Trojanische Pferd TR/StartPage.qr.DLL

Hi fabitom,

dass dürfte dieser
 www.sophos.de/virusinfo/analyses/trojstartpaei.html
sein mit vielen Registryeinträgen.

Ad-ware, Sypbot etc. scheitern daran im Moment. Kannst/solltest aber trotzdem mit diesen vorab im abgesicherten Modus
 - http://www.bsi.bund.de/av/texte/wiederher.htm -
scannen, um möglichst viel wegzubringen.

Hinterher dann ein HJT-Log (aktuelle version 1.99.1)
von www.hjt.klaffke.de erstellen und posten.
Dann sehen wir weiter.

Hallo bergmann,
habe es mit HijackThis gemacht. hier ist meine liste. danke für deine hilfe ich bin aber nicht so richtig fit am PC wie geht das mit dem Posten?
Logfile of HijackThis v1.99.1
Scan saved at 15:37:39, on 07.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\MSDE2000\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094450456968
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O18 - Filter: text/html - {E7DF69F4-5ECE-4096-80D9-55D1ED10405C} - C:\WINDOWS\system32\nlcb.dll
O18 - Filter: text/plain - {E7DF69F4-5ECE-4096-80D9-55D1ED10405C} - C:\WINDOWS\system32\nlcb.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe

 Hallo fabitom,

Posten  bedeutet, daß du eine Nachricht wie z.b. hier das HJT-Log reinschreibst. Das hat schon prima geklappt.
Dieser TR/StartPage.qr.DLL (bzw. se.dll/sp.html-Problem)grassiert im Moment sehr stark.

Mach folgendes:
Gehe auf Start-->ausführen-->gibt dort  cleanmgr
ein, dann Ok drücken. Hake dort alles (also
Übertragene Programmdateien,Temporäre Dateien, Temporäre Internetdateien, Papierkorb usw) an und lösche dann.

 Deaktiviere die Systemwiederherstellung und gehe dann
 in den abgesicherten Modus (Taste F8 beim PC starten
 mehrfach drücken): síehe auch oben den Link.

Fixe/lösche (nur links jeweils anhaken und am Schluß dann Fix checked drücken) dann mit dem HJT-Tool folgende Einträge:

1.) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html

2.) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

3.)R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html

4.)R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

5.)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

6.)R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

7.)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

8.)O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

9.)O18 - Filter: text/html - {E7DF69F4-5ECE-4096-80D9-55D1ED10405C} - C:\WINDOWS\system32\nlcb.dll

10.) O18 - Filter: text/plain - {E7DF69F4-5ECE-4096-80D9-55D1ED10405C} - C:\WINDOWS\system32\nlcb.dll

11.) überprüfe mit http://virusscan.jotti.org/
     diese igfxsrvc.dll  (wenn du sie so nicht
     findest, dann mit der Windowssuche den
     PC suchen lassen).
     Falls diese böse ist lt.jotti(davon gehe ich aus,
     diesen Datei gehört da nicht hin), dann auch
     fixen/löschen.   Sonst vorerst stehen lassen.

Wie gesagt, alle Haken links ran machen, dann unten Fix checked drücken.
Anschliessend den PC wieder neu starten im Normalmodus.
Dort nochmals wie anfangs erwähnt mit dem Ausführen von cleanmgr (also : Start-->ausführen usw.) nochmals
alles anhaken und reinigen.

Viel Erfolg!

PS: ansonst solltest Du diesen Thread
 ( www.trojaner-board.com/showthread.php?t=14512 und
 ( www.trojaner-board.de/showthread.php?t=14366 )
    im Auge zu behalten. Dort versucht man die Tage
    ein spezielles Cleaner-Tool zu entwickeln,
    da dieses se.dll/sp.html-Problem wie gesagt z.Z.
    sehr grassiert und auch offensichtlich in
    mehreren Varianten auftaucht.
    Hoffen wir, daß wir bald das Tool haben :-)

moin jungs ich hatte dieses dreckstück auch drauf, da ich auch nicht der totale pc freak bin habe ich auch einige programme versucht wie spybot, adaware usw. es half keines, dann habe ich dieses hijackThis laufen lassen und der hat dem burschen das handwerk delegt.

Hallo bergmann,
es tut mir leid das ich mich so spät melde doch ich muste Arbeiten.
So habe alles so gemacht wie du es mir geschrieben hast hoffe das es jetzt wieder in ordnung ist. wen nicht dann werde ich es noch mal versuchen.
Danke das du mir geholfen hast.
fabitom

hi leute ich hab auch diesen böden trojaner und krieg den einfach net weg auch net mit hjack. was mach ich nua falsch? bitte helft mir!!! danke im vorraus, bye,
>>niki ???

Moin niki2103 ,
hast du die anderen og. Tools schon soweit versucht, auch das vom Trojaner-Board?
kann es sein, daß du vielleicht einen Eintrag zum fixen übersehen hast?
Poste einfach ein aktuelles hjt-logfile, vielleicht findet sich noch was.

ich bin kein pc genie ich kapier diese fachsprache absolut net! geht das aucha uf laiensprache?? *liebfrag* hab mit hjack alles probiert udn soweit ich das sehe auch nix übersehn. was und wo find cih denn noch andere tools und so? ??? ???

Hallo niki2103 ,

viel lesen und sich umschauen, dann lernt man auch langsam diese "Fachsprache" und diese ist meist präziser als die Laiensprache :-)
Aber zum TR/StartPage.qr.DLL-Problem: davon gibt's viele Varianten, daß macht es nicht so einfach mit Entfernungstools zu arbeiten, die nicht immer so aktuell sein müssen.
Hast du schon die letzte Version des SpSeHjfix-Tools versucht: --> http://www.derbilk.de/404.html
 
Mit anderen Tools wie ad-aware ( www.lavasoft.de )o.
Spybot
( www.safer-networking.org/de/download/index.html )
wirst du da kein Glück haben.

Poste doch einfach nach dem Versuch mit dem og. Tool
deine  HJT-Logfile. Vielleicht findet sich ja doch noch was , denn TR/StartPage.qr.DLL ist schwer alles zu finden.

hallo !
habe gerade erfahren, daß diese TR/StartPage.qr.DLL
seit neuestem von Microsoft's AntispyBeta1 entfernt werden kann.
zu finden unter
 www.microsoft.com/athome/security/spyware/software/default.mspx

keine ahnung, ob's stimmt aber ein Versuch wäre es wert,wenn jemand davon betroffen ist. ist ja auch noch Freeware bis Juli 05.

Hi
Ich hatte den gleichn acuh mal ( eig. schon 5x).
Ich hab auf meim pc e-trust antivirus.
Der hats jedesmal sofort gemerkt und bereinigt (gesäubert).
Allerdings war etrust bei meim pc dabei, also dazu geschenkt. Die version die ich hab ist ne kostenpflichtige.
Ich weiß nicht, aber du könntest ja nach na freeware suchen?
Der KENNER

GRAB DOCH NICHT DIE ALTEN THEAMEN AUS

1. combofix laden, log posten:

http://virus-protect.org/artikel/tools/combofix.html
2. malwarebytes runterladen, instalieren,  updaten log posten:

http://virus-protect.org/artikel/tools/malwarebytes.html
3. hijackthis laden, und nach anleitung ausfüren log posten:

http://virus-protect.org/hjtkurz.html

@markusg

Ich glaub von hier brauchen wir keine Logs
Sieh dir mal das DATUM an
hätte auch geantwortet gg