hijack, hijackthis, hijackthis log, icq, internet, internet explorer, log, löschen, messenger, microsoft, nicht gefunden, programme, rundll, security, security suite, software, system, temp, trojan, windows, windows xp



Ähnliche Themen: TR/StartPage.qr.DLL


  1. win32/startpage.oie Trojaner + win32/startpage.oph Trojaner gefunden
    Log-Analyse und Auswertung - 19.02.2013 (22)
  2. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 08.10.2005 (3)
  3. TR/StartPage.nk.8.A
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (3)
  4. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 06.08.2005 (1)
  5. TR\StartPage
    Log-Analyse und Auswertung - 25.02.2005 (8)
  6. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 23.02.2005 (4)
  7. StartPage.qr.dll
    Log-Analyse und Auswertung - 18.02.2005 (3)
  8. TR/StartPage.qr.DLL
    Log-Analyse und Auswertung - 18.02.2005 (0)
  9. TR\startpage.qr.dll Was tun???
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (1)
  10. TR/StartPage.TJ
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (1)
  11. startpage
    Log-Analyse und Auswertung - 09.02.2005 (4)
  12. TR StartPage.IX
    Log-Analyse und Auswertung - 30.01.2005 (3)
  13. startpage.nk.3
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (11)
  14. TR/StartPage.NK.2 :(
    Log-Analyse und Auswertung - 28.10.2004 (9)
  15. tr/startpage.nk.3
    Log-Analyse und Auswertung - 19.10.2004 (5)
  16. Dldr.startpage Startpage/is
    Log-Analyse und Auswertung - 19.08.2004 (8)
  17. TR/StartPage.IG.1
    Log-Analyse und Auswertung - 23.07.2004 (3)

Zum Thema TR/StartPage.qr.DLL - Hi Ich habe mir wohl nen Pferd geholt!!! Mein Antivir meldet mir immer : C:\DOKUME~1\REZZER\LOKALE~1\TEMP\SE.DLL Is the Trojan horse TR/StartPage.qr.DLL Ich habe es natürlich versucht zu löschen aber es kommt - TR/StartPage.qr.DLL...
Archiv
Du betrachtest: TR/StartPage.qr.DLL auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.