Hallo zusammen,

ich habe die von Lutz beschriebene Vorgehensweise im Thread "Immer wieder 'se.dll/sp.html' durchgeführt - leider nur mit kurzzeitigem Erfolg. Nachdem ich die beanstandeten Einträge im abgesicherten Modus gefixt, die beiden dll-Dateien gelöscht und der Registry Optimierer über 400 fehlerhafte Einträge gefunden hatte, dich ich auch gelöscht habe, war ich doch voller Optimismus, das Ding endlich los zu sein. Wie gesagt war diese Hoffnung aber nur von kurzer Dauer, seit heute Abend ist der Hijacker leider wieder da. Guter Rat ist also nachwievor gefragt, ich hoffe weiterhin auf neue Erkenntnisse und Ratschläge, um das Ding endgültig loszuwerden.

@Vilstaler
poste ein HJT logfile

chaosman

@Vilstaler

vermutlich hast Du "Escan" nicht zum Scannen überreden können.
Da muss irgendwas in den Tiefen des Systems sitzen.
Gib mal bei Google "online scannen" ein. Es gibt einige Möglichkeiten, das gesamte System scannen zu lassen.
Welchen Browser benutzt Du?

dartus

Hallo Vilstaler,

da es mir ähnlich ergeht, traue ich mich, mir mal meine Erfahrung weiterzugeben:

Ich habe diesen StartPage-Trojaner mit SP.DLL und SE.DLL nun schon seit fünf Wochen auf dem System.

Die SP.DLL und die SE.DLL konnte ich nach der Mehtode (eine ähnliche Methode habe ich vom BSI) löschen. Der Trojaner bleibt aber immer noch.

Schaue doch mal in Deinen "Eigenen Dateien" nach einem Ordner "backups" oder Suche mal nach solchen Ordnern. Einige dieser Ordner gehören zu regulären Programmen, wie SpyBot, Ad-Aware,usw.

Sollte einen ähnlichen Ordner in den Eigenen Dateien haben, so schau da mal rein, was da so drin ist. Meine Vermutung ist, daß dieser Ornder Backups vom Trojaner enthält.

Ich habe schon mehrmals versucht diesen Ordner zu löschen, er kommt aber immer wieder.

Gruß

AL-ADIN

Hallo Vilstaler,

natürlich kann es gut sein, dass meine Empfehlungen im genannten Thread nicht immer von dauerhaften Erfolg 'gekrönt' sind. Deswegen schrieb ich ja auch, dass jeder natürlich nachfragen kann, wenn sich mit den angegebenen Schritten das Problem nicht lösen lässt.

Poste doch bitte mal ein aktuelles Log von HijackThis.
Und sag mir/uns bitte, wie lange der Rechner 'sauber' lief und ob Du zwischendurch gebootet hattest. Theorethisch könnte es sich auch um eine neue Infektion handeln, wenn der Rechner ein paar Tage sauber lief und vor allem zwischendurch gebootet wurde, bzw. aus war...

Nochmals Hallo,

vielen Dank für die Tipps, ich werde versuchen, die Fragen so gut wie möglich zu beantworten:
@ Lutz: Der Rechner war leider nur für 24 Stunden sauber (können auch etwas weniger gewesen sein), ich habe gestern Abend die von dir beschriebenen Schritte durchgeführt, heute Nachmittag war dann noch Alles in Ordnung, aber nach einem neuerlichen Neustart gegen 18 Uhr war der Hijacker dann eben wieder da. Ich habe dann die Schritte nochmals durchgeführt, um wenigstens für eine gewisse Zeit "sauber" ins Internet gehen zu können und nicht immer von Extra-Fenstern gestört zu werden, diesmal hat sich die se.dll-Datei aber anscheinend schneller wieder vom Löschen erholt, jedenfalls ist sie jetzt schon wieder da (wenn auch "alleine", aber eine dazugehörige zweite dll-Datei wird wohl nach einem der nächsten Starts auch wieder unter O2 und O18 dabeisein). Hier mal mein aktueller Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:48:46, on 25.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab

Im Moment öffnet übrigens noch wie gewünscht Google den IE, aber wie gesagt, demnächst wird wohl mit der zweiten dll-Datei auch wieder die about:blank-Seite erscheinen ... !

@ dartus: Ja, hast Recht, ich habe E-Scan immer noch nicht zum Laufen gebracht.
@ Al-adin: Also unter Eigene Dateien habe ich keinen backups-Ordner, lediglich unter Spyboot Search&Destroy und Reg Cleaner (beider jedoch leer) und unter HijackThis (hier schon einige Einträge, z.B. backup-20050225-200236-878.dll -wird als Programmbibliothek geführt und wurde heute um 18.39 Uhr erstellt, das würde also passen). Das mit den 5 Wochen hört sich ja gar nicht gut an, ich hoffe doch, daß demnächst eine Möglichkeit gefunden wird, diesen lästigen Störenfried für immer zu beseitigen - und bis dahin hoffe ich weiter auf fachmännische Unterstützung.

