Immer wieder 'se.dll/sp.html'
 

In den letzten Tagen häufen sich hier die Anfragen, wegen immer wieder des gleichen Hijacking-Problems.

Folgende Einträge sind in den entsprechenden Logs von HijackThis identisch, lediglich die rot markierten Namen und Zeichenfolgen variieren, da sie zufällig generiert werden:
Diese Zeilen sind auf jeden Fall mit HijackThis im abgesicherten Modus des Rechners zu fixen. Außerdem ist die Datei se.dll (kann u. U. an mehreren Stellen auftauchen!), sowie die in diesem Beispiel rot markierten Dateien zu löschen. Ggf. ist anschließend auch der Papierkorb zu leeren.

Um uns Helfenden die Arbeit ein bisschen zu erleichtern bitte bei entsprechenden Funden im eigenen HijackThis-Log die genannten Schritte ausführen und erst wenn sich damit das Problem nicht beheben lässt das Log hier posten.

Danke für Euer Verständnis!


1. Nachtrag:

Anschließend sollte die Registry mit einem Tool wie bspw. dem Registry Optimierer bereinigt werden. Allerdings hier meine generelle Warnung: Niemals an der Registry basteln, ohne diese vorher gesichert zu haben! Auch, wenn der Registry Optimierer selbst ein Backup anlegt...

2. Nachtrag (24.02.05; ~18:10)

Zeilen dieser Art sollten auch mit HijackThis gefixt werden...

Offensichtlich ist es in einigen Fällen nicht immer so einfach, diese Variante des Hijackers zu entfernen. Oder aber es handelt sich um verschiedene Varianten, welche sich sehr ähnlich im HiJackThis-Log zeigen.

Wichtig ist, dass wirklich alle Funde der Datei se.dll entfernt werden. Wie ich bereits oben schrieb, kann sich die Datei durchaus an mehreren Stellen ablegen. Also im Windos-Explorer nach dieser Datei suchen und wirklich alle Funde löschen!

Sollte sich die Datei nicht löschen lassen, muss sie evtl. erst de-registriert werden.
Dazu auf Start -> Ausführen gehen und folgende Zeile eingeben
regsvr32 /u C:\WINDOWS\TEMP\SE.DLL und anschließend 'OK' klicken

Der rote Teil der Zeile muss dabei so angegeben werden, wie der tatsächliche Pfad, also könnte die komplette Zeile auch so lauten:
regsvr32 /u C:\DOKUMENTE UND EINSTELLUNGEN\Anwendername\LOKALE EINSTELLUNGEN\Temp\se.dll
(Anwendername ist hierbei natürlich durch den tatsächlichen Namen zu ersetzen!)
Sollte die Datei se.dll an mehreren Stellen gefunden werden, muss dieser Vorgang für jeden Fund wiederholt werden.

Sollten sich die einzelnen Dateien immer noch nicht löschen lassen, hilft es u.U. dies mit der Option 'Delete a file on reboot' aus HijackThis 1.99.1 zu erledigen. Diese Option ist zu finden unter 'Config' -> 'Misc Tools'.

Zur Kontrolle, ob diese Hijacking-Variante nun wirklich entfernt ist, bitte nach Abschluss der Maßnahmen den PC einmal komplett ausschalten und nach ein paar Sekunden warten neu starten und anschließend den InternetExplorer starten, ohne dabei online zu sein.

Es gibt Neuigkeiten!

seeker, der im letzten Jahr bereits das erfolgreiche Tool sphjfix.exe geschrieben hat, um damit einen ähnlich hartnäckigen Hijacker zu entfernen, hat ein Tool zur Entfernung dieser Variante geschrieben.

Allerdings konnten wir das Tool bisher nicht bei einem tatsächlich infizierten Rechner austesten. Es befindet sich also noch in einer s e h r frühen Entwicklungsphase!

