se.dll Lösung !? Rundll32 nervt ein wenig

araco

Hallo !

Die Tipps und Threads zum Thema se.dll, die Lutz gepostet hat , wollte ich auch
durchführen.

Vorher habe ich etwas anderes auf meinen Win98 - System ausprobiert.
Vielleicht hilft es anderen , oder gibt neue Erkenntnisse ueber diesen
Trojaner.

Folgende 1 Anleitung, mit Anmerkungen von mir, und einen Fehlschlag den ich hatte,dazu am Ende auch eine Frage:


Hi,

da anscheinend viele mit diesem Hijacker kämpfen...

Problem:
Meistens irgendwelche Werbepopups auf dem Desktop und Einträge mit se.dll/sp.html im Hijackthislog...

Lösung:
1.) Hijackthis downloaden und ausführen

2.) falls ihr Einträge mit se.dll im Log Scan entdeckt z.B:
res://C:\WINDOWS\TEMP\se.dll/sp.html
den Pfad zu dieser Datei notieren und wie in Punkt 3 beschrieben entfernen:

3.) die Datei kann nur bei einem Neustart gelöscht werden also:
- Hijackthis starten
- Open the Misc Tools Section anclicken
- da Delete a File on Reboot auswählen

und dort diese Datei auswählen: C:\(euer Pfad zur Datei)\se.dll und die Datei dort eintragen

4.) Computer neustarten


5.) nun ist der Hijacker auf jeden Fall entschärft (gibt beim Windows Start vieleicht eine kleine Rundll Fehlermeldung aber die ist nach Schritt 6 weg )

6.) Hijackthis Scan nochmal ausführen Log hierher kopieren: www.hijackthis.de und auswerten + Einträge die auf www.hijackthis.de angemeckert werden mit Hijackthis "fixen"!


Anmerkung von mir zu Punkt 4 : Bei mir liess sich der PC nicht neustarten, ich landete immer
wieder auf den Desktop


Dann habe ich folgendes gemacht, aus dieser 2 Anleitung



Das Problem an dem Trojaner ist, daß sich die infizierte Datei immer wieder selbst kopiert / bzw. kopiert wird und nach dem Entfernen wieder auftaucht. Selbst nach Entfernung des Trojaners laut Anweisung von Symantec (Norton Antivirus) tauchte er wieder auf und wurde bei mir sogar im Abgesicherten Modus von Windows ausgeführt. Der Name der Datei ändert sich unter Umständen nach einiger Zeit von allein. Bei mir hieß die Datei am Anfang sp.dll und dann bis zum Schluß se.dll. (andere Namen sind bestimmt auch "unterwegs"). Auch der Pfad in dem die Datei abgelegt wurde variiert je nach System (Win98, 2000, XP etc.). Und hier ist meine Lösung:

Geht im Startmenü auf Run / Ausführen... und gebt "Regedit" ein.

Öffnet folgenden Pfad: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall]

Dort findet Ihr einen Eintrag wie diesen:

UninstallString=regsvr32 /s /u C:\Windows\System\IBGOK.DLL

Der Name der angegebenen DLL-Datei (bei mir IBGOK.DLL) kann wieder variieren. NOTIERT EUCH AM BESTEN DIESEN DATEINAME.

Löscht dann den Eintrag in REGEDIT.

Gebt den notierten Dateinamen im Startmenü in der Suche ein und löscht die gefundene Datei. Ebenso löscht Ihr die Datei, welche von Eurer Virensoftware als der Trojaner gefunden wurde (se.dll, sp.dll etc.). Wenn Ihr nicht wißt wo die Datei liegt gebt den Namen in der Suche im Startmenü ein.

Sollte/n die Datei/en noch von Windows verwendet werden (Löschen nicht möglich), kontrolliert ob die Anwendung rundll32 läuft (Strg + Alt + Entf) und schließt diese ggf. Dann konnte ich bei mir die Dateien löschen.

Wenn Ihr sie trotzdem nicht löschen könnt startet Windows im abgesicherten Modus. Dann dürfte das Löschen kein Problem mehr sein. Zur Kontrolle kann man danach noch einen Systemcheck machen um zu prüfen ob nicht doch noch eine weitere Datei mit dem Virus existiert.

Danach startet Ihr HijackThis und macht einen SystemScan. Fixed alle Resultate welche sich auf die Trojaner Datei (bei mir se.dll) beziehen und auch die Resultate die von dem Trojaner verändert wurden. z.B.:

HKLM\SoftWare\Microsoft\Internet Explorer\Main, Search Page=about :blank

Dies ist nur ein Beispiel. Bei mir wurde die Startseite in "about :blank" geändert, was natürlich auch wieder variieren kann. Ich habe also alle Resultate, die entweder diese Angaben enthielten oder sich auf die Trojaner-Datei bezogen, gefixed.

Danach habe ich der Systemsteuerung (im Startmenü) in den "Internet Optionen" meine ursprüngliche Startseite wieder eingegeben und den PC neu gestartet.


Das war die 2te Anleitung.

Bei mir hieß die .dll-Datei in der Regedit uebrigens KBAK.DLL. Ich habe nach allen Einträgen mit diesen Namen in der Regedit gesucht, und diese auch gelöscht.

Vielleicht kommen ja noch Probleme und der Trojaner reaktiviert sich an anderer Stelle, aber bisher läuft der PC wieder normal. MIt einer Ausnahme:

Vor dem Trojanerbefall hatte ich nach dem Booten auf meinen Win98 -System nur die Anwendungen Explorer und Systray laufen.(Strg +Alt+Entf)

Jetzt habe ich dazu noch Rundll32. Diese frisst ca. 8 Prozent der Systemleistung.

Kann ich diese Anwendung Rundll32, direkt mit dem Neustart wird sie geladen,
dauerhaft "killen", um keine Ressourcen zu verschwenden ?


Beste Grüsse und einen schönen Tag