Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: se.dll Lösung !? Rundll32 nervt ein wenig

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 05.03.2005, 07:11   #1
araco
 
se.dll Lösung !? Rundll32 nervt ein wenig - Standard

se.dll Lösung !? Rundll32 nervt ein wenig



Hallo !

Die Tipps und Threads zum Thema se.dll, die Lutz gepostet hat , wollte ich auch
durchführen.

Vorher habe ich etwas anderes auf meinen Win98 - System ausprobiert.
Vielleicht hilft es anderen , oder gibt neue Erkenntnisse ueber diesen
Trojaner.

Folgende 1 Anleitung, mit Anmerkungen von mir, und einen Fehlschlag den ich hatte,dazu am Ende auch eine Frage:


Hi,

da anscheinend viele mit diesem Hijacker kämpfen...

Problem:
Meistens irgendwelche Werbepopups auf dem Desktop und Einträge mit se.dll/sp.html im Hijackthislog...

Lösung:
1.) Hijackthis downloaden und ausführen

2.) falls ihr Einträge mit se.dll im Log Scan entdeckt z.B:
res://C:\WINDOWS\TEMP\se.dll/sp.html
den Pfad zu dieser Datei notieren und wie in Punkt 3 beschrieben entfernen:

3.) die Datei kann nur bei einem Neustart gelöscht werden also:
- Hijackthis starten
- Open the Misc Tools Section anclicken
- da Delete a File on Reboot auswählen

und dort diese Datei auswählen: C:\(euer Pfad zur Datei)\se.dll und die Datei dort eintragen

4.) Computer neustarten


5.) nun ist der Hijacker auf jeden Fall entschärft (gibt beim Windows Start vieleicht eine kleine Rundll Fehlermeldung aber die ist nach Schritt 6 weg )

6.) Hijackthis Scan nochmal ausführen Log hierher kopieren: www.hijackthis.de und auswerten + Einträge die auf www.hijackthis.de angemeckert werden mit Hijackthis "fixen"!


Anmerkung von mir zu Punkt 4 : Bei mir liess sich der PC nicht neustarten, ich landete immer
wieder auf den Desktop


Dann habe ich folgendes gemacht, aus dieser 2 Anleitung



Das Problem an dem Trojaner ist, daß sich die infizierte Datei immer wieder selbst kopiert / bzw. kopiert wird und nach dem Entfernen wieder auftaucht. Selbst nach Entfernung des Trojaners laut Anweisung von Symantec (Norton Antivirus) tauchte er wieder auf und wurde bei mir sogar im Abgesicherten Modus von Windows ausgeführt. Der Name der Datei ändert sich unter Umständen nach einiger Zeit von allein. Bei mir hieß die Datei am Anfang sp.dll und dann bis zum Schluß se.dll. (andere Namen sind bestimmt auch "unterwegs"). Auch der Pfad in dem die Datei abgelegt wurde variiert je nach System (Win98, 2000, XP etc.). Und hier ist meine Lösung:

Geht im Startmenü auf Run / Ausführen... und gebt "Regedit" ein.

Öffnet folgenden Pfad: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall]

Dort findet Ihr einen Eintrag wie diesen:

UninstallString=regsvr32 /s /u C:\Windows\System\IBGOK.DLL

Der Name der angegebenen DLL-Datei (bei mir IBGOK.DLL) kann wieder variieren. NOTIERT EUCH AM BESTEN DIESEN DATEINAME.

Löscht dann den Eintrag in REGEDIT.

Gebt den notierten Dateinamen im Startmenü in der Suche ein und löscht die gefundene Datei. Ebenso löscht Ihr die Datei, welche von Eurer Virensoftware als der Trojaner gefunden wurde (se.dll, sp.dll etc.). Wenn Ihr nicht wißt wo die Datei liegt gebt den Namen in der Suche im Startmenü ein.

Sollte/n die Datei/en noch von Windows verwendet werden (Löschen nicht möglich), kontrolliert ob die Anwendung rundll32 läuft (Strg + Alt + Entf) und schließt diese ggf. Dann konnte ich bei mir die Dateien löschen.

Wenn Ihr sie trotzdem nicht löschen könnt startet Windows im abgesicherten Modus. Dann dürfte das Löschen kein Problem mehr sein. Zur Kontrolle kann man danach noch einen Systemcheck machen um zu prüfen ob nicht doch noch eine weitere Datei mit dem Virus existiert.