Hallo AL-ADIN,

Zitat:

Zitat von AL-ADIN

Schaue doch mal in Deinen "Eigenen Dateien" nach einem Ordner "backups"... Ich habe schon mehrmals versucht diesen Ordner zu löschen, er kommt aber immer wieder.

Einem anderen Beitrag von Dir habe ich dieses entnommen:

Zitat:

C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe

Demnach hast Du HijackThis im Verzeichnis ..\Eigene Dateien 'installiert'. Dann ist es auch normal, dass bei jeder 'Fix-Aktion' dort ein Unter-Verzeichnis "backups" angelegt wird. Dort befinden sich dann die Backups von HijackThis.

Gebe HijackThis doch mal ein komplett eigenes Verzeichnis, also zum Beispiel C:\Programme\HijackThis\. Dann sollte es imho aufhören, dass sich im Pfad Eigene Dateien ein Unterordner 'backups' anlegt...

@Vilstalter,
ich habe den Thread Immer wieder 'se.dll/sp.html'aktualisiert. Vielleicht gehst Du noch einmal entsprechend vor!?!

Hallo Lutz, hallo Vilstaler,

der Lutz hat recht. Das kommt davon, wenn man hysterisch wird
Das ist mir jetzt aber peinlich.

Der Thread von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt dennoch meine Vermutung, das wir Symptomen bekämpfen, aber nicht die Ursache.

Schau Dir diesen Thread mal an, vielleicht bringt das ja was.

Gruß

AL-ADIN

Zitat:

Zitat von AL-ADIN

der Lutz hat recht. Das kommt davon, wenn man hysterisch wird !
Das ist mir jetzt aber peinlich.

Das muss Dir nicht peinlich sein.
Mir hätte es auch schon eher auffallen können...

Zitat:

Zitat von AL-ADIN

Der Thread von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt dennoch meine Vermutung, das wir Symptomen bekämpfen, aber nicht die Ursache.

[Ironie]'Natürlich' basteln wir nur an den Symptomen, die Ursache können nur die beseitigen, die solche Unsicherheits-Browser wie den IE programmieren...[/Ironie]

Leider -oder zum Glück- konnte ich einen solchen Hijacker-Befall hier bei mir noch nicht rekonstruieren. Da mir bisher niemand sagen konnte, auf welcher Seite man sich diesen einfängt. Sollte jemand meinen, er/sie wüsste die bzw. eine der Seiten bitte nicht hier öffentlich posten, sondern ausnahmslos per PN mitteilen.
Danke!

Hallo Leute..
hab natürlich auch das gleiche Problem wie ihr -> sch... se.dll
habs schon im abgesicherten Modus, Ad Aware, und Hijackthis...
nicht funktioniert!

Hier mal mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 01:15:07, on 27.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\ALMXPMGR.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\winms.exe
C:\WINDOWS\System32\winms.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Programme\Gemeinsame Dateien\Siemens\Ace\bin\CCAgent.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\msdtc.exe
C:\PROGRA~1\MI6841~1\MSSQL$~1\binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\niSvcLoc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCEServer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Frippe\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Frippe\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Frippe\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchzoomer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.11.1.2:80
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,ALMXPMGR.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {142D65FD-C0D8-4DF7-9710-42B5FDD5C652} - C:\WINDOWS\System32\bfce.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Microsoft Windows Storage Machine Service] winms.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\RunServices: [Device Microsoft System] devsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Storage Machine Service] winms.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O18 - Filter: text/html - {1E49279A-33FD-44E5-BEC5-D18CE9151539} - C:\WINDOWS\System32\bfce.dll
O18 - Filter: text/plain - {1E49279A-33FD-44E5-BEC5-D18CE9151539} - C:\WINDOWS\System32\bfce.dll
O23 - Service: CCAgent - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\Ace\bin\CCAgent.EXE
O23 - Service: CCEClient - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCEClient.exe
O23 - Service: CCEServer - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCEServer.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programme\National Instruments Labview\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OpcEnum - OPC Foundation - C:\WINDOWS\System32\OPCEnum.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Könnte mir mal wer weiterhelfen..

danke

mfg Frippe

Hallo,

Du hast leider noch schwerwiegendere Probleme.
U.a. hast Du den in Deinem System:

http://www.sophos.com/virusinfo/anal...32rbotahk.html = winms.exe

Leider wird Dir hier bei einem derartigen Befall eines Trojaners mit Backdoorfunktionalität zu Format C: geraten, um wieder ein sicheres und vertrauenswürdiges System zu haben.

