|
TR/StartPage.qr.DLL Hi Ich habe mir wohl nen Pferd geholt!!! Mein Antivir meldet mir immer : C:\DOKUME~1\REZZER\LOKALE~1\TEMP\SE.DLL Is the Trojan horse TR/StartPage.qr.DLL Ich habe es natürlich versucht zu löschen aber es kommt zu der Antivir message immer noch eine Fehler meldung das die SE.DLL nicht gefunden werden kann !!! Ich habe schon einige Treands gelesen und es wird immer nach hijackthis LOG gerfagt ich poste ihn einfach mal mit !!!! Logfile of HijackThis v1.99.1 Scan saved at 20:08:34, on 17.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Steam\Steam.exe C:\Programme\ICQ\Icq.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Xfire\Xfire.exe C:\Programme\Winamp\winamp.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\Dokumente und Einstellungen\rezzer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {888E01BB-0B15-4326-A0D1-8993C47D224D} - C:\WINDOWS\System32\jhbl.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O15 - Trusted Zone: http://*.63.219.181.7 O18 - Filter: text/html - {816A33AA-421B-4A28-858A-F90824B9D774} - C:\WINDOWS\System32\jhbl.dll O18 - Filter: text/plain - {816A33AA-421B-4A28-858A-F90824B9D774} - C:\WINDOWS\System32\jhbl.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks C:\Programme\ewido\security suite\ewidoguard.exe Vielen dank im Vorraus ! |
@rezzer update system und IE lese dich hiermal durch http://www.trojaner-board.de/showthr...179#post127179 um den O15 eintrag wegzubekommen: http://www.trojaner-board.de/showthr...9&page=4&pp=10 mache das, was in das posting vom Lutz steht. poste danach ein neues HJT logfile chaosman |
sooo das erste habe ich gemacht doch im 2link habe ich nicht wirklich was drauß schließen können !!! NEUER LOG : Logfile of HijackThis v1.99.1 Scan saved at 20:29:26, on 17.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSCHED32.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\Dokumente und Einstellungen\rezzer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {795B18C2-8BCB-4157-83A1-DEEE7102C805} - C:\WINDOWS\System32\jhbl.dll (file missing) O2 - BHO: (no name) - {888E01BB-0B15-4326-A0D1-8993C47D224D} - (no file) O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O15 - Trusted Zone: http://*.63.219.181.7 O18 - Filter: text/html - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll O18 - Filter: text/plain - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe |
@rezzer der O15 eintrag: mach bitte folgendes: 1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. Es sollten jetzt alle Einträge aus den vertrauenswürdigen Sites verschwunden sein. Starte den Rechner neu und poste anschließend ein neues Log von HijackThis. Zitat: ; DelDomains.inf ; Created by: Mike Burgess Microsoft MVP ; http://mvps.org/winhelp2002/ ; ; Warning: Deletes all entries in the Restricted & Trusted Zone list ; ; To execute this file: in Explorer - right-click (this file) ; Select Install from the Menu. [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" __________________ Zitat Lutz chaosman |
@rezzer system und IE update gemacht? bitte nachholen wechsle dann in den abgesicherten modus und fixe mit HJT R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {795B18C2-8BCB-4157-83A1-DEEE7102C805} - C:\WINDOWS\System32\jhbl.dll (file missing) O2 - BHO: (no name) - {888E01BB-0B15-4326-A0D1-8993C47D224D} - (no file) O18 - Filter: text/html - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll O18 - Filter: text/plain - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll lösche danach manuell C:\WINDOWS\System32\jhbl.dll falls noch vorhanden C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html neu booten, neue startseite vergeben, neues HJT logfile posten könntest auch noch deine TIFs leeren: Temporary Internet Files Leere diese Ordner: C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp C:\WINDOWS\Downloaded Program Files C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files chaosman |
Logfile of HijackThis v1.99.1 Scan saved at 20:41:31, on 17.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSCHED32.EXE C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\Dokumente und Einstellungen\rezzer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\rezzer\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {795B18C2-8BCB-4157-83A1-DEEE7102C805} - C:\WINDOWS\System32\jhbl.dll (file missing) O2 - BHO: (no name) - {888E01BB-0B15-4326-A0D1-8993C47D224D} - (no file) O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O18 - Filter: text/html - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll O18 - Filter: text/plain - {2FB66017-C9F2-4CD6-8C3A-8CE3E066117D} - C:\WINDOWS\System32\jhbl.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe Habe alles gemacht !!!! |
ohhh ich muss noch updaten^^ sorry ! |
@rezzer erst mal updaten, gell. so kommen wir nicht weiter, hast du den hier laufen lassen? http://www.trojaner-board.de/showthr...179#post127179 das hier mal lesen http://www.trojaner-info.de/anleitun...out_blank.html lade escan download anleitung Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:31 Uhr. |
Copyright ©2000-2024, Trojaner-Board