Danach startet Ihr HijackThis und macht einen SystemScan. Fixed alle Resultate welche sich auf die Trojaner Datei (bei mir se.dll) beziehen und auch die Resultate die von dem Trojaner verändert wurden. z.B.:

HKLM\SoftWare\Microsoft\Internet Explorer\Main, Search Page=about :blank

Dies ist nur ein Beispiel. Bei mir wurde die Startseite in "about :blank" geändert, was natürlich auch wieder variieren kann. Ich habe also alle Resultate, die entweder diese Angaben enthielten oder sich auf die Trojaner-Datei bezogen, gefixed.

Danach habe ich der Systemsteuerung (im Startmenü) in den "Internet Optionen" meine ursprüngliche Startseite wieder eingegeben und den PC neu gestartet.


Das war die 2te Anleitung.

Bei mir hieß die .dll-Datei in der Regedit uebrigens KBAK.DLL. Ich habe nach allen Einträgen mit diesen Namen in der Regedit gesucht, und diese auch gelöscht.

Vielleicht kommen ja noch Probleme und der Trojaner reaktiviert sich an anderer Stelle, aber bisher läuft der PC wieder normal. MIt einer Ausnahme:

Vor dem Trojanerbefall hatte ich nach dem Booten auf meinen Win98 -System nur die Anwendungen Explorer und Systray laufen.(Strg +Alt+Entf)

Jetzt habe ich dazu noch Rundll32. Diese frisst ca. 8 Prozent der Systemleistung.

Kann ich diese Anwendung Rundll32, direkt mit dem Neustart wird sie geladen,
dauerhaft "killen", um keine Ressourcen zu verschwenden ?


Beste Grüsse und einen schönen Tag

Alt 05.03.2005, 08:39   #2
Lutz
 

se.dll Lösung !? Rundll32 nervt ein wenig - Standard

se.dll Lösung !? Rundll32 nervt ein wenig



Moin araco,

ich habe ein bisschen ein Problem damit, warum gerade das Löschen dieses Reg-Pfades abhilfen schaffen soll:
Zitat:
Öffnet folgenden Pfad: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Uninstall\SearchAssistant Uninstall]

Dort findet Ihr einen Eintrag wie diesen:
UninstallString=regsvr32 /s /u C:\Windows\System\xyz.DLL
Ich habe diesen Hinweis auch in vielen deutsch- und englischsprachigen Foren gelesen, aber es erschließt sich mir immer noch nicht, warum dass Verhindern des Deregistrierens (/u) der entsprechenden DLL ohne Ausgabe einer Meldung (/s) das Problem beheben soll. Denn genau dies macht man imho, wenn man den Reg-Eintrag löscht. OK, er gehört eindeutig zu diesem Hijacker und kann sicherlich weg, aber das dies wirklich hilft, kann ich mir nicht vorstellen...


Das imho eigentliche Problem ist, dass eine versteckte (stealthed) Datei mit einem gänzlich anderen Namen dafür sorgt, dass vorherigen Löschversuche in der Regel dann vergebens sind, wenn der Rechner neu gestartet wird.
Du kannst das gerne einmal testen. Lade Dir mal das Tool StartDreck herunter, starte es und poste ein Log davon.

Du wirst vermutlich einen Eintrag im Log finden, der diesem ähnelt:
Zitat:
»RunServicesOnce
**ctz=rundll32 C:\WINDOWS\ARTGALTY.CAG,DllGetClassObject
Dieser dürfte imho auch dafür sorgen, dass bei Dir Rundll32 automatisch gestartet wird und Systemlast erzeugt...

Wie bereits an anderer Stelle geschrieben. Ich will niemanden überreden, aber eine kurze Meldung im angepinnten Thread und Du bekommst das Tool von seeker. Vllt. löst es noch nicht alle Probleme automatisch, aber ein bereinigen mit HJT sollte dann kein Problem mehr sein, falls noch erforderlich.

Vielleicht schrecken meine Warnungen zu diesem Tool einige Leute ab, aber ich habe es selbst unter Win98, WinXP pro und XP Home laufen lassen und seeker unter Win2000. Dort hat es keine Schäden angerichtet. Inwiefern es wirklich hilft, wissen wir leider immer noch nicht, da wir noch keinen Infizierten 'überreden' konnten, das Tool einzusetzen...
__________________

__________________

Alt 05.03.2005, 20:38   #3
araco
 
se.dll Lösung !? Rundll32 nervt ein wenig - Standard

se.dll Lösung !? Rundll32 nervt ein wenig



Hi Lutz !