Was wir jetzt brauchen sind ein paar Freiwillige (nach Möglichkeit natürlich mit einem infiziertem Rechner), die dieses Tool testen. Diese Freiwilligen sollten sich allerdings darüber im Klaren sein, dass wegen der bisher nicht bestehenden Test-Möglichkeiten es

a) nicht ausgeschlossen werden kann, das eine Bereinigung noch nicht vollständig erfolgt

und

b) unter Umständen zu Beeinträchtigungen des Systems (Risiken und Nebenwirkungen) kommen kann.

Es sollte aus Sicherheitsgründen vor dem ersten Einsatz des Tools eine komplette Sicherung der Registry erfolgen.

Wer nicht weiß, was die Registry ist und wie man ein Backup davon erstellt, sollte in dieser frühen Phase der Entwicklung lieber seine Finger von diesem Tool lassen!

Ich weise an dieser Stelle ausdrücklich darauf hin, dass selbstverständlich weder der Programmierer, noch trojaner-info.de, noch trojaner-board.de, noch ein Mitglied des Admin-/Mod-Teams, noch ich für evtl. Schäden durch dieses Tool haftet! Außerdem darf das Tool (zunächst) nicht an Dritte weitergegeben werden.

Wer unter den obigen Vorraussetzungen dennoch das Tool testen möchte, möge sich in diesem Thread mit einer funktionsfähigen Mail-Adresse melden. Zu diesem Zweck werde ich diesen Thread jetzt öffnen (Meldungen via Mail, PN, ... werde ich nicht berücksichtigen). Durch eine Meldung hier im Thread werden die Voraussetzungen anerkannt!

Je nach dem, wie groß das Interesse ist, werde ich evtl. nicht alle Meldungen berücksichtigen. Sollten sich noch Fehler im Tool herausstellen, macht es wenig Sinn, dieses Tool breit zu streuen. Ich werde den Versand des Tools hier 'protokollieren'.


Tool an
Chris14 (02.02.05, ~18:25 Uhr)
Brando (03.02.05, ~18:50 Uhr)
pure_y2k (06.03.05 ~16:40 Uhr)
Harry01 (06.03.05 ~22:00 Uhr)
HILFEhoch2 (06.03.05 ~22:00 Uhr)
eisbaerchris (06.03.05 ~22:30 Uhr)
Dave77 (07.03.05 ~18:45 Uhr)
jackyoo (07.03.05 ~18:45 Uhr)
Spyro (07.03.05 ~18:45 Uhr)
Torsten83 (07.03.05 ~18:45 Uhr)

ich^^
e-mail adresse: (Mailadresse nachträglich gelöscht)
zumal ich genug möglichkeiten an solche hijacker,trojan-downloader ranzukommen habe.

Hi, ich habe auch Interesse dieses Tool zu testen. Nachdem ich gestern der Meinung war, ich hätte den Übeltäter beseitigt, ist er jetzt wieder da. Schöne Sch...

E-Mail: (Adresse nachträglich gelöscht)

einfach nur mal vielen Dank für Eure Hilfe,
besonders diese Anleitung hat mir sehr geholfen!

Hi Lutz !

Sorry, ich habe erst jetzt Zeit gefunden

Hier ist mein Startdreck-Logfile:



StartDreck (build 2.1.7 public stable)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 5.00.2614.3500
Logged in as...

