In den letzten Tagen häufen sich hier die Anfragen, wegen immer wieder des gleichen Hijacking-Problems.

Folgende Einträge sind in den entsprechenden Logs von HijackThis identisch, lediglich die rot markierten Namen und Zeichenfolgen variieren, da sie zufällig generiert werden:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html

O2 - BHO: (no name) - {6EFB1E67-6CB3-40D6-BD0B-1F32F6FD70A4} - C:\WINNT\system32\ammm.dll

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
oder
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Anwendername\LOKALE~1\Temp\se.dll,DllInstall

O18 - Filter: text/html - {D9318B44-E0AB-4428-BE95-38E2C0B4D9A3} - C:\WINNT\system32\ammm.dll
O18 - Filter: text/plain - {D9318B44-E0AB-4428-BE95-38E2C0B4D9A3} - C:\WINNT\system32\ammm.dll

Diese Zeilen sind auf jeden Fall mit HijackThis im abgesicherten Modus des Rechners zu fixen. Außerdem ist die Datei se.dll (kann u. U. an mehreren Stellen auftauchen!), sowie die in diesem Beispiel rot markierten Dateien zu löschen. Ggf. ist anschließend auch der Papierkorb zu leeren.

Um uns Helfenden die Arbeit ein bisschen zu erleichtern bitte bei entsprechenden Funden im eigenen HijackThis-Log die genannten Schritte ausführen und erst wenn sich damit das Problem nicht beheben lässt das Log hier posten.

Danke für Euer Verständnis!


1. Nachtrag:

Anschließend sollte die Registry mit einem Tool wie bspw. dem Registry Optimierer bereinigt werden. Allerdings hier meine generelle Warnung: Niemals an der Registry basteln, ohne diese vorher gesichert zu haben! Auch, wenn der Registry Optimierer selbst ein Backup anlegt...

2. Nachtrag (24.02.05; ~18:10)

Zeilen dieser Art sollten auch mit HijackThis gefixt werden...

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Offensichtlich ist es in einigen Fällen nicht immer so einfach, diese Variante des Hijackers zu entfernen. Oder aber es handelt sich um verschiedene Varianten, welche sich sehr ähnlich im HiJackThis-Log zeigen.

Wichtig ist, dass wirklich alle Funde der Datei se.dll entfernt werden. Wie ich bereits oben schrieb, kann sich die Datei durchaus an mehreren Stellen ablegen. Also im Windos-Explorer nach dieser Datei suchen und wirklich alle Funde löschen!

Sollte sich die Datei nicht löschen lassen, muss sie evtl. erst de-registriert werden.
Dazu auf Start -> Ausführen gehen und folgende Zeile eingeben
regsvr32 /u C:\WINDOWS\TEMP\SE.DLL und anschließend 'OK' klicken

Der rote Teil der Zeile muss dabei so angegeben werden, wie der tatsächliche Pfad, also könnte die komplette Zeile auch so lauten:
regsvr32 /u C:\DOKUMENTE UND EINSTELLUNGEN\Anwendername\LOKALE EINSTELLUNGEN\Temp\se.dll
(Anwendername ist hierbei natürlich durch den tatsächlichen Namen zu ersetzen!)
Sollte die Datei se.dll an mehreren Stellen gefunden werden, muss dieser Vorgang für jeden Fund wiederholt werden.

Sollten sich die einzelnen Dateien immer noch nicht löschen lassen, hilft es u.U. dies mit der Option 'Delete a file on reboot' aus HijackThis 1.99.1 zu erledigen. Diese Option ist zu finden unter 'Config' -> 'Misc Tools'.

Zur Kontrolle, ob diese Hijacking-Variante nun wirklich entfernt ist, bitte nach Abschluss der Maßnahmen den PC einmal komplett ausschalten und nach ein paar Sekunden warten neu starten und anschließend den InternetExplorer starten, ohne dabei online zu sein.

Es gibt Neuigkeiten!

seeker, der im letzten Jahr bereits das erfolgreiche Tool sphjfix.exe geschrieben hat, um damit einen ähnlich hartnäckigen Hijacker zu entfernen, hat ein Tool zur Entfernung dieser Variante geschrieben.

Allerdings konnten wir das Tool bisher nicht bei einem tatsächlich infizierten Rechner austesten. Es befindet sich also noch in einer s e h r frühen Entwicklungsphase!

