![]() |
|
Log-Analyse und Auswertung: 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen Hallo zusammen, ich habe die von Lutz beschriebene Vorgehensweise im Thread "Immer wieder 'se.dll/sp.html' durchgeführt - leider nur mit kurzzeitigem Erfolg. Nachdem ich die beanstandeten Einträge im abgesicherten Modus gefixt, die beiden dll-Dateien gelöscht und der Registry Optimierer über 400 fehlerhafte Einträge gefunden hatte, dich ich auch gelöscht habe, war ich doch voller Optimismus, das Ding endlich los zu sein. Wie gesagt war diese Hoffnung aber nur von kurzer Dauer, seit heute Abend ist der Hijacker leider wieder da. Guter Rat ist also nachwievor gefragt, ich hoffe weiterhin auf neue Erkenntnisse und Ratschläge, um das Ding endgültig loszuwerden. |
![]() | #2 |
![]() ![]() ![]() | ![]() 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen @Vilstaler
__________________poste ein HJT logfile chaosman
__________________ |
![]() | #3 |
![]() ![]() | ![]() 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen @Vilstaler
__________________vermutlich hast Du "Escan" nicht zum Scannen überreden können. Da muss irgendwas in den Tiefen des Systems sitzen. Gib mal bei Google "online scannen" ein. Es gibt einige Möglichkeiten, das gesamte System scannen zu lassen. Welchen Browser benutzt Du? dartus |
![]() | #4 |
![]() | ![]() 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen Hallo Vilstaler, da es mir ähnlich ergeht, traue ich mich, mir mal meine Erfahrung weiterzugeben: Ich habe diesen StartPage-Trojaner mit SP.DLL und SE.DLL nun schon seit fünf Wochen auf dem System. Die SP.DLL und die SE.DLL konnte ich nach der Mehtode (eine ähnliche Methode habe ich vom BSI) löschen. Der Trojaner bleibt aber immer noch. Schaue doch mal in Deinen "Eigenen Dateien" nach einem Ordner "backups" oder Suche mal nach solchen Ordnern. Einige dieser Ordner gehören zu regulären Programmen, wie SpyBot, Ad-Aware,usw. Sollte einen ähnlichen Ordner in den Eigenen Dateien haben, so schau da mal rein, was da so drin ist. Meine Vermutung ist, daß dieser Ornder Backups vom Trojaner enthält. Ich habe schon mehrmals versucht diesen Ordner zu löschen, er kommt aber immer wieder. Gruß AL-ADIN |
![]() | #5 |
![]() ![]() | ![]() 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen Hallo Vilstaler, natürlich kann es gut sein, dass meine Empfehlungen im genannten Thread nicht immer von dauerhaften Erfolg 'gekrönt' sind. Deswegen schrieb ich ja auch, dass jeder natürlich nachfragen kann, wenn sich mit den angegebenen Schritten das Problem nicht lösen lässt. Poste doch bitte mal ein aktuelles Log von HijackThis. Und sag mir/uns bitte, wie lange der Rechner 'sauber' lief und ob Du zwischendurch gebootet hattest. Theorethisch könnte es sich auch um eine neue Infektion handeln, wenn der Rechner ein paar Tage sauber lief und vor allem zwischendurch gebootet wurde, bzw. aus war...
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
![]() | #6 |
![]() ![]() | ![]() 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen Nochmals Hallo, vielen Dank für die Tipps, ich werde versuchen, die Fragen so gut wie möglich zu beantworten: @ Lutz: Der Rechner war leider nur für 24 Stunden sauber (können auch etwas weniger gewesen sein), ich habe gestern Abend die von dir beschriebenen Schritte durchgeführt, heute Nachmittag war dann noch Alles in Ordnung, aber nach einem neuerlichen Neustart gegen 18 Uhr war der Hijacker dann eben wieder da. Ich habe dann die Schritte nochmals durchgeführt, um wenigstens für eine gewisse Zeit "sauber" ins Internet gehen zu können und nicht immer von Extra-Fenstern gestört zu werden, diesmal hat sich die se.dll-Datei aber anscheinend schneller wieder vom Löschen erholt, jedenfalls ist sie jetzt schon wieder da (wenn auch "alleine", aber eine dazugehörige zweite dll-Datei wird wohl nach einem der nächsten Starts auch wieder unter O2 und O18 dabeisein). Hier mal mein aktueller Log: Logfile of HijackThis v1.99.1 Scan saved at 23:48:46, on 25.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE" O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16 O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab Im Moment öffnet übrigens noch wie gewünscht Google den IE, aber wie gesagt, demnächst wird wohl mit der zweiten dll-Datei auch wieder die about:blank-Seite erscheinen ... ! @ dartus: Ja, hast Recht, ich habe E-Scan immer noch nicht zum Laufen gebracht. @ Al-adin: Also unter Eigene Dateien habe ich keinen backups-Ordner, lediglich unter Spyboot Search&Destroy und Reg Cleaner (beider jedoch leer) und unter HijackThis (hier schon einige Einträge, z.B. backup-20050225-200236-878.dll -wird als Programmbibliothek geführt und wurde heute um 18.39 Uhr erstellt, das würde also passen). Das mit den 5 Wochen hört sich ja gar nicht gut an, ich hoffe doch, daß demnächst eine Möglichkeit gefunden wird, diesen lästigen Störenfried für immer zu beseitigen - und bis dahin hoffe ich weiter auf fachmännische Unterstützung. |
![]() | #7 | ||
![]() ![]() | ![]() 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen Hallo AL-ADIN, Zitat:
Zitat:
![]() Gebe HijackThis doch mal ein komplett eigenes Verzeichnis, also zum Beispiel C:\Programme\HijackThis\. Dann sollte es imho aufhören, dass sich im Pfad Eigene Dateien ein Unterordner 'backups' anlegt... @Vilstalter, ich habe den Thread Immer wieder 'se.dll/sp.html'aktualisiert. Vielleicht gehst Du noch einmal entsprechend vor!?!
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
![]() | #8 |
![]() | ![]() 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen Hallo Lutz, hallo Vilstaler, der Lutz hat recht. Das kommt davon, wenn man hysterisch wird ![]() Das ist mir jetzt aber peinlich. Der Thread von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt dennoch meine Vermutung, das wir Symptomen bekämpfen, aber nicht die Ursache. Schau Dir diesen Thread mal an, vielleicht bringt das ja was. Gruß AL-ADIN |
![]() |
Themen zu 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen |
abgesicherte, abgesicherten, abgesicherten modus, durchgeführt, einfach, einträge, entferne, entfernen, erkennt, fehlerhafte, gefixt, gelöscht, guter, hallo zusammen, heute, hijacker, hoffe, hoffnung, immer wieder, kurzer, modus, neue, registry, thread, träge, voller, vorgehensweise, zusammen |