Trojaner-Board - Trojaner TR/Start Page.qr.DLL

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/Start Page.qr.DLL (https://www.trojaner-board.de/13426-trojaner-tr-start-page-qr-dll.html)

Trojaner TR/Start Page.qr.DLL

Hallo,
hier ist mein Log. Habe wie schon erwähnt den Trojaner TR/Start Page.qr.DLL

wie soll ich jetzt weiterverfahren

Danke

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\YPager.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\winampa.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
D:\Sicherung 02.02.05\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFFE~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFFE~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {94C98529-B83F-4BF9-B2E0-087B8D97AFC5} - C:\WINDOWS\System32\npjc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{F56BC694-A3C5-4640-A154-A93921EFFA38}: Domain = fh-pforzheim.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{F56BC694-A3C5-4640-A154-A93921EFFA38}: NameServer = 141.47.5.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fh-pforzheim.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fh-pforzheim.de
O18 - Filter: text/html - {8D59037D-5E25-407B-8CB3-A14F83A3922D} - C:\WINDOWS\System32\npjc.dll
O18 - Filter: text/plain - {8D59037D-5E25-407B-8CB3-A14F83A3922D} - C:\WINDOWS\System32\npjc.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Jetzt müsstest du nur noch sagen, warum du einen neuen Thread eröffnest ;)

Aber gut: Da sind einige Sachen, die mir überhaupt nicht gefallen.
=>Scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

Poste außerdem folgendes aus der mwav.log (steht ganz am Ende):

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

Hallo Haui45,

danke für deine Tipps. Escan läuft gerade. Bin ziemlich verzweifelt, da ich gearde eine Hausarebit schrieben muss und schon ziemlich in Verzug bin. Hoffentlich ist noch etwas zu retten.

1.) Dass eScan im abgesicherten Modus laufen muss ist dir schon klar....
2.) Ob da noch was zu retten ist, weiß ich (noch) nicht, aber stell dich bitte schon mal auf das Schlimmste ein :(

PS: Die vier Kopfzeilen vom HijackThis-Logfile fehlen!

Hallo, hier der Log:

File C:\WINDOWS\System32\npjc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\YPager.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\winampa.exe infected by "Trojan-Proxy.Win32.Ranky.aw" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\ntload.bat infected by "Trojan-Proxy.Win32.Ranky.aw" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Steffen Schank\ntload.bat infected by "Trojan-Proxy.Win32.Ranky.aw" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PAYUWQMC\193192083[1].exe infected by "Trojan-Proxy.Win32.Ranky.aw" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ntload.bat infected by "Trojan-Proxy.Win32.Ranky.aw" Virus. Action Taken: No Action Taken.
File D:\Sicherung 02.02.05\Program Files\Altnet\Download Manager\asmps.dll infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.

Und hier mwav.log:

Total files Scanned: 29344
Total Viruses found: 8
Disinfected: 0
Deleted:0

Kann man da noch etwas machen????

Zitat:

File C:\WINDOWS\system32\YPager.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Ich hab's mir fast gedacht. Sorry, aber die Lösung für dein Problem findest du hier.

mfg Haui

Hallo,
nach Neuinstallation von xp habe ich so wie es im Moment aussieht keine Probleme mehr. Vielen Dank für die Hilfe. Tolle Seite. Weiter so. Sagen wir den Trojanern gemeinsam den Kampf an...

Hast du dich auch an die Anleitung gehalten, d.h. z.B. SP2 installiert???
Wenn nicht, dann dürften sich deine Probleme bald wiederholen...
Poste nochmal ein neues HijackThis-Logfile.

Hallo zusammen =)

Ich schreibe in dieses bereits bestehende Thema, um das Forum nicht unnötig zuzumüllen. Falls mein Problem doch umfangreicher wird eröffne ich natürlich ein neues Thema.

Ich habe folgende Frage:
Im diesem Thema geht es um den Trojaner "Trojaner TR/Start Page.qr.DLL". Ich habe den Trojaner "TR/StarPage.PVU" handelt es sich hierbei um einen anderen Trojaner? Kann ich irgendwo nachgucken wann ich ihn mir eingefangen habe?

Hier der Pfad:
C:\System Volume Information\restore{ (eine art key) }\RP132\A0032322.exe

Und last but not least: Es wird von euch meistens eine Neuinstallation von Windows empfohlen.
Ich mache auf diesem Computer jedoch kein Online-Banking oder ähnlich Wichtiges. Die einzig für mich wichtigen Anwendungen sind ICQ und Steam. Ich habe bei ihnen meine Passwörter nicht gespeichert, weil mir gesagt wurde, dass Trojaner sie so nicht auslesen können, sondern nur Keylogger.
Ist eine Neuinstallation dann trotzdem nötig, weil mein Computer durch den Trojaner z.B. langsamer wird?

Vielen Dank im vorraus =)

shing

/edit: Die Kollegen sind grade noch dazu gekommen "TR/Patched.Gen ; TR/Agent.47616.Z" und befinden sich aufm gleichen Pfad