Hier eine erstklassige Anletung:

http://www.trojaner-board.de/showthread.php?t=12154

Thema datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Hallo Lutz, Hallo Leidensgenossen,

ich habe die neuen Erkenntnisse aus dem Thread "Immer wieder 'se.dll/sp.html'" jetzt ausprobiert - leider wieder ohne Erfolg, es ist zum Verzweifeln.
Die se.dll-Datei wurde bei der Suche im Windows-Explorer nur 1x gefunden, das de-registrieren über regsvr32 /u C:WINDOWS\TEMP\SE.DLL hat dann nicht geklappt, da kam als Meldung
C:\WINDOWS\TEMP\SE.LL was loaded, but the DllUnregisterServer entry point was not found.
DllUnregisterServer may not be exported, or a corrupt version of C:\WINDOWS\TEMP\SE.DLL may be in memory. Consider using Pview to detect and remove it.
Das Löschen unter Misc Tools bei HijackThis hat dann funktioniert, anschließend habe ich noch alle bisherigen Ratschläge gebündelt (sprich verdächtige Einträge mit HijackThis gefixt, Registry auf beide dll-Dateien durchsuchen lassen und Funde gelöscht, Registry-Einträge wie about:blank oder HomeOldSp gelöscht, CW Shredder und RegistryOptimierer laufen lassen) - leider wie gehabt nur mit kurzzeitigem Erfolg.
Da ich momentan ziemlich ratlos und verzweifelt bin mal eine allgemeine Frage an alle Insider/Programmierer etc: Es hat im letzten Jahr auch schon einen ziemlich hartnäckigen Hijacker gegeben, der sich nicht so einfach entfernen ließ und von dem Viele betroffen waren - als Lösung dafür ist dann irgendwann ein kleines Programm namens SpHjfix erschienen, das den Störenfried dann erfolgreich bekämpft hat, können wir Betroffenen in der nächsten Zeit möglicherweise auch in unserem Fall mit einem solchen "Hilfsprogramm" rechnen?
Kann mir außerdem jemand einen guten Tip für einen Online-Scanner nennen, nachdem ich E-Scan leider nicht zum Laufen bringe?
@ Lutz: Ich habe leider bei deiner zusätzlichen Anleitung nicht ganz verstanden, wie (oder besser gesagt warum) man zur Kontrolle, ob die Hijacker-Variante wirklich entfernt wurde, den PC 1x komplett ausschalten, nach ein paar Sekunden neu starten und den InternetExplorer starten solle, ohne dabei online zu sein. Bei mir hat der IE dann immer noch versucht, als Startseite "about:blank" zu öffnen, man hat also anscheinend bloß die se.dll-Datei entfernt, sonst aber keine Eingriffe bezogen auf die Startseite durchgeführt? Hätte ich vor der Kontrolle vielleicht noch etwas anderes tun müssen und ist dieser Tipp jetzt hinfällig, nachdem es mit dem dauerhaften Entfernen unter Misc Tools beim HijackThis leider nicht geklappt hat?

Hallo Vilstaler,

Zitat:

Da ich momentan ziemlich ratlos und verzweifelt bin mal eine allgemeine Frage an alle Insider/Programmierer etc: Es hat im letzten Jahr auch schon einen ziemlich hartnäckigen Hijacker gegeben, der sich nicht so einfach entfernen ließ und von dem Viele betroffen waren - als Lösung dafür ist dann irgendwann ein kleines Programm namens SpHjfix erschienen, das den Störenfried dann erfolgreich bekämpft hat, können wir Betroffenen in der nächsten Zeit möglicherweise auch in unserem Fall mit einem solchen "Hilfsprogramm" rechnen?

Ratlos bin ich im Moment auch. Das liegt u.U. auch daran, dass ich hier die Infektion nicht nachstellen kann (keiner konnte mir bisher sagen, wo man sich das Ding einfängt) und von daher nur auf Vermutungen und Erfahrungen aus der Vergangenheit angewiesen bin. Ich werde den Programmierer von SpHjfix mal versuchen im Laufe des Tages zu kontakten, aber ich befürchte ohne die eigentlich verursachende Datei kann er auch nicht viel ausrichten.

Wenn ich so die Postings quer durchs Web verfolge, habe ich im Moment die Vermutung, dass 'lediglich' bei Win9x-Systemen die Bereinigung sich schwieriger darstellt. Daher habe ich mal eine Bitte an Dich.
Lade Dir mal das Tool StartDreck herunter, starte es und poste ein Log davon. Danke!

Zitat:

Kann mir außerdem jemand einen guten Tip für einen Online-Scanner nennen, nachdem ich E-Scan leider nicht zum Laufen bringe?

