Guten Tag,

seit mehreren Tagen versuche ich, eine (so vermute ich) Coolwebsearch-Variante loszuwerden.

Die Kennzeichen sind folgende:
- Ohne Verbindung zum Internet öffnet sich im Abstand von Minuten das Fenster "DFÜ-Verbindung".
- Ohne Verbindung zum Internet öffnen sich unterschiedliche Popup-Fenster im Abstand von Minuten wie u.a.
"Your system is overloaded" und es wird zum Kauf von Anti-Spyware aufgefordert.
- Im Dir c:\windows\temp befindet sich eine Datei se.dll
- In der Registry befindet sich ein Autorun-Eintrag ../run/sp rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

- Entferne ich die Datei c:\windows\temp\se.dll (z.B. im MS-DOS Modus oder mit Hijack@),
ist sie innerhalb von wenigen Sekunden wieder vorhanden.
- Entferne ich in der Registry den Autorun-Eintrag ../run/sp rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall,
ist der Eintrag innerhalb von wenigen Sekunden wieder vorhanden.

- SpybotDestroy findet nichts
- Ad_Aware findet nichts
- Cwshredder löscht manchmal CWS.HiddenDLL

- eScan habe ich versucht (nach Anleitung) zu benutzen.
Läuft die Software evtl. nicht unter Win98?


Nachdem ich eine Weile mit dem T-Online-Browser im Internet war, siehts das HijackThis-Logfile z.B. so aus:

Logfile of HijackThis v1.99.0
Scan saved at 19:20:24, on 14.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\CCWTUP32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL PRO 5\KAVMM.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL PRO 5\KAV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINCOM5\WINCMD32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACK_THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~2\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [KAV50Service] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE


Irgend ein Task muß wohl dafür sorgen, daß die se.dll immer wieder geladen wird und der Autostart
in die Registry eingetragen wird.

Das Programm TaskInfo liefert folgende Task-Liste:

!!! Folgt, da sonst der Eintrag zu lang wird.

Sehr eigenartig finde ich die beiden letzten Einträge "VxD Kernel" und "VxD Unknown" (ohne ProcessID und ohne normalem Process-Namen).
Der Task VxD Unknown ist meist sehr aktiv (5-95% der Prozessor-Zeit).
In der Windows-Taskliste und im HijackThis-Bericht erscheinen diese Tasks nicht, da sie ja unbekannt sind.
Ich habe den dringenden Verdacht, daß diese Tasks dafür sorgen, daß ich diesen Müll nicht wieder loswerde.



Hoffentlich hilft mir jemand weiter.

Freundliche Grüße

Josef H.

http://www.trojaner-board.de/showthread.php?t=13744 <- war auch mein problem da stehts ^^

Guten Tag,

es scheint, daß ich das Ding losgeworden bin.

- c:\windows\temp\se.dll im Msdos-Modus gelöscht
- run ... se.dll in Registry gelöscht
- alle neueren Dateien in c:\windows\system
in ein anderes Direktory bewegt
- Rechner normal gestartet
(mit ein paar Fehlermeldungen w.g. fehlender Dateien)
- Online mit Kaspersky die neuen Dateien geprüft
(14 Dateien infiziert)
- Rest der Dateien wieder -> c:\windows\system
- Rechner neu gestartet

Hät natürlich schief gehen können.

Josef

- alle neueren Dateien in c:\windows\system
in ein anderes Direktory bewegt <- das wär nicht nötig gewesen

Guten Tag,

da habe ich wohl Pech gehabt - nach 4 Stunden war alles wieder da.

Hier noch mehr zu einer meiner Beobachtungen:

Irgend ein Task muß wohl dafür sorgen:
- Daß die se.dll immer wieder geladen wird
- Der Autostart in die Registry eingetragen wird.
- Eine DLL mit wechselndem Namen ins Dir c:\windows\temp eingetragen wird.
- Diese DLL als BHO installiert wird.

Das Programm TaskInfo liefert u.a. folgende Task-Infos:

|ProcessID| |Process| |% CPU| |CPUGraph| |LT % CPU| |Time| |Sw/s| |InMem KB| |Total KB| |Th||Pri| |Ver||State| |Handles| |Windows| |Start Time||Path|

+ VxD Unknown 25.42% 39.52% 4:06 755 0 0 129 Norm 4.3 0 0 VxD Unknown

+ VxD NTKERN 0.02% 0 0 0 5 Norm 4.3 0 0 VxD NTKERN

Sehr eigenartig finde ich diese Einträge (ohne ProcessID und ohne normalem Process-Namen).
Der Task VxD Unknown ist meist sehr aktiv (5-99% der Prozessor-Zeit).
In der Windows-Taskliste, im HijackThis-Bericht erscheinen diese Tasks nicht!!!
Ich habe den dringenden Verdacht, daß diese Tasks dafür sorgen, daß ich diesen Müll nicht wieder loswerde.

