Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: se.dll auf der spur oder anderer hijacker ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.03.2005, 13:50   #1
pure_y2k
 
se.dll auf der spur oder anderer hijacker ? - Standard

se.dll auf der spur oder anderer hijacker ?



moinsen,

auf anraten von lutz nocheinmal meine logs.... ich kann nichts verdächtiges finden...

StartDreck (build 2.1.7 public stable) - 2005-03-09 @ 13:43:40 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 2)
Internet Explorer: 6.0.2900.2180
Logged in as Administrator at PC

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
*KAVPersonal50="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
»Files
»Autostart Folders
»Current User
*C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini
»Default User
*C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\system32\config.nt
*C:\autoexec.bat
*C:\WINDOWS\system32\autoexec.nt
*C:\WINDOWS\system32\drivers\etc\hosts
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+384=\SystemRoot\System32\smss.exe
+432=\??\C:\WINDOWS\system32\csrss.exe
+456=\??\C:\WINDOWS\system32\winlogon.exe
+512=C:\WINDOWS\system32\services.exe
+524=C:\WINDOWS\system32\lsass.exe
+700=C:\WINDOWS\system32\svchost.exe
+776=C:\WINDOWS\system32\svchost.exe
+844=C:\WINDOWS\System32\svchost.exe
+912=C:\WINDOWS\System32\svchost.exe
+1028=C:\WINDOWS\System32\svchost.exe
+1244=C:\WINDOWS\Explorer.EXE
+1376=C:\WINDOWS\system32\spoolsv.exe
+1480=C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
+1716=C:\WINDOWS\system32\nvsvc32.exe
+1776=C:\WINDOWS\System32\svchost.exe
+1920=C:\WINDOWS\system32\wdfmgr.exe
+652=C:\WINDOWS\System32\alg.exe
+2152=C:\WINDOWS\system32\wscntfy.exe
+1184=E:\eMule\emule.exe
+2908=C:\Programme\Internet Explorer\iexplore.exe
+1900=C:\Programme\WinRAR\WinRAR.exe
+400=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.546\StartDreck.exe
»NT Services
*Gatewaydienst auf Anwendungsebene ALG running on demand
*Anwendungsverwaltung AppMgmt - on demand
*Windows Audio AudioSrv running auto
*Intelligenter Hintergrundübertragungsdienst BITS - on demand
*Indexdienst cisvc - disabled
*Ablagemappe ClipSrv - disabled
*COM+-Systemanwendung COMSysApp - on demand
*Kryptografiedienste CryptSvc running auto
*DCOM-Server-Prozessstart DcomLaunch running auto
*DHCP-Client Dhcp running auto
*Verwaltungsdienst für die Verwaltung logischer dmadmin - on demand
`Datenträger
*Verwaltung logischer Datenträger dmserver running auto
*DNS-Client Dnscache running auto
*EpsonBidirectionalService EpsonBidirectionalSe running auto
*Fehlerberichterstattungsdienst ERSvc running auto
*Ereignisprotokoll Eventlog running auto
*COM+-Ereignissystem EventSystem running on demand
*Kompatibilität für schnelle Benutzerumschaltung FastUserSwitchingCom running on demand
*Hilfe und Support helpsvc running auto
*Eingabegerätezugang HidServ - disabled
*HTTP-SSL HTTPFilter - on demand
*IMAPI-CD-Brenn-COM-Dienste ImapiService - on demand
*kavsvc kavsvc - auto
*TCP/IP-NetBIOS-Hilfsprogramm LmHosts running auto
*NetMeeting-Remotedesktop-Freigabe mnmsrvc - on demand
*Distributed Transaction Coordinator MSDTC - on demand
*Windows Installer MSIServer - on demand
*Netzwerk-DDE-Dienst NetDDE - disabled
*Netzwerk-DDE-Serverdienst NetDDEdsdm - disabled
*Netzwerkverbindungen Netman running on demand
*NLA (Network Location Awareness) Nla running on demand
*Wechselmedien NtmsSvc - on demand
*NVIDIA Display Driver Service NVSvc running auto
*Office Source Engine ose - disabled
*Plug & Play PlugPlay running auto
*IPSEC-Dienste PolicyAgent - auto
*Geschützter Speicher ProtectedStorage running auto
*Verwaltung für automatische RAS-Verbindung RasAuto - on demand
*RAS-Verbindungsverwaltung RasMan - on demand
*Sitzungs-Manager für Remotedesktophilfe RDSessMgr - on demand
*Routing und RAS RemoteAccess - disabled
*Remote-Registrierung RemoteRegistry running auto
*Remoteprozeduraufruf (RPC) RpcSs running auto
*QoS-RSVP RSVP - on demand
*Super Ad Blocker Service SABSVC - disabled
*Sicherheitskontenverwaltung SamSs running auto
*Smartcard SCardSvr - on demand
*Taskplaner Schedule running auto
*Sekundäre Anmeldung seclogon running auto
*Systemereignisbenachrichtigung SENS running auto
*Windows-Firewall/Gemeinsame Nutzung der Interne SharedAccess running auto
`tverbindung
*Shellhardwareerkennung ShellHWDetection running auto
*Druckwarteschlange Spooler running auto
*Systemwiederherstellungsdienst srservice - disabled
*SSDP-Suchdienst SSDPSRV - disabled
*Windows-Bilderfassung (WIA) stisvc running auto
*MS Software Shadow Copy Provider SwPrv - on demand
*Leistungsdatenprotokolle und Warnungen SysmonLog - on demand
*Telefonie TapiSrv - on demand
*Terminaldienste TermService running on demand
*Designs Themes running auto
*Telnet TlntSvr - on demand
*Überwachung verteilter Verknüpfungen (Client) TrkWks running auto
*Windows User Mode Driver Framework UMWdf running auto
*Universeller Plug & Play-Gerätehost upnphost - disabled
*Unterbrechungsfreie Stromversorgung UPS - on demand
*Volumeschattenkopie VSS - on demand
*Windows-Zeitgeber W32Time running auto
*WebClient WebClient running auto
*Windows-Verwaltungsinstrumentation winmgmt running auto
*Dienst für Seriennummern der tragbaren Medien WmdmPmSN - on demand
*Treibererweiterungen für Windows-Verwaltungsins Wmi - on demand
`trumentation
*WMI-Leistungsadapter WmiApSrv - on demand
*Sicherheitscenter wscsvc running auto
*Automatische Updates wuauserv running auto
*Konfigurationsfreie drahtlose Verbindung WZCSVC running auto
*Netzwerkversorgungsdienst xmlprov - on demand
»Application specific


