Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Frage zu 'se.dll/sp.html' (https://www.trojaner-board.de/17102-frage-se-dll-sp-html.html)

van 24.04.2005 20:48
Frage zu 'se.dll/sp.html'
 
Hallo, habe das gleiche problem mit der se.dll schon seid einigen Wochen. Bis jetzt hab ich mich immer damit abgefunden wenn ein popupfenster kam und die "rundll.exe" immer im taskmanager auftauchte. Die hab ich dann immer beendet und gut.. bis sie wieder auftauchte usw.

Hab schon mein komplettes system nach allem was mit se.dll zu tun hat durchsucht und alles gelöscht.. per hijackthis, regcleaner, registrierungseditor usw. NICHTS hat geholfen.


Dann habe ich mir auch dieses cleanertool runtergeladen. (SpSeHjfix112.exe) und ausgeführt. Ein paar std. war alles sauber doch jetzt ist die se.dll wieder da und in der msconfig steht unter startup wieder das gleiche wie immer:
rundll32.exe - se.dll blabla... ...temp usw.

DIESE SE.DLL GEHT NICHT WEG!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Was soll denn das??!?!?!?!?!?!!?!?!?! Ich krieg langsam echt zu viel mit dem scheiß! :koch: :koch: :koch:

Hat denn keiner einen FUNKTIONIERENDEN Lösungsweg wie man DEFINITIV diese se.dll und die rundll32.exe weg bekommt? (Warum tauch überhaupt immer diese mysteriöse rundll32.exe im taskmanager auf sobald ein popupfenster kommt? die rundll32.EXE hat in jedem Fall was mit der se.dll zu tun!!!)

Gruß,
van

raman 24.04.2005 20:56
eroeffne ein neuen Thread im Hijackthis unterforum und poste dort ein Hijackthis log. Du wirst wohl den eigentlichen Downloader noch aktiv haben...

van 24.04.2005 22:20
hi, im moment lasse ich gerade einen virenscanner laufen. Der hat neben 15 anderen viren 2 mal eine se.dll gefunden und gemeint es sei ein trojaner. Hab auf löschen geklickt. Derzeit habe ich keine se.dll / rundll32.exe im taskmanager. Aber wenn das problem wieder kommt (was ich vermute) dann poste ich mal den hijackthis log. Aber da hab ich echt schon fast alles was mr komisch vorkam gelöscht. Naja mal abwarten wenn die se.dll bis morgen nicht wieder kommt dann :aplaus: sonst... :koch:

van 26.04.2005 17:37
Hallo ich bins nochmal.

Bis eben war mein system se.dll frei, doch jetzt nachdeem ich icq gestartet habe, kam wieder diese rundll32.exe im taskmanager. Die se.dll hat sich auch wieder installiert.

Ich verfluche dieses sch... system langsam!!!

Ich poste euch mal meine hijackthis log. Vielleicht gibt es doch eine Lösung. Ich verstehe gar nicht wieso das bei anderen klappt und bei mir nicht!!!!!!!!!!!!!!!!!! :koch:


Logfile of HijackThis v1.99.1
Scan saved at 18:35:20, on 26.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7D5BEBDB-0180-43C2-A0F1-EFBB43B629B5} - C:\WINDOWS\System32\blpb.dll
O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll,DllInstall
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Microsoft® JavaScript® Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX
O9 - Extra 'Tools' menuitem: JavaScript Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {9B9C632F-FB65-42D0-8DC2-8003D8A8AE04} - C:\WINDOWS\system32\COMDLG32.OCX (HKCU)
O15 - Trusted IP range: 209.8.20.130
O15 - Trusted IP range: 209.8.20.130 (HKLM)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter: text/html - {148A89EB-803E-470E-B9FA-8FDFF8187A99} - C:\WINDOWS\System32\blpb.dll
O18 - Filter: text/plain - {148A89EB-803E-470E-B9FA-8FDFF8187A99} - C:\WINDOWS\System32\blpb.dll

:confused: :confused: :confused: :heulen: :(

Lutz 26.04.2005 20:44
Hallo van,

erst einmal habe ich Deine Frage(n) aus dem bisherigen Thread ausgekoppelt, damit es nicht zu unübersichtlich wird!

Wenn Du 2 Tage Ruhe hattest, würde ich eine Neuinfektion nicht ausschließen.
Mache bitte folgendes, damit wir sehen können, warum Du immer wieder davon belästigt wirst:

  • Lass den Cleaner noch einmal laufen und poste anschließend die dazugehörige Logdatei namens SPSeHjFix.log.
  • Anschließend mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde. Am einfachsten geht das heraussuchen der Funde so, wie es hier beschrieben steht -> http://www.trojaner-board.de/showthread.php?t=16936
  • Poste anschließend ein neues Log von HijackThis

van 26.04.2005 22:59
Hallo,

also der neue log vom SpSeHjfix112.exe ist im anhang.

Ich hab mir dann das tool "MicroWorld AntiVirus Toolkit Utility Ver 6.1.1"
von dieser Seite http://www.mwti.net/antivirus/mwav.asp geladen.

Habs dann gestartet und mein system überprüfen lassen mit den Einstellungen die auf dieser Seite (http://www.trojaner-board.de/42731-escan-anleitung.html) angegeben sind.

Das ganze hat 1 Std. 35 min. gedauert :balla:

Jetzt komm ich allerdings nicht weiter. Ich hab das log file vom scanner gespeichert aber ich weiß nicht wie ich es auswerten kann. Ich habe mir diese Datei runtergeladen http://www.media-folders.de/user/Haui/Find.bat
angeklickt und dann kam ein dos fenster was relativ schnell zu ging. Was nun? es ist nichts weiter passiert.

Auf Platte C: hab ich jetzt einen neuen Ordner bekommen (automatisch) "Bases_x". Den Ordner "bases" hatte ich am anfang auf c: neu erstellt und das tool darin entpackt.

Ich weiß jetzt nicht genau wie das Auswerten des log files nun funktioniert...

Hab ich was falsch gemacht?


gruß,
van

Haui45 26.04.2005 23:06
Das Programm eScan muss nach c:\bases_x entpackt werden.


Zitat:
und dann kam ein dos fenster was relativ schnell zu ging.
Das soll auch so sein ;)
Die .bat-Datei erstellt, ja nach Speicherort von eScan eine Textdatei auf c:
-> c:\eScan_neu.txt wenn eScan nach c:\bases_x entpackt wurde
-> c:\eScan_alt.txt wenn eScan nach c:\bases entpackt wurde

van 27.04.2005 06:04
hallo, also kann ich alles nochmal machen nur vorher in bases_x entpacken?
eine escan_neu wurde nicht erstellt. die escan_alt ist da.
Wenn alles ok ist kann auch weitermachen mit dem hijackthis scan und dann die logs posten....


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131