Sorry, ich habe erst jetzt Zeit gefunden

Hier ist mein Startdreck-Logfile:



StartDreck (build 2.1.7 public stable)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 5.00.2614.3500
Logged in as...

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*WinampAgent="C:\PROGRAMME\WINAMP\WINAMPa.exe"
*AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
»RunServicesOnce
**x=rundll32 C:\WINDOWS\FSDGUNZT.LOG,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
+.htm
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.html
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.js
*JSFile=C:\WINDOWS\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\WINDOWS\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*Jccatch.IeCatch2.1/{A5366673-E8CA-11D3-9CD9-0090271D075B}
`InprocServer32=D:\PROGRAMME\FLASHGET\FLASHGET\JCCATCH.DLL
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
»Files
»Autostart Folders
»Current User
»Default User
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\autoexec.bat
*C:\WINDOWS\wininit.bak
*C:\WINDOWS\dosstart.bat
»System/Drivers
»Running Processes
+FFCF5953=C:\WINDOWS\SYSTEM\KERNEL32.DLL
+FFFF6DC3=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
+FFFF9A73=C:\WINDOWS\SYSTEM\MPREXE.EXE
+FFFF83B3=C:\WINDOWS\SYSTEM\mmtask.tsk
+FFFE053B=C:\WINDOWS\SYSTEM\MSTASK.EXE
+FFFFB2DF=C:\WINDOWS\RUNDLL32.EXE
+FFFE2B83=C:\WINDOWS\EXPLORER.EXE
+FFFEAEB3=C:\WINDOWS\TASKMON.EXE
+FFFEA63B=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
+FFFEEF47=C:\WINDOWS\SYSTEM\DDHELP.EXE
+FFFC10CB=C:\WINDOWS\RUNDLL32.EXE
+FFFEADEF=C:\WINDOWS\SYSTEM\WMIEXE.EXE
+FFFB363B=C:\PROGRAMME\STARTDRECK\STARTDRECK.EXE
»NT Services
»Application specific


Ich bin gerne bereit das Tool von seeker auszuprobieren. Gibt
es eine Möglichkeit es direkt von Dir zu erhalten ?

Ich möchte meine E-Mail Adresse nicht so gerne öffentlich posten. Beim
letzten Mal, hatte ich anschließend 3 Monate nur Spam im Briefkasten.

Viele Grüsse
__________________

Alt 05.03.2005, 22:10   #4
Lutz
 

se.dll Lösung !? Rundll32 nervt ein wenig - Standard

se.dll Lösung !? Rundll32 nervt ein wenig



Hi araco,

Du hast eine PN!
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 06.03.2005, 03:59   #5
byRonny
 
se.dll Lösung !? Rundll32 nervt ein wenig - Standard

se.dll Lösung !? Rundll32 nervt ein wenig



Auch ich kämpf(t)e seit Wochen mit dem Problem auf dem PC unseres Chefs (Win98, alle Updates).

Die üblichen Tools konnten nur die Symtome behandeln, aber ich konnte den Urheber / Auslöser nicht finden.

Mir ist aufgefallen, dass nach einem Start vom IE im Taskmanager iexplore offen bleibt (offensichtlich als 2. Prozess, weil der Hauptprozess mit Angabe der URL ordnungsgemäß beendet wird).

Heute habe ich mit msconfig alle Prozesse entfernt (Ausgabe HijackThis: 0 Zeilen) und mir mit Filemon von Sysinternals - www.sysinternals.com die Prozesse angesehen, die ablaufen, wenn der Explorer gestartet wird. Dabei fand ich einen Aufruf von BACKGRSD.GIF im Windows Ordner.
Diese Datei war aber nicht zu finden (auch nicht im abgesicherten Modus), nur im DOS-Modus nach attrib BACKGRSD.GIF –s konnte ich die Datei umbenennen und eine Dummy-Datei unterschieben, wieder als Systemdatei.
Beim neuerlichen Windows-Start wurde eine defekte DLL gemeldet, seitdem ist Ruhe.