hijack_this_log :

Logfile of HijackThis v1.99.1
Scan saved at 13:49:42, on 09.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
E:\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\system32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O17 - HKLM\System\CCS\Services\Tcpip\..\{A019C02F-3C8E-44FC-B42D-CA21AFE0C829}: NameServer = 145.253.2.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE013F9A-9CFA-4431-8764-C78921CF0B83}: NameServer = 145.253.2.11
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




gruss



pure_y2k

Alt 09.03.2005, 14:02   #2
FancyAndy
 
se.dll auf der spur oder anderer hijacker ? - Standard

se.dll auf der spur oder anderer hijacker ?



Diese beiden solltest Du auch noch mal entfernen :

O17 - HKLM\System\CCS\Services\Tcpip\..\{A019C02F-3C8E-44FC-B42D-CA21AFE0C829}: NameServer = 145.253.2.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE013F9A-9CFA-4431-8764-C78921CF0B83}: NameServer = 145.253.2.11

Gruß
Andy
__________________

__________________

Alt 09.03.2005, 14:04   #3
Haui45
 
se.dll auf der spur oder anderer hijacker ? - Standard

se.dll auf der spur oder anderer hijacker ?



Zitat:
Zitat von FancyAndy
Diese beiden solltest Du auch noch mal entfernen :

O17 - HKLM\System\CCS\Services\Tcpip\..\{A019C02F-3C8E-44FC-B42D-CA21AFE0C829}: NameServer = 145.253.2.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE013F9A-9CFA-4431-8764-C78921CF0B83}: NameServer = 145.253.2.11
Das bezweifle ich -> http://www.iks-jena.de/cgi-bin/whois
__________________

Alt 09.03.2005, 14:09   #4
FancyAndy
 
se.dll auf der spur oder anderer hijacker ? - Standard

se.dll auf der spur oder anderer hijacker ?



jedoch http://www.pcwelt.de/forum/archive/i.../t-142649.html
__________________
Fragen, die die Welt nicht braucht (oder doch ?)

Wie setze ich mein System neu auf ?

Alt 09.03.2005, 14:14   #5
Haui45
 
se.dll auf der spur oder anderer hijacker ? - Standard

se.dll auf der spur oder anderer hijacker ?



Zitat:
Zitat von Fancy Andy
Ja und? Hast du den Thread wenigstens bis zum Post von UKW gelesen?


