Hallo!
Habe hier ein für mich unlösbares Problem mit diesem TR\StartPage.qr.dll.
Habe schon versucht ein paar Einträge, z.B. die se.dll usw. im abgesicherten Modus zu fixen, hat aber nicht geholfen. Zu allem übel läuft jetzt komischerweise der Windows-Explorer auch nur noch im abgesicherten Modus. Hab ich schon zuviel gefixt? Oder ist das wohl ein anderes Problem?
Naja, ich hoffe hier kann mir jemand helfen. Dazu hier erstmal mein logfile:

Logfile of HijackThis v1.99.0
Scan saved at 21:54:18, on 21.02.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.ewetel.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: (no name) - {02C41136-E95A-448B-A996-A2F890E2B2B0} - C:\WINDOWS\SYSTEM\PHG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe
O18 - Filter: text/html - {CC537DF0-CBB0-4C4A-9B1D-B05277B9D45F} - C:\WINDOWS\SYSTEM\PHG.DLL
O18 - Filter: text/plain - {CC537DF0-CBB0-4C4A-9B1D-B05277B9D45F} - C:\WINDOWS\SYSTEM\PHG.DLL

Ob Du zuviel 'gefixt' hast, kann ich Dir aus der Ferne nicht verraten.

Devinitiv gefixt werden müssen nach dem jetzigen Log folgende Einträge (im abgesicherten Modus):

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.ewetel.de <- Diese Seite kannst Du nachträglich wieder als Startseite eintragen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
...
O2 - BHO: (no name) - {02C41136-E95A-448B-A996-A2F890E2B2B0} - C:\WINDOWS\SYSTEM\PHG.DLL
...
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
...
O18 - Filter: text/html - {CC537DF0-CBB0-4C4A-9B1D-B05277B9D45F} - C:\WINDOWS\SYSTEM\PHG.DLL
O18 - Filter: text/plain - {CC537DF0-CBB0-4C4A-9B1D-B05277B9D45F} - C:\WINDOWS\SYSTEM\PHG.DLL

Anschließend (vor einem Neustart) die folgenden Dateien manuell löschen:
C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\SYSTEM\PHG.DLL

Boote erst dann neu und erstelle eine neue Log-Datei mit HijackThis

Hallo Lutz.
Irgendwie hat das noch nicht ganz hingehauen. Habe zwar die von dir erwähnten Sachen gefixt und auch die se.dll im temp-Verzeichnis gelöscht (die PHG.dll in windows\system habe ich nicht gefunden!!). Zunächst lief das System auch wieder ordnungsgemäß mit folgendem logfile:

Logfile of HijackThis v1.99.0
Scan saved at 16:29:13, on 22.02.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe


aber bei der ersten Verbindung mit dem Internet (Outlook-Nachrichtenabruf) war dann wieder alles vorbei, die Antivir-Meldung für die se.dll erschien und es ging so gut wie nichts mehr.
Ich hab dann das gleiche Spiel mit HijackThis nochmal gemacht mit folgendem logfile:
Logfile of HijackThis v1.99.0
Scan saved at 17:01:32, on 24.02.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://e:\temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://e:\temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53864387-36DA-4405-8700-B117BC306E42} - C:\WINDOWS\SYSTEM\DNIC.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe
O18 - Filter: text/html - {5D8E36A5-CCEB-40B9-A384-8DCA150F18B1} - C:\WINDOWS\SYSTEM\DNIC.DLL
O18 - Filter: text/plain - {5D8E36A5-CCEB-40B9-A384-8DCA150F18B1} - C:\WINDOWS\SYSTEM\DNIC.DLL


So, dann hab ich die vom ersten Mal schon bekannten Einträge gefixt, die se.dll im tem-Verzeichnis gelöscht, aber die Datei die diesmal DNIC.DLL heißt und in Windows\System stehen soll wieder nicht gefunden!!

Es ergibt sich folgendes logfile:
Logfile of HijackThis v1.99.0
Scan saved at 17:57:23, on 24.02.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe


Was kann ich jetzt noch tun? und wieso finde ich die PHG.DLL bzw DNIC.DLL nicht?
Gruß Webwilli

Deinen Grundsatz-Beitrag zu diesem Thema hab ich übrigens gelesen. Den Papierkorb hab ich geleert, die Registry gesäubert (mit RegClaener) hat aber auch nichts gebracht. Kann auch wie beschrieben die rot markierten Dateien nicht finden.
Könnten vielleicht die folgenden die ich über die Suche nach Datum der letzten Änderung in Windows\System gefunden hab was damit zu tun haben?
dle.dll, hnapifa.dll, pji.dll
Gruß Webwilli

Hallo webwilli,

hast Du im WindowsExplorer unter Extras -> Ordneroptionen -> Ansicht folgendes (durch Häckchen) aktiviert?

Versteckte Dateien -> Alle Dateien anzeigen

So sollten diese Dateien für Dich sichtbar werden.

Ja, da hab ich schon drauf geachtet. Der Haken ist gesetzt. Die Datei ist aber trotzdem nicht zu finden. Hab halt nur die unten beschriebenen gefunden.
Gruß
Webwilli

Schon merkwürdig...
Irgendetwas ist da, was im Log nicht angezeigt wird.
Mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hallo Lutz,
eScan läuft auf dem Rechner aus welchem Grund auch immer nicht (auf einem anderen win98 Rechner läuft es prima).
Aufgrund eines anderen Hinweises habe ich in der Reg. aber den gesuchten Eintrag DNIC.DLL auf den im log hingewiesen wird gefunden, uind zwar unter:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

den Eintrag:

UninstallString "regvr32 /s /u C:\Windows\System\DNIC.DLL

So, nun hab ich in der Reg. nach dieser DNIC.DLL gesucht (bei den Suchoptionen alle Häkchen bei Schlüssel, Werte, Daten gesetzt) und erhalte folgendes Ergebnis:

siehe reg.jpg

Kann ich nun diese mir angezeigten bzw. dann auch den oben genannten Eintrag löschen?

Gruss Webwilli

Hallo webwilli,

ich habe vorhin -eher zufällig- diese Beschreibung von TrendMicro gefunden -> http://es.trendmicro-europe.com/ente...PAGE.V&VSect=O

Da ich aufgrund Deiner Beschreibungen annehmen, dass Du nicht ganz 'unbedarft' bist, zeige ich Dir den Link. Vielleicht findest Du ja weitere Parallelen, auch wenn es sich in Deinem Fall u. U. um eine andere Spezies des Hijackers handelt.

Um auf Deine Frage zurück zu kommen. Ich denke, wenn Du vorher für alle Fälle ein Backup der gesamten Registry machst, kann eigentlich nicht viel passieren, wenn Du die entsprechenden Funde löschst.

Irgendwie habe ich den Eindruck, dass sich auch Dein AntiVir immer wieder verabschiedet. Auf dem Sreenshot von Dir fehlt auch das Icon. Das könnte u.U. den gleichen Hintergrund haben, wie die Tatsache, dass eScan bei Dir nicht läuft...

Vielleicht hast Du mit einem Online-Scanner mehr Erfolg?!? Hier eine kleine Auswahl -> http://malware.bul-online.de/av_onlinescan.php

Ansonsten könntest Du -da Du von mehreren Rechner sprichst- die Festplatte des infizierten Rechners mal als Slave in einen Rechner bauen, auf dem eScan läuft und von dort aus die Platte scannen. Aber je nach Wichtigkeit der Daten ist es evtl. schneller und einfacher, Du setzt den Rechner neu auf?!

Du siehst, mir gehen langsam die Ideen aus...