Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.02.2005, 21:19   #1
Vilstaler
 
'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Standard

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen



Hallo zusammen,

ich habe die von Lutz beschriebene Vorgehensweise im Thread "Immer wieder 'se.dll/sp.html' durchgeführt - leider nur mit kurzzeitigem Erfolg. Nachdem ich die beanstandeten Einträge im abgesicherten Modus gefixt, die beiden dll-Dateien gelöscht und der Registry Optimierer über 400 fehlerhafte Einträge gefunden hatte, dich ich auch gelöscht habe, war ich doch voller Optimismus, das Ding endlich los zu sein. Wie gesagt war diese Hoffnung aber nur von kurzer Dauer, seit heute Abend ist der Hijacker leider wieder da. Guter Rat ist also nachwievor gefragt, ich hoffe weiterhin auf neue Erkenntnisse und Ratschläge, um das Ding endgültig loszuwerden.

Alt 25.02.2005, 22:04   #2
chaosman
 
'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Standard

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen



@Vilstaler
poste ein HJT logfile

chaosman
__________________

__________________

Alt 25.02.2005, 22:33   #3
dartus
 
'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Standard

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen



@Vilstaler

vermutlich hast Du "Escan" nicht zum Scannen überreden können.
Da muss irgendwas in den Tiefen des Systems sitzen.
Gib mal bei Google "online scannen" ein. Es gibt einige Möglichkeiten, das gesamte System scannen zu lassen.
Welchen Browser benutzt Du?

dartus
__________________

Alt 25.02.2005, 22:45   #4
AL-ADIN
 
'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Standard

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen



Hallo Vilstaler,

da es mir ähnlich ergeht, traue ich mich, mir mal meine Erfahrung weiterzugeben:

Ich habe diesen StartPage-Trojaner mit SP.DLL und SE.DLL nun schon seit fünf Wochen auf dem System.

Die SP.DLL und die SE.DLL konnte ich nach der Mehtode (eine ähnliche Methode habe ich vom BSI) löschen. Der Trojaner bleibt aber immer noch.

Schaue doch mal in Deinen "Eigenen Dateien" nach einem Ordner "backups" oder Suche mal nach solchen Ordnern. Einige dieser Ordner gehören zu regulären Programmen, wie SpyBot, Ad-Aware,usw.

Sollte einen ähnlichen Ordner in den Eigenen Dateien haben, so schau da mal rein, was da so drin ist. Meine Vermutung ist, daß dieser Ornder Backups vom Trojaner enthält.

Ich habe schon mehrmals versucht diesen Ordner zu löschen, er kommt aber immer wieder.

Gruß

AL-ADIN

Alt 25.02.2005, 23:08   #5
Lutz
 

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Standard

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen



Hallo Vilstaler,

natürlich kann es gut sein, dass meine Empfehlungen im genannten Thread nicht immer von dauerhaften Erfolg 'gekrönt' sind. Deswegen schrieb ich ja auch, dass jeder natürlich nachfragen kann, wenn sich mit den angegebenen Schritten das Problem nicht lösen lässt.

Poste doch bitte mal ein aktuelles Log von HijackThis.
Und sag mir/uns bitte, wie lange der Rechner 'sauber' lief und ob Du zwischendurch gebootet hattest. Theorethisch könnte es sich auch um eine neue Infektion handeln, wenn der Rechner ein paar Tage sauber lief und vor allem zwischendurch gebootet wurde, bzw. aus war...

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 26.02.2005, 00:17   #6
Vilstaler
 
'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Standard

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen



Nochmals Hallo,

vielen Dank für die Tipps, ich werde versuchen, die Fragen so gut wie möglich zu beantworten:
@ Lutz: Der Rechner war leider nur für 24 Stunden sauber (können auch etwas weniger gewesen sein), ich habe gestern Abend die von dir beschriebenen Schritte durchgeführt, heute Nachmittag war dann noch Alles in Ordnung, aber nach einem neuerlichen Neustart gegen 18 Uhr war der Hijacker dann eben wieder da. Ich habe dann die Schritte nochmals durchgeführt, um wenigstens für eine gewisse Zeit "sauber" ins Internet gehen zu können und nicht immer von Extra-Fenstern gestört zu werden, diesmal hat sich die se.dll-Datei aber anscheinend schneller wieder vom Löschen erholt, jedenfalls ist sie jetzt schon wieder da (wenn auch "alleine", aber eine dazugehörige zweite dll-Datei wird wohl nach einem der nächsten Starts auch wieder unter O2 und O18 dabeisein). Hier mal mein aktueller Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:48:46, on 25.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab

Im Moment öffnet übrigens noch wie gewünscht Google den IE, aber wie gesagt, demnächst wird wohl mit der zweiten dll-Datei auch wieder die about:blank-Seite erscheinen ... !