Alt 09.03.2005, 14:17   #6
FancyAndy
 
se.dll auf der spur oder anderer hijacker ? - Standard

se.dll auf der spur oder anderer hijacker ?



Wir wissen ja beide nicht ob Arcor sein ISP ist, also bleiben wir auf Stand-By in diesem Falle.

In dubio pro Reo

Cheers
Andy
__________________
--> se.dll auf der spur oder anderer hijacker ?

Alt 09.03.2005, 14:54   #7
pure_y2k
 
se.dll auf der spur oder anderer hijacker ? - Standard

se.dll auf der spur oder anderer hijacker ?



jau,


145.253.2.11


ist mein primary arcor dns-server !




gruss



pure_y2k

Alt 09.03.2005, 15:39   #8
Lutz
 

se.dll auf der spur oder anderer hijacker ? - Standard

se.dll auf der spur oder anderer hijacker ?



Diese hätten noch heraus gekonnt:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
Aber sonst?

Eine wohl eher unwahrscheinliche Möglichkeit wäre noch die Manipulation der HOSTS-Datei...
Zitat:
C:\WINDOWS\system32\drivers\etc\hosts
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Antwort

Themen zu se.dll auf der spur oder anderer hijacker ?
.exe, administrator, automatische, awareness, boot, dateien, dll, drivers, einstellungen, explorer, helper, hijacker, hijackthis, iexplore.exe, kaspersky, kompatibilität, konfigurationsfreie, location, microsoft, notepad.exe, nvcpl.dll, nvidia, office, programme, rundll, rundll32.exe, seriennummer, software, super, system, system32, windows, windows xp, windows\system32\drivers, wscript.exe



Ähnliche Themen: se.dll auf der spur oder anderer hijacker ?


  1. Trojaner oder anderer Virus wahrscheinlich durch download
    Plagegeister aller Art und deren Bekämpfung - 02.01.2015 (17)
  2. Antimaleware doctor oder anderer fissling?
    Plagegeister aller Art und deren Bekämpfung - 28.04.2010 (1)
  3. undetactable oder hijacker oder was?
    Log-Analyse und Auswertung - 19.06.2009 (0)
  4. Trojaner oder anderer Virus auf dem Rechner?
    Plagegeister aller Art und deren Bekämpfung - 19.06.2009 (5)
  5. TR/vundo.gen oder anderer / mdnsNSP.dll
    Plagegeister aller Art und deren Bekämpfung - 26.12.2008 (0)
  6. Hijacker oder was???Hiiiilfeeeee!!!!
    Mülltonne - 23.09.2008 (0)
  7. Malware.trace network\UID Zlob oder doch anderer Virus?
    Plagegeister aller Art und deren Bekämpfung - 26.08.2008 (1)
  8. Habe dauernd Fehler Meldungen nach neu inst. Viren oder ein anderer fehler ???
    Plagegeister aller Art und deren Bekämpfung - 07.05.2007 (17)
  9. lop.com oder anderer virus! bitte um hilfe!
    Log-Analyse und Auswertung - 07.03.2007 (8)
  10. Trojaner oder HiJacker
    Plagegeister aller Art und deren Bekämpfung - 01.06.2006 (12)
  11. Hijacker: Schädlingen auf der Spur
    Archiv - 27.07.2005 (8)
  12. Sasser oder ein anderer Wurm/Virus??
    Plagegeister aller Art und deren Bekämpfung - 15.07.2005 (26)
  13. Hijacker oder Trojaner? Mein Log!
    Log-Analyse und Auswertung - 18.03.2005 (7)
  14. Hilfe - Virus oder Hijacker?
    Log-Analyse und Auswertung - 22.07.2004 (1)
  15. Hijacker Attacke oder ??
    Log-Analyse und Auswertung - 21.07.2004 (2)
  16. Probleme mit Trojaner oder HiJacker...Help neede
    Log-Analyse und Auswertung - 24.06.2004 (5)
  17. Virus oder hijacker
    Plagegeister aller Art und deren Bekämpfung - 02.05.2004 (1)

Zum Thema se.dll auf der spur oder anderer hijacker ? - moinsen, auf anraten von lutz nocheinmal meine logs.... ich kann nichts verdächtiges finden... StartDreck (build 2.1.7 public stable) - 2005-03-09 @ 13:43:40 (GMT +01:00) Platform: Windows XP (Win NT 5.1.2600 - se.dll auf der spur oder anderer hijacker ?...
Archiv
Du betrachtest: se.dll auf der spur oder anderer hijacker ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.