Trojaner

Lies mal oben die drei Thereads, unter anderen McAffee Avert Stinger... hast du denn eine Ahnung welcher es ist oder wie kommst du drauf?

Der Trojaner heißt mshp.dll!

Habe es jetzt mit den vorgegebenen Programmen probiert.Kriege den Trojaner nicht weg.Im Gegenteil,mittlerweile ist noch ein zweiter da.Namens qsesa.dll.Wie kann ich die wegkriegen? Oder muß ich den PC kompltt platt machen? Bitte nochmals um Hilfe.Vielen Dank

Gruß G.

Mach mal das Hijackthis-Logfile und kopier den Inhalt hier rein. Anleitung siehe Magazin - Spyware

Logfile of HijackThis v1.97.7
Scan saved at 18:57:10, on 14.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\appaq32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\atlmj32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10RN2.EXE
C:\Dokumente und Einstellungen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qsesa.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qsesa.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qsesa.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qsesa.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qsesa.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qsesa.dll/sp.html#37049
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: (no name) - {84791202-CB60-843F-5DD2-0B474EE4F6D2} - C:\WINDOWS\ntwf.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [atlmj32.exe] C:\WINDOWS\atlmj32.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

Die R0+R1 fixen,

da isser, fixen

O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
(Datei auch löschen im abgesicherten Modus)

online prüfen
O2 - BHO: (no name) - {84791202-CB60-843F-5DD2-0B474EE4F6D2} - C:\WINDOWS\ntwf.dll

den auch

O4 - HKLM\..\Run: [atlmj32.exe] C:\WINDOWS\atlmj32.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install

wenn Befall, fixen.

Habe alles gefixt.RO+RO1 kommt immer wieder.Habe danach alles gefixt.Trotzdem kommen RO+RO1 etc. wieder.Hat wohl keinen Zweck.Oder?

Haste das auch im abgesicherten Modus gemacht. Und lass nochmla CWS-Shredder laufen im abg. Modus.

Geh mal im abgesicherten Modus in die Registrierung(start->ausführen->Eingabe: regedit->OK)

Dort suchste dann folgenden Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Und schaust was auf der rechten Seite in Appinit_DLLs steht, das kannste mal hier posten.

Ansonsten probier mal den SP-Cleaner

Gruß