@ dartus: Ja, hast Recht, ich habe E-Scan immer noch nicht zum Laufen gebracht.
@ Al-adin: Also unter Eigene Dateien habe ich keinen backups-Ordner, lediglich unter Spyboot Search&Destroy und Reg Cleaner (beider jedoch leer) und unter HijackThis (hier schon einige Einträge, z.B. backup-20050225-200236-878.dll -wird als Programmbibliothek geführt und wurde heute um 18.39 Uhr erstellt, das würde also passen). Das mit den 5 Wochen hört sich ja gar nicht gut an, ich hoffe doch, daß demnächst eine Möglichkeit gefunden wird, diesen lästigen Störenfried für immer zu beseitigen - und bis dahin hoffe ich weiter auf fachmännische Unterstützung.

Alt 26.02.2005, 11:55   #7
Lutz
 

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Standard

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen



Hallo AL-ADIN,

Zitat:
Zitat von AL-ADIN
Schaue doch mal in Deinen "Eigenen Dateien" nach einem Ordner "backups"... Ich habe schon mehrmals versucht diesen Ordner zu löschen, er kommt aber immer wieder.
Einem anderen Beitrag von Dir habe ich dieses entnommen:
Zitat:
C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe
Demnach hast Du HijackThis im Verzeichnis ..\Eigene Dateien 'installiert'. Dann ist es auch normal, dass bei jeder 'Fix-Aktion' dort ein Unter-Verzeichnis "backups" angelegt wird. Dort befinden sich dann die Backups von HijackThis.

Gebe HijackThis doch mal ein komplett eigenes Verzeichnis, also zum Beispiel C:\Programme\HijackThis\. Dann sollte es imho aufhören, dass sich im Pfad Eigene Dateien ein Unterordner 'backups' anlegt...

@Vilstalter,
ich habe den Thread Immer wieder 'se.dll/sp.html'aktualisiert. Vielleicht gehst Du noch einmal entsprechend vor!?!
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 26.02.2005, 19:43   #8
AL-ADIN
 
'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Icon16

'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen



Hallo Lutz, hallo Vilstaler,

der Lutz hat recht. Das kommt davon, wenn man hysterisch wird
Das ist mir jetzt aber peinlich.

Der Thread von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt dennoch meine Vermutung, das wir Symptomen bekämpfen, aber nicht die Ursache.

Schau Dir diesen Thread mal an, vielleicht bringt das ja was.

Gruß

AL-ADIN

Antwort

Themen zu 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen
abgesicherte, abgesicherten, abgesicherten modus, durchgeführt, einfach, einträge, entferne, entfernen, erkennt, fehlerhafte, gefixt, gelöscht, guter, hallo zusammen, heute, hijacker, hoffe, hoffnung, immer wieder, kurzer, modus, neue, registry, thread, träge, voller, vorgehensweise, zusammen




Ähnliche Themen: 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen


  1. mystartsearch.com in Microsoft Edge läßt sich einfach nicht deinstallieren!
    Plagegeister aller Art und deren Bekämpfung - 30.10.2015 (10)
  2. mystartsearch.com in Microsoft Edge läßt sich einfach nicht deinstallieren!
    Antiviren-, Firewall- und andere Schutzprogramme - 29.10.2015 (11)
  3. TR/patched.Ren.Gen läßt sich nicht entfernen
    Log-Analyse und Auswertung - 24.08.2014 (9)
  4. Mysearchdial läßt sich nicht entfernen
    Log-Analyse und Auswertung - 05.03.2014 (8)
  5. Iminent läßt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 22.12.2013 (9)
  6. Interpol Trojaner läßt sich nicht entfernen...
    Log-Analyse und Auswertung - 03.12.2013 (3)
  7. C:\test.exe läßt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 28.02.2013 (3)
  8. Spyhunter 4 läßt sich nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 02.05.2012 (30)
  9. Malware läßt sich nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 05.04.2012 (3)
  10. tr/dldr.tracur.b.11 läßt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 05.08.2009 (1)
  11. ShlapiW32.dll läßt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 09.08.2007 (6)
  12. Tr/Agent läßt sich nicht Entfernen
    Plagegeister aller Art und deren Bekämpfung - 12.06.2007 (1)
  13. Trojaner läßt sich nicht entfernen...!!
    Plagegeister aller Art und deren Bekämpfung - 20.04.2007 (4)
  14. C2Lop läßt sich nicht entfernen!
    Mülltonne - 03.09.2006 (1)
  15. ..Problem läßt sich nicht so einfach lösen.
    Log-Analyse und Auswertung - 28.12.2005 (2)
  16. Malware VX2 läßt sich nicht restlos entfernen
    Log-Analyse und Auswertung - 29.05.2005 (0)
  17. Hijacker läßt sich nicht entfernen
    Log-Analyse und Auswertung - 27.07.2004 (4)

Zum Thema 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen - Hallo zusammen, ich habe die von Lutz beschriebene Vorgehensweise im Thread " Immer wieder 'se.dll/sp.html' durchgeführt - leider nur mit kurzzeitigem Erfolg. Nachdem ich die beanstandeten Einträge im abgesicherten Modus - 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen...
Archiv
Du betrachtest: 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.