Was wir jetzt brauchen sind ein paar Freiwillige (nach Möglichkeit natürlich mit einem infiziertem Rechner), die dieses Tool testen. Diese Freiwilligen sollten sich allerdings darüber im Klaren sein, dass wegen der bisher nicht bestehenden Test-Möglichkeiten es

a) nicht ausgeschlossen werden kann, das eine Bereinigung noch nicht vollständig erfolgt

und

b) unter Umständen zu Beeinträchtigungen des Systems (Risiken und Nebenwirkungen) kommen kann.

Es sollte aus Sicherheitsgründen vor dem ersten Einsatz des Tools eine komplette Sicherung der Registry erfolgen.

Wer nicht weiß, was die Registry ist und wie man ein Backup davon erstellt, sollte in dieser frühen Phase der Entwicklung lieber seine Finger von diesem Tool lassen!

Ich weise an dieser Stelle ausdrücklich darauf hin, dass selbstverständlich weder der Programmierer, noch trojaner-info.de, noch trojaner-board.de, noch ein Mitglied des Admin-/Mod-Teams, noch ich für evtl. Schäden durch dieses Tool haftet! Außerdem darf das Tool (zunächst) nicht an Dritte weitergegeben werden.

Wer unter den obigen Vorraussetzungen dennoch das Tool testen möchte, möge sich in diesem Thread mit einer funktionsfähigen Mail-Adresse melden. Zu diesem Zweck werde ich diesen Thread jetzt öffnen (Meldungen via Mail, PN, ... werde ich nicht berücksichtigen). Durch eine Meldung hier im Thread werden die Voraussetzungen anerkannt!

Je nach dem, wie groß das Interesse ist, werde ich evtl. nicht alle Meldungen berücksichtigen. Sollten sich noch Fehler im Tool herausstellen, macht es wenig Sinn, dieses Tool breit zu streuen. Ich werde den Versand des Tools hier 'protokollieren'.


Tool an
Chris14 (02.02.05, ~18:25 Uhr)
Brando (03.02.05, ~18:50 Uhr)
pure_y2k (06.03.05 ~16:40 Uhr)
Harry01 (06.03.05 ~22:00 Uhr)
HILFEhoch2 (06.03.05 ~22:00 Uhr)
eisbaerchris (06.03.05 ~22:30 Uhr)
Dave77 (07.03.05 ~18:45 Uhr)
jackyoo (07.03.05 ~18:45 Uhr)
Spyro (07.03.05 ~18:45 Uhr)
Torsten83 (07.03.05 ~18:45 Uhr)

ich^^
e-mail adresse: (Mailadresse nachträglich gelöscht)
zumal ich genug möglichkeiten an solche hijacker,trojan-downloader ranzukommen habe.

Hi, ich habe auch Interesse dieses Tool zu testen. Nachdem ich gestern der Meinung war, ich hätte den Übeltäter beseitigt, ist er jetzt wieder da. Schöne Sch...

E-Mail: (Adresse nachträglich gelöscht)

einfach nur mal vielen Dank für Eure Hilfe,
besonders diese Anleitung hat mir sehr geholfen!

Hi Lutz !

Sorry, ich habe erst jetzt Zeit gefunden

Hier ist mein Startdreck-Logfile:



StartDreck (build 2.1.7 public stable)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 5.00.2614.3500
Logged in as...

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*WinampAgent="C:\PROGRAMME\WINAMP\WINAMPa.exe"
*AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
»RunServicesOnce
**x=rundll32 C:\WINDOWS\FSDGUNZT.LOG,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
+.htm
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.html
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.js
*JSFile=C:\WINDOWS\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\WINDOWS\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*Jccatch.IeCatch2.1/{A5366673-E8CA-11D3-9CD9-0090271D075B}
`InprocServer32=D:\PROGRAMME\FLASHGET\FLASHGET\JCCATCH.DLL
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
»Files
»Autostart Folders
»Current User
»Default User
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\autoexec.bat
*C:\WINDOWS\wininit.bak
*C:\WINDOWS\dosstart.bat
»System/Drivers
»Running Processes
+FFCF5953=C:\WINDOWS\SYSTEM\KERNEL32.DLL
+FFFF6DC3=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
+FFFF9A73=C:\WINDOWS\SYSTEM\MPREXE.EXE
+FFFF83B3=C:\WINDOWS\SYSTEM\mmtask.tsk
+FFFE053B=C:\WINDOWS\SYSTEM\MSTASK.EXE
+FFFFB2DF=C:\WINDOWS\RUNDLL32.EXE
+FFFE2B83=C:\WINDOWS\EXPLORER.EXE
+FFFEAEB3=C:\WINDOWS\TASKMON.EXE
+FFFEA63B=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
+FFFEEF47=C:\WINDOWS\SYSTEM\DDHELP.EXE
+FFFC10CB=C:\WINDOWS\RUNDLL32.EXE
+FFFEADEF=C:\WINDOWS\SYSTEM\WMIEXE.EXE
+FFFB363B=C:\PROGRAMME\STARTDRECK\STARTDRECK.EXE
»NT Services
»Application specific


