Hallo zusammen,

ich habe die von Lutz beschriebene Vorgehensweise im Thread "Immer wieder 'se.dll/sp.html' durchgeführt - leider nur mit kurzzeitigem Erfolg. Nachdem ich die beanstandeten Einträge im abgesicherten Modus gefixt, die beiden dll-Dateien gelöscht und der Registry Optimierer über 400 fehlerhafte Einträge gefunden hatte, dich ich auch gelöscht habe, war ich doch voller Optimismus, das Ding endlich los zu sein. Wie gesagt war diese Hoffnung aber nur von kurzer Dauer, seit heute Abend ist der Hijacker leider wieder da. Guter Rat ist also nachwievor gefragt, ich hoffe weiterhin auf neue Erkenntnisse und Ratschläge, um das Ding endgültig loszuwerden.

@Vilstaler
poste ein HJT logfile

chaosman

@Vilstaler

vermutlich hast Du "Escan" nicht zum Scannen überreden können.
Da muss irgendwas in den Tiefen des Systems sitzen.
Gib mal bei Google "online scannen" ein. Es gibt einige Möglichkeiten, das gesamte System scannen zu lassen.
Welchen Browser benutzt Du?

dartus

Hallo Vilstaler,

da es mir ähnlich ergeht, traue ich mich, mir mal meine Erfahrung weiterzugeben:

Ich habe diesen StartPage-Trojaner mit SP.DLL und SE.DLL nun schon seit fünf Wochen auf dem System.

Die SP.DLL und die SE.DLL konnte ich nach der Mehtode (eine ähnliche Methode habe ich vom BSI) löschen. Der Trojaner bleibt aber immer noch.

Schaue doch mal in Deinen "Eigenen Dateien" nach einem Ordner "backups" oder Suche mal nach solchen Ordnern. Einige dieser Ordner gehören zu regulären Programmen, wie SpyBot, Ad-Aware,usw.

Sollte einen ähnlichen Ordner in den Eigenen Dateien haben, so schau da mal rein, was da so drin ist. Meine Vermutung ist, daß dieser Ornder Backups vom Trojaner enthält.

Ich habe schon mehrmals versucht diesen Ordner zu löschen, er kommt aber immer wieder.

Gruß

AL-ADIN

Hallo Vilstaler,

natürlich kann es gut sein, dass meine Empfehlungen im genannten Thread nicht immer von dauerhaften Erfolg 'gekrönt' sind. Deswegen schrieb ich ja auch, dass jeder natürlich nachfragen kann, wenn sich mit den angegebenen Schritten das Problem nicht lösen lässt.

Poste doch bitte mal ein aktuelles Log von HijackThis.
Und sag mir/uns bitte, wie lange der Rechner 'sauber' lief und ob Du zwischendurch gebootet hattest. Theorethisch könnte es sich auch um eine neue Infektion handeln, wenn der Rechner ein paar Tage sauber lief und vor allem zwischendurch gebootet wurde, bzw. aus war...

Nochmals Hallo,

vielen Dank für die Tipps, ich werde versuchen, die Fragen so gut wie möglich zu beantworten:
@ Lutz: Der Rechner war leider nur für 24 Stunden sauber (können auch etwas weniger gewesen sein), ich habe gestern Abend die von dir beschriebenen Schritte durchgeführt, heute Nachmittag war dann noch Alles in Ordnung, aber nach einem neuerlichen Neustart gegen 18 Uhr war der Hijacker dann eben wieder da. Ich habe dann die Schritte nochmals durchgeführt, um wenigstens für eine gewisse Zeit "sauber" ins Internet gehen zu können und nicht immer von Extra-Fenstern gestört zu werden, diesmal hat sich die se.dll-Datei aber anscheinend schneller wieder vom Löschen erholt, jedenfalls ist sie jetzt schon wieder da (wenn auch "alleine", aber eine dazugehörige zweite dll-Datei wird wohl nach einem der nächsten Starts auch wieder unter O2 und O18 dabeisein). Hier mal mein aktueller Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:48:46, on 25.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab

Im Moment öffnet übrigens noch wie gewünscht Google den IE, aber wie gesagt, demnächst wird wohl mit der zweiten dll-Datei auch wieder die about:blank-Seite erscheinen ... !

@ dartus: Ja, hast Recht, ich habe E-Scan immer noch nicht zum Laufen gebracht.
@ Al-adin: Also unter Eigene Dateien habe ich keinen backups-Ordner, lediglich unter Spyboot Search&Destroy und Reg Cleaner (beider jedoch leer) und unter HijackThis (hier schon einige Einträge, z.B. backup-20050225-200236-878.dll -wird als Programmbibliothek geführt und wurde heute um 18.39 Uhr erstellt, das würde also passen). Das mit den 5 Wochen hört sich ja gar nicht gut an, ich hoffe doch, daß demnächst eine Möglichkeit gefunden wird, diesen lästigen Störenfried für immer zu beseitigen - und bis dahin hoffe ich weiter auf fachmännische Unterstützung.

Hallo AL-ADIN,

Zitat:

Zitat von AL-ADIN

Schaue doch mal in Deinen "Eigenen Dateien" nach einem Ordner "backups"... Ich habe schon mehrmals versucht diesen Ordner zu löschen, er kommt aber immer wieder.

Einem anderen Beitrag von Dir habe ich dieses entnommen:

Zitat:

C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe

Demnach hast Du HijackThis im Verzeichnis ..\Eigene Dateien 'installiert'. Dann ist es auch normal, dass bei jeder 'Fix-Aktion' dort ein Unter-Verzeichnis "backups" angelegt wird. Dort befinden sich dann die Backups von HijackThis.

Gebe HijackThis doch mal ein komplett eigenes Verzeichnis, also zum Beispiel C:\Programme\HijackThis\. Dann sollte es imho aufhören, dass sich im Pfad Eigene Dateien ein Unterordner 'backups' anlegt...

@Vilstalter,
ich habe den Thread Immer wieder 'se.dll/sp.html'aktualisiert. Vielleicht gehst Du noch einmal entsprechend vor!?!

Hallo Lutz, hallo Vilstaler,

der Lutz hat recht. Das kommt davon, wenn man hysterisch wird
Das ist mir jetzt aber peinlich.

Der Thread von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt dennoch meine Vermutung, das wir Symptomen bekämpfen, aber nicht die Ursache.

Schau Dir diesen Thread mal an, vielleicht bringt das ja was.

Gruß

AL-ADIN