Hier habe ich mal einige Onlinescanner gelistet. http://malware.bul-online.de/av_onlinescan.php
Versuch mal als erstes den Scanner von TrendMicro, der läuft auch unter bspw. Firefox oder Mozilla... Allerdings wird das Browser Plugin für die Java 2 Platform benötigt.

Hallo Lutz,

hier der gewünschte StartDreck-Log, ich habe mein System mal infiziert gelassen (d.h. eigentlich ist es das ja immer, aber diemal habe ich vor dem Log halt nichts gelöscht), die SE.DLL ist wie immer die Gleiche, diesmal wird noch die zusätzliche Datei C:\WINDOWS\SYSTEM\NIJOE.DLL erzeugt, die im Hijack-This-Log unter O2 und O18 erscheint.

StartDreck (build 2.1.7 public stable) - 2005-02-27 @ 15:44:51 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as Bender Andreas at X6B3K1
»Registry
»Run Keys
»Current User
»Run
*AKiller="C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
*cFos - Tip of the Day=C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
*SpyKiller=C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*Atikey=Atitask.exe
*AtiCwd32=Aticwd32.exe
*StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE
*LWBKEYBOARD=C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
*LWBMOUSE=C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*AVGCtrl=C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
*sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
+OptionalComponents
+IMAIL
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
»RunServicesOnce
**nq=rundll32 C:\WINDOWS\SYSTJM.INI,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\SPYBOT SEARCH&DESTROY\SPYBOT - SEARCH & DESTROY\blindman.exe" %1
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
+.htm
*htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome
+.html
*htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome
+.js
*JSFile=C:\WINDOWS\WScript.exe "%1" %*
+.jse
*JSEFile=C:\WINDOWS\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\WINDOWS\WScript.exe "%1" %*
+.vbe
*VBEFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsf
*WSFFile=C:\WINDOWS\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*{EEB00E62-88D4-11D9-BB30-003022F7CF65}
`InprocServer32=C:\WINDOWS\SYSTEM\NIJOE.DLL
»Files
»Autostart Folders
»Current User
*C:\WINDOWS\Startmenü\Programme\Autostart\Speedmgr.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\reminder-ScanSoft Produkt Registrierung.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\CAPI Control.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\DSLMON.lnk
»Default User
*C:\WINDOWS\Startmenü\Programme\Autostart\Speedmgr.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\reminder-ScanSoft Produkt Registrierung.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\CAPI Control.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\DSLMON.lnk
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\msdos.sys
*C:\config.sys
*C:\autoexec.bat
*C:\WINDOWS\wininit.bak
*C:\WINDOWS\dosstart.bat
»System/Drivers
»Running Processes
+FFEF307F=C:\WINDOWS\SYSTEM\KERNEL32.DLL
+FFFFEC0F=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
+FFFFFB7F=C:\WINDOWS\SYSTEM\MPREXE.EXE
+FFFFA9F7=C:\WINDOWS\SYSTEM\mmtask.tsk
+FFFE2BBF=C:\WINDOWS\RUNDLL32.EXE
+FFFE154F=C:\WINDOWS\EXPLORER.EXE
+FFFEE0F7=C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
+FFFD0FE7=C:\WINDOWS\SYSTEM\ATITASK.EXE
+FFFD22F3=C:\WINDOWS\SYSTEM\ATICWD32.EXE
+FFFD2CCB=C:\WINDOWS\SYSTEM\STIMON.EXE
+FFFDB33B=C:\WINDOWS\SYSTEM\TAPISRV.EXE
+FFFC1F9F=C:\WINDOWS\RUNDLL32.EXE
+FFFC1DDB=C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
+FFFCADD3=C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
+FFFB45F3=C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
+FFFB5207=C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
+FFFFA8F7=C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
+FFFB27B7=C:\WINDOWS\SYSTEM\RNAAPP.EXE
+FFFAF927=C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\STARTDRECK\STARTDRECK\STARTDRECK.EXE
»NT Services
»Application specific

Hallo,
was wurde eigentlich aus dem Hinweis auf dieses Posting?
Wie ich mitbekam (auch aus anderen Boards), soll dieser Tipp recht gut funktionieren.

http://www.trojaner-board.de/showpos...4&postcount=11

Nur dass man nach dem vorletzten Neustart und der Entfernung der *.dll und sp.dll

Zitat:

Danach neustarten, diese *.dll Datei und auch die sp.dll Datei löschen und erneut neustarten

erneut die Registry nach diesen durchsuchen sollte, bevor man ein letztes Mal neu startet.

Ich bin zwar Laie in Sachen se.dll/sp.dll, aber ich habe eigentlich nur positive Resonanz auf diesen Tipp gelesen.