Übrigens laufen diese Tasks auch im abgesicherten Modus!

Josef

also machen wir alles ganz von vorne.
führe das aus:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

3.dateien löschen
-lösche die datei se.dll im ordner c:\windows\temp
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

Guten Tag,

zuerst vielen Dank an Chris14, daß du für mich nochmal alles so genau aufgeschrieben hast.


1.escan
- Nach Anleitung runtergeladen, Update mit KAVUpd.exe gemacht.
- Start von c:\bases\mwavscan.com durch Doppelklick im Explorer oder Totalcommander -> Es tut sich garnichts.
- Nach der Ausführung der anderen EXE-Dateien im Dir c:\bases (hätte ich ? nicht machen sollen) gibts zwei Log-Files:

Datei mwXface.log
[MSIPCSRV.EXE] [0xfffd027f] 19/02/2005 18:51:52:240 ie angegebene Datei wurde nicht gefunden.
[MSIPCSRV.EXE] [0xfffd027f] 19/02/2005 18:51:52:290 :ERROR!!! Unable to Get MailScanDir . Reason above
[MSIPCSRV.EXE] [0xfffd027f] 19/02/2005 18:51:52:290 :ERROR!!! MSIPCSRV_LoadMailScanSettings Fails

Datei esupdate.log
[ESUPDATE] [0xfffd1aef] 19/02/2005 18:52:28:210 :Neither MailScan nor eScan could be detected on this machine!


2. einträge löschen
- OK gemacht


3. dateien löschen
- datei se.dll im ordner c:\windows\temp gelöscht
!!! von escan beanstandete dateien nicht gelöscht, da escan nicht ausgeführt wird.


4. ergebnisse
Da escan nicht läuft, habe ich Kaspersky Anti Virus Personal Pro zumindest auf meinen laufwerken c: und d: ausgeführt.
Weitere Laufwerke mit ca. 300GB Daten (z.T. gezippt) habe ich noch nicht scannen können - würde vermutlich > 1 Woche dauern.


Die Ergebnisse von Kaspersky:
Task: Scan quarantined objects
Quarantined object 1[1].htm Possibly is a malicious program Exploit.HTML.Mht. 19.02.05 16:30:40
Quarantined object 1[1].htm Could not be disinfected. Reason: action cancelled. 19.02.05 16:30:40

Task: Scan objects
Object Event Duration
C:\My Downloaded Files\erg50.exe\Eng/RecoveryGenius/YZDLL32.DLL Is a trojan Trojan.Win32.LaSta. 19.02.05 16:06:25
C:\My Downloaded Files\erg50.exe Is a trojan Trojan.Win32.LaSta. 19.02.05 16:06:29
C:\My Downloaded Files\erg50.exe Could not be disinfected. Reason: disinfection postponed until the scan is complete. 19.02.05 16:06:30
C:\My Downloaded Files\erg50.exe\Eng/RecoveryGenius/YZDLL32.DLL Is a trojan Trojan.Win32.LaSta. 19.02.05 16:16:18
C:\My Downloaded Files\erg50.exe Is a trojan Trojan.Win32.LaSta. 19.02.05 16:16:20
C:\My Downloaded Files\erg50.exe Deleted. 19.02.05 16:16:20

Task: Scan My Computer
c:\Programme\hijack_this\backups\backup-20050214-150336-560.dll Is a trojan Trojan.Win32.StartPage.qr. 19.02.05 13:33:30
c:\Programme\hijack_this\backups\backup-20050214-150336-560.dll Could not be disinfected. Reason: disinfection postponed until the scan is complete. 19.02.05 13:33:30
c:\Programme\hijack_this\backups\backup-20050215-135015-220.dll Is a trojan Trojan.Win32.StartPage.qr. 19.02.05 13:33:31
c:\Programme\hijack_this\backups\backup-20050215-135015-220.dll Could not be disinfected. Reason: disinfection postponed until the scan is complete. 19.02.05 13:33:32
Von mir in eine Zip-Datei gesperrt:
c:\WINDOWS\SYSTEM\gesperrt\gesperrt.zip\omknega.dll Is a trojan Trojan.Win32.StartPage.qr. 19.02.05 14:49:15
c:\WINDOWS\SYSTEM\gesperrt\gesperrt.zip\omknega.dll Could not be disinfected. Reason: disinfection postponed until the scan is complete. 19.02.05 14:49:16
c:\WINDOWS\SYSTEM\gesperrt\gesperrt.zip Is a trojan Trojan.Win32.StartPage.qr. 19.02.05 14:49:19


Weitere Hinweise

Die c:\windows\system\kernel32.dll will immer wieder ins Internet (laut Sygate-Firewall).

Ich habe einmal in der Sygate-Firewall vergessen zu Blocken - und dann war der Mist wieder da.


MfG Josef