Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: erst StartPage.qr.dll, dann ging nix mehr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.03.2005, 20:14   #1
carstensimon
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Hi,
kämpfe mit dem dummem StartPage.qr.dll Trojaner.
Ich habe im Proctectus-Forum schon allerhand gelesen und probiert - hat aber alles nicht geholfen. Dann habe ich bei Euch die Beta7-Version gefunden und laufen lassen. Die hat mir zwar irgendwie die se.dll und about.blank Dinger beseitigt. Aber der schwarze desktop mit "Warnung..." ist noch immer da (und läßt sich auch nicht wegschalten) und ins Netz kann ich auch nicht.

- Beta7 findet scheinbar nichts mehr (??)
- hijackthis sieht auch nix (??)

Kann mir bitte jemand helfen?!

Vielen, lieben Dank
Carsten

Alt 17.03.2005, 20:18   #2
Haui45
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Hallo,
dann poste doch mal ein HijackThis-Logfile. Seit wann kannst du nicht mehr ins Netz?

Gegen den Desktophintergrund:
Start-> Systemsteuerung (klassiche Ansicht)-> "Anzeige"-> Reiter "Desktop"-> "Desktop anpassen"-> Reiter "Web"-> Eintrag "Security" löschen


btw: es gibt schon eine Beta8
__________________


Alt 17.03.2005, 20:40   #3
carstensimon
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Hi,
also: die Beta7 hat scheinbar geholfen, aber nur soweit, daß sie sagt ich wäre clean (das sagt auch die Beta8 - habe sie gefunden)

Den schwarzen Hintergrund bin ich los, aber in der taskleiste ist noch immer das gelbe Ausrufezeichen das bei Doppelklick die hp von dieser antispy-dingens aufmacht.

ins netz kann ich nicht mehr seit...hmmm...seit nach Beta7? habe es vorher erst gar nicht versucht aus Angst vor irgendwelchen bösen Buben mit Trojanern.

hier ist mein aktuelles hijackthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 21:30:30, on 17.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Anwendungen\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cinetower.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
__________________

Alt 17.03.2005, 20:43   #4
carstensimon
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



achso, moment mal: ich kann mich ins netz einwählen (ISDN), aber der IE macht nicht auf...so ist´s besser formuliert

Alt 17.03.2005, 20:47   #5
cronos
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Naj , so sauber ist der Log ja nun nicht

Wechsle in den abgesicherten Modus bei deaktivierter systemwiederherstellung:
http://www.systemwiederherstellung-d...indows-xp.html

und fixxe

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Lösche dann diese Datei:

C:\WINDOWS\System32\spoolsrv32.exe

Neustar und neuen Log posten

__________________
Only cronos endures

Alt 17.03.2005, 20:47   #6
Haui45
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Fixe mal im abgesicherten Modus die folgenden Einträge:
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O15 - Trusted Zone: http://www.cinetower.com (außer von dir gewollt)

Lösche dann manuell C:\WINDOWS\System32\spoolsrv32.exe


Scanne dein System außerdem mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird.

Alt 17.03.2005, 20:48   #7
Lutz
 

erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Hi,
Du hast Dir offenbar mehr eingefangen, als 'nur' den se.dll-Hijacker...

Zitat:
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
Fixe mal diese beiden Einträge und lösche die Datei C:\WINDOWS\System32\spoolsrv32.exe

Info


__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 17.03.2005, 20:48   #8
Lutz
 

erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



3 x sollte reichen....
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 17.03.2005, 20:51   #9
cronos
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Zitat:
Zitat von Lutz
3 x sollte reichen....
Sieht klasse aus, wie in "Convoy.
Okay-btT
__________________
Only cronos endures

Alt 17.03.2005, 21:08   #10
carstensimon
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



uff...

beim hijack scan war nurnoch ein spoolsrv32.exe da
da war dann bei O4 ein CTFMON.EXE
-> habe beide gefixt

aber wie lösche ich C:\WINDOWS\System32\spoolsrv32.exe??

auch mit hijack? mit dem löschennachneustart bleibt mir das ding hängen und ich kann nichts bewegen!


wenn ihr einen convoy bildet, wer ist dann Rubber Duck ?? (für insider)

Alt 17.03.2005, 21:12   #11
Haui45
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Zitat:
aber wie lösche ich C:\WINDOWS\System32\spoolsrv32.exe??
Datei markieren, "Entf" drücken und mit "Enter" bestätigen...

