|
erst StartPage.qr.dll, dann ging nix mehr Hi, kämpfe mit dem dummem StartPage.qr.dll Trojaner. Ich habe im Proctectus-Forum schon allerhand gelesen und probiert - hat aber alles nicht geholfen. Dann habe ich bei Euch die Beta7-Version gefunden und laufen lassen. Die hat mir zwar irgendwie die se.dll und about.blank Dinger beseitigt. Aber der schwarze desktop mit "Warnung..." ist noch immer da (und läßt sich auch nicht wegschalten) und ins Netz kann ich auch nicht. - Beta7 findet scheinbar nichts mehr (??) - hijackthis sieht auch nix (??) Kann mir bitte jemand helfen?! :heulen: Vielen, lieben Dank Carsten |
Hallo, dann poste doch mal ein HijackThis-Logfile. Seit wann kannst du nicht mehr ins Netz? Gegen den Desktophintergrund: Start-> Systemsteuerung (klassiche Ansicht)-> "Anzeige"-> Reiter "Desktop"-> "Desktop anpassen"-> Reiter "Web"-> Eintrag "Security" löschen btw: es gibt schon eine Beta8 ;) |
Hi, also: die Beta7 hat scheinbar geholfen, aber nur soweit, daß sie sagt ich wäre clean (das sagt auch die Beta8 - habe sie gefunden) Den schwarzen Hintergrund bin ich los, aber in der taskleiste ist noch immer das gelbe Ausrufezeichen das bei Doppelklick die hp von dieser antispy-dingens aufmacht. ins netz kann ich nicht mehr seit...hmmm...seit nach Beta7? habe es vorher erst gar nicht versucht aus Angst vor irgendwelchen bösen Buben mit Trojanern. hier ist mein aktuelles hijackthis.log: Logfile of HijackThis v1.99.1 Scan saved at 21:30:30, on 17.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\hkcmd.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINDOWS\system32\wuauclt.exe D:\Anwendungen\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.cinetower.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
achso, moment mal: ich kann mich ins netz einwählen (ISDN), aber der IE macht nicht auf...so ist´s besser formuliert |
Naj , so sauber ist der Log ja nun nicht Wechsle in den abgesicherten Modus bei deaktivierter systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html und fixxe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe Lösche dann diese Datei: C:\WINDOWS\System32\spoolsrv32.exe Neustar und neuen Log posten |
Fixe mal im abgesicherten Modus die folgenden Einträge: O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O15 - Trusted Zone: http://www.cinetower.com (außer von dir gewollt) Lösche dann manuell C:\WINDOWS\System32\spoolsrv32.exe Scanne dein System außerdem mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. |
Hi, Du hast Dir offenbar mehr eingefangen, als 'nur' den se.dll-Hijacker... Zitat:
Info |
3 x sollte reichen.... ;) |
Zitat:
Okay-btT |
uff... :crazy: beim hijack scan war nurnoch ein spoolsrv32.exe da da war dann bei O4 ein CTFMON.EXE -> habe beide gefixt aber wie lösche ich C:\WINDOWS\System32\spoolsrv32.exe?? auch mit hijack? mit dem löschennachneustart bleibt mir das ding hängen und ich kann nichts bewegen! wenn ihr einen convoy bildet, wer ist dann Rubber Duck ?? (für insider) |
Zitat:
|
@carstensimon wechsle in den abgesicherten modus und lösche manuell C:\WINDOWS\System32\spoolsrv32.exe neu booten. wenn es danach immer noch nicht geht, dann benütze killbox @haui45 warst mal wieder schneller :party: chaosman |
Zitat:
mfg Haui :teufel3: |
jo, habe C:\WINDOWS\System32\spoolsrv32.exe gefunden und gelöscht da waren sind aber auch noch spoolss.dll spoolsv (Anwendung) was ist damit? IE geht noch immer nicht - sonst sieht mein desktop wieder normal aus wenn ich jetzt irgendeinen download von 4MB auf meinem notfall-266MHz-Schlepptop über ISDN starte, wird es eher wieder hell bevor das zu ende ist -> soviel zu escan Donnerstags um 22.22Uhr (der Wecker klingelt um 05.30) es muß so klappen!! ich werde irre! sorry freunde :-)) hier mal der aktuellste hijack-scan Logfile of HijackThis v1.99.1 Scan saved at 22:17:36, on 17.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\hkcmd.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINDOWS\system32\wuauclt.exe D:\Anwendungen\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.cinetower.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097922460593 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE schonmal ein DANKE für eure mühen hier!! |
Log schaut sauber aus. => wir brauchen weitere Infos (eScan) Ob jetzt oder in 3 Wochen ist mir egal ;) Zitat:
http://www.liutilities.com/products/...brary/spoolsv/ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:00 Uhr. |
Copyright ©2000-2024, Trojaner-Board