Ich bin gerne bereit das Tool von seeker auszuprobieren. Gibt
es eine Möglichkeit es direkt von Dir zu erhalten ?

Ich möchte meine E-Mail Adresse nicht so gerne öffentlich posten. Beim
letzten Mal, hatte ich anschließend 3 Monate nur Spam im Briefkasten.

Viele Grüsse

Zitat:

Zitat von araco

...Ich bin gerne bereit das Tool von seeker auszuprobieren. Gibt es eine Möglichkeit es direkt von Dir zu erhalten ?

Ich möchte meine E-Mail Adresse nicht so gerne öffentlich posten. Beim
letzten Mal, hatte ich anschließend 3 Monate nur Spam im Briefkasten.

Du hast eine PN!
An die potentielle Spam-Gefahr habe ich in der Tat nicht gedacht. Von daher nehme ich jetzt doch evtl. weitere Anfragen nach dem Tool via PN/Mail entgegen.
Ich werde aber vorerst weiterhin dokumentieren, wem ich das Tool geschickt habe.

mein schwiegervater hat auch dieses problem auf dem rechner.
ich würde dieses tool auch gerne ausprobieren denn ich habe mir bis jetzt die zähne daran ausgebissen mit sämtlichen verfügbaren entfernungstools.
vielleicht kann ich ja damit noch ein format:c umgehen!

MfG Dave77

ich habe die anweisungen von lutz durchgeführt, es war auch alles weg, aber beim wieder "online gehen" habe ich den alten status mit logfile wie gehabt...???
was ist zu tun?

Zitat:

Zitat von Dave77

...ich würde dieses tool auch gerne ausprobieren ...

Hi Dave,
bitte teile Deine Mailadresse hier mit, bzw. kurze Mail oder PN an mich, damit ich Dir das Tool schicken kann...

Zitat:

Zitat von eisbaerchris

was ist zu tun?

Poste bitte -allerdings in einem neuen 'eigenen Thread' mal das aktuelle HijackThis-Log und ein Log von StartDreck.

Alternativ kannst Du es auch mit dem hier beschriebenen Tool probieren. Lasse mich dann eine funktionierende Mailadresse von Dir wissen.

Sorry, ich sehe gerade Du hast schon einen Thread aufgemacht...
Gut so, machen wir da weiter...

Hi! Habe dieses geniale Forum bei der Suche nach meinem Hijacker-Problem gefunden. Ich hätte auch Interesse an dem Tool, da alle anderen Versuche, das Ding wieder loszuwerden, fehlgeschlagen sind. Mein System ist ohnehin "verdaddelt", sodaß ich es gern als Versuchssystem zur Verfügung stelle. Muß es eh demnächst neu aufsetzen.

Hier die Mailadresse: (Mailadresse nachträglich entfernt)

Wenn da jetzt Spam aufläuft, weiß ich ja, wo der herkommt. Bitte die Adresse wieder löschen, wenn das Tool gemailt wurde. Danke.

Hallo Lutz.
Ich habe gerade heute dieses problem auf meinem Computer entdeckt. Ich habe 10 Anti-Viren und Trojaner Programme ausprobiert, aber keines war diesem Trojaner gewachsen. Darum bitte ich dich, dass du mir dein Probeprogramm schickst, dass ich es ausprobieren kann.
danke Lutz.

Hallo Lutz, ich habe erst einmal folgendes Problem, an einem solche hijacker, trojan-downloader zu kommen, also, ich möchte mich ja damit erst einmal infizieren, sonst kann ich ja das Programm nicht testen.
Also, das Teil, an prochaskakh@web.de gepackt und mit PWD senden.
Ungepackt, macht das web.de schon kalt.
Und dann mir halt das Prog senden.
Ich habe mir die Bedingungen durchgelesen und benutze für solche Sachen VM Ware.
Also, hit it.
LG, Charlie

Nachtrag, meine Adresse bitte nicht löschen, es ist für mich eine Fundgrube!