Alt 17.03.2005, 21:13   #12
chaosman
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



@carstensimon
wechsle in den abgesicherten modus und lösche manuell
C:\WINDOWS\System32\spoolsrv32.exe
neu booten.

wenn es danach immer noch nicht geht,
dann benütze killbox


@haui45
warst mal wieder schneller
chaosman
__________________
Bonus vir semper tiro

Alt 17.03.2005, 21:18   #13
Haui45
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Zitat:
Zitat von chaosman
@haui45
warst mal wieder schneller
chaosman
Du wirst langsam alt


mfg Haui

Alt 17.03.2005, 21:26   #14
carstensimon
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



jo,
habe C:\WINDOWS\System32\spoolsrv32.exe gefunden und gelöscht

da waren sind aber auch noch
spoolss.dll
spoolsv (Anwendung)
was ist damit?

IE geht noch immer nicht - sonst sieht mein desktop wieder normal aus

wenn ich jetzt irgendeinen download von 4MB auf meinem notfall-266MHz-Schlepptop über ISDN starte, wird es eher wieder hell bevor das zu ende ist
-> soviel zu escan Donnerstags um 22.22Uhr (der Wecker klingelt um 05.30)
es muß so klappen!! ich werde irre! sorry freunde :-))

hier mal der aktuellste hijack-scan

Logfile of HijackThis v1.99.1
Scan saved at 22:17:36, on 17.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Anwendungen\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cinetower.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


schonmal ein DANKE für eure mühen hier!!

Alt 17.03.2005, 21:30   #15
Haui45
 
erst StartPage.qr.dll, dann ging nix mehr - Standard

erst StartPage.qr.dll, dann ging nix mehr



Log schaut sauber aus. => wir brauchen weitere Infos (eScan)
Ob jetzt oder in 3 Wochen ist mir egal

Zitat:
da waren sind aber auch noch
spoolss.dll
spoolsv (Anwendung)
was ist damit?
http://www.liutilities.com/products/...brary/spoolss/
http://www.liutilities.com/products/...brary/spoolsv/

Antwort

Themen zu erst StartPage.qr.dll, dann ging nix mehr
desktop, dinger, gefunde, heulen, hijack, hijackthis, laufe, laufen, liebe, lieben, nichts, probiert, schei, schwarze, troja



Ähnliche Themen: erst StartPage.qr.dll, dann ging nix mehr


  1. Windows 8 (.1 ?) - Erst Werbung, dann Programme mit angeblich gefundene Probleme - Mittlerweile geht nichts mehr!
    Log-Analyse und Auswertung - 09.05.2015 (7)
  2. Malwarebytes Anti-Malware geht erst nicht, findet dann Security.Hijack - Ist da noch mehr?
    Log-Analyse und Auswertung - 21.08.2014 (17)
  3. Erst HDD Smart, dann Ukash
    Plagegeister aller Art und deren Bekämpfung - 08.11.2012 (54)
  4. erst Polizeivirus, dann weisser Bildschirm
    Log-Analyse und Auswertung - 02.10.2012 (13)
  5. erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe
    Log-Analyse und Auswertung - 22.07.2012 (49)
  6. Erst TR/Spy.ZBot.efym dann TR/Trash.Gen
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (1)
  7. Erst System Repair, dann BKA-Virus
    Plagegeister aller Art und deren Bekämpfung - 17.11.2011 (8)
  8. Erst Vista dann XP?
    Alles rund um Windows - 11.06.2010 (31)
  9. Erst Vista dann XP?
    Mülltonne - 01.06.2010 (4)
  10. Erst TR/Crypt.ZPACK.Gen, dann 9 weitere, dann unklar (Teil 1)
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (1)
  11. Erst Virus,dann Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.06.2009 (6)
  12. Erst Werbepopups, dann Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 05.04.2009 (3)
  13. Erst MSN - Wurm dann Antivirus 2009
    Log-Analyse und Auswertung - 29.11.2008 (1)
  14. Erst Trojaner, dann Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (3)
  15. Erst TR/Drop.Agent.dgo.8 dann TR/Vundo.DWK
    Log-Analyse und Auswertung - 01.02.2008 (11)
  16. erst Probleme mit Wlan, dann Firefox, jetzt kann ich keinen VIrencaner mehr... hmmmm
    Mülltonne - 19.09.2007 (1)
  17. erst softwarefehler in svchost dann kein sound mehr
    Log-Analyse und Auswertung - 04.06.2007 (3)

Zum Thema erst StartPage.qr.dll, dann ging nix mehr - Hi, kämpfe mit dem dummem StartPage.qr.dll Trojaner. Ich habe im Proctectus-Forum schon allerhand gelesen und probiert - hat aber alles nicht geholfen. Dann habe ich bei Euch die Beta7-Version gefunden - erst StartPage.qr.dll, dann ging nix mehr...
Archiv
Du betrachtest: erst StartPage.qr.dll, dann ging nix mehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.