Es ist mir allerdings weiterhin völlig unklar, wo der Aufruf dieser Datei erfolgte, weder in BOOTLOG.TXT, startuplist.txt, in der Registrierung oder in irgend einer Datei auf der Festplatte C: konnte ich einen Hinweis darauf finden.

Die Original BACKGRSD.GIF (31 kb) stelle ich gerne für Tests zur Verfügung.

Ronny
byronny@byronny.at


Alt 06.03.2005, 09:16   #6
Lutz
 

se.dll Lösung !? Rundll32 nervt ein wenig - Standard

se.dll Lösung !? Rundll32 nervt ein wenig



Hi byRonny,

ich vermute ganz stark, wenn Du einmal das o. g. Tool Startdreck ausgeführt hättest, während der Rechner noch infiziert gewesen ist, hättest Du einen ähnlichen Einrag unter RunServicesOnce gefunden.
Zitat:
»RunServicesOnce
**x=rundll32 C:\WINDOWS\FSDGUNZT.LOG,DllGetClassObject
Nur eben bei Dir mit einem Bezug auf die Datei BACKGRSD.GIF. Das passt dann auch mit der Fehlermeldung nach dem Neustart zusammen.

Schick mir diese Datei doch bitte einmal an badfiles@bul-online.de. Danke!
__________________
--> se.dll Lösung !? Rundll32 nervt ein wenig

Antwort

Themen zu se.dll Lösung !? Rundll32 nervt ein wenig
.dll-datei, abgesicherten modus, anfang, antivirus, auswerten, booten, computer, desktop, entfernen, explorer, fehlermeldung, file, frage, immer wieder, infizierte, infizierte datei, internet, internet explorer, löschen, microsoft, neustart, nicht möglich, prüfen, regsvr32, rojaner gefunden, rundll, scan, software, suche, symantec, system, systemcheck, systray, temp, trojaner gefunden, träge, virensoftware, windows, windows\temp




Ähnliche Themen: se.dll Lösung !? Rundll32 nervt ein wenig


  1. FPS Einbrüche und wenig Gpu auslastung
    Netzwerk und Hardware - 25.04.2015 (3)
  2. PC Laggs, ruckelt und zu wenig FPS aufeinmal !
    Alles rund um Windows - 28.05.2013 (2)
  3. rundll32.exe Popup Fenster nervt
    Mülltonne - 15.08.2008 (0)
  4. Zu wenig Speicherplatz - hilfe!
    Log-Analyse und Auswertung - 13.05.2008 (1)
  5. DSL Speed zu wenig
    Log-Analyse und Auswertung - 19.01.2008 (1)
  6. zu wenig fps
    Netzwerk und Hardware - 03.01.2008 (10)
  7. Zu wenig Speicher
    Alles rund um Windows - 21.12.2007 (3)
  8. Zu wenig Speicherplatz
    Log-Analyse und Auswertung - 30.09.2006 (5)
  9. Zu wenig 3D Mark Punkte!
    Netzwerk und Hardware - 08.07.2006 (5)
  10. mp3 Player nimmt zu wenig auf !
    Alles rund um Windows - 09.09.2005 (7)
  11. SpSeHjfix entfernt se.dll, Rundll32 nervt aber weiter
    Log-Analyse und Auswertung - 10.03.2005 (8)
  12. SpSeHjfix entfernt se.dll, Rundll32 nervt aber weiter
    Log-Analyse und Auswertung - 08.03.2005 (1)
  13. Laie benötigt ein wenig Hilfe ..
    Log-Analyse und Auswertung - 04.01.2005 (1)
  14. Zu wenig Speicher+ Leistungsfressen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2004 (4)
  15. Benötige ein wenig Hilfe!
    Log-Analyse und Auswertung - 21.11.2004 (8)
  16. Ein wenig Ärger....
    Log-Analyse und Auswertung - 31.10.2004 (4)

Zum Thema se.dll Lösung !? Rundll32 nervt ein wenig - Hallo ! Die Tipps und Threads zum Thema se.dll, die Lutz gepostet hat , wollte ich auch durchführen. Vorher habe ich etwas anderes auf meinen Win98 - System ausprobiert. Vielleicht - se.dll Lösung !? Rundll32 nervt ein wenig...
Archiv
Du betrachtest: se.dll Lösung !? Rundll32 nervt ein wenig auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.