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*SystemTray=SysTray.Exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*WinampAgent="C:\PROGRAMME\WINAMP\WINAMPa.exe"
*AVKWCtl=C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
»RunServicesOnce
**x=rundll32 C:\WINDOWS\FSDGUNZT.LOG,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
+.htm
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.html
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.js
*JSFile=C:\WINDOWS\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\WINDOWS\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*Jccatch.IeCatch2.1/{A5366673-E8CA-11D3-9CD9-0090271D075B}
`InprocServer32=D:\PROGRAMME\FLASHGET\FLASHGET\JCCATCH.DLL
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
»Files
»Autostart Folders
»Current User
»Default User
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\autoexec.bat
*C:\WINDOWS\wininit.bak
*C:\WINDOWS\dosstart.bat
»System/Drivers
»Running Processes
+FFCF5953=C:\WINDOWS\SYSTEM\KERNEL32.DLL
+FFFF6DC3=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
+FFFF9A73=C:\WINDOWS\SYSTEM\MPREXE.EXE
+FFFF83B3=C:\WINDOWS\SYSTEM\mmtask.tsk
+FFFE053B=C:\WINDOWS\SYSTEM\MSTASK.EXE
+FFFFB2DF=C:\WINDOWS\RUNDLL32.EXE
+FFFE2B83=C:\WINDOWS\EXPLORER.EXE
+FFFEAEB3=C:\WINDOWS\TASKMON.EXE
+FFFEA63B=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
+FFFEEF47=C:\WINDOWS\SYSTEM\DDHELP.EXE
+FFFC10CB=C:\WINDOWS\RUNDLL32.EXE
+FFFEADEF=C:\WINDOWS\SYSTEM\WMIEXE.EXE
+FFFB363B=C:\PROGRAMME\STARTDRECK\STARTDRECK.EXE
»NT Services
»Application specific


Ich bin gerne bereit das Tool von seeker auszuprobieren. Gibt
es eine Möglichkeit es direkt von Dir zu erhalten ?

Ich möchte meine E-Mail Adresse nicht so gerne öffentlich posten. Beim
letzten Mal, hatte ich anschließend 3 Monate nur Spam im Briefkasten.

Viele Grüsse

Du hast eine PN!
An die potentielle Spam-Gefahr habe ich in der Tat nicht gedacht. Von daher nehme ich jetzt doch evtl. weitere Anfragen nach dem Tool via PN/Mail entgegen. ;)
Ich werde aber vorerst weiterhin dokumentieren, wem ich das Tool geschickt habe.

mein schwiegervater hat auch dieses problem auf dem rechner.
ich würde dieses tool auch gerne ausprobieren denn ich habe mir bis jetzt die zähne daran ausgebissen mit sämtlichen verfügbaren entfernungstools.
vielleicht kann ich ja damit noch ein format:c umgehen!

MfG Dave77

ich habe die anweisungen von lutz durchgeführt, es war auch alles weg, aber beim wieder "online gehen" habe ich den alten status mit logfile wie gehabt...???
was ist zu tun?

Hi Dave,
bitte teile Deine Mailadresse hier mit, bzw. kurze Mail oder PN an mich, damit ich Dir das Tool schicken kann...

Poste bitte -allerdings in einem neuen 'eigenen Thread' mal das aktuelle HijackThis-Log und ein Log von StartDreck.

Alternativ kannst Du es auch mit dem hier beschriebenen Tool probieren. Lasse mich dann eine funktionierende Mailadresse von Dir wissen.

Sorry, ich sehe gerade Du hast schon einen Thread aufgemacht... :crazy:
Gut so, machen wir da weiter... ;)

Hi! Habe dieses geniale Forum bei der Suche nach meinem Hijacker-Problem gefunden. Ich hätte auch Interesse an dem Tool, da alle anderen Versuche, das Ding wieder loszuwerden, fehlgeschlagen sind. Mein System ist ohnehin "verdaddelt", sodaß ich es gern als Versuchssystem zur Verfügung stelle. Muß es eh demnächst neu aufsetzen. :heulen:

Hier die Mailadresse: (Mailadresse nachträglich entfernt)

Wenn da jetzt Spam aufläuft, weiß ich ja, wo der herkommt. Bitte die Adresse wieder löschen, wenn das Tool gemailt wurde. Danke. ;)

Hallo Lutz.
Ich habe gerade heute dieses problem auf meinem Computer entdeckt. Ich habe 10 Anti-Viren und Trojaner Programme ausprobiert, aber keines war diesem Trojaner gewachsen. Darum bitte ich dich, dass du mir dein Probeprogramm schickst, dass ich es ausprobieren kann.
danke Lutz.

Hallo Lutz, ich habe erst einmal folgendes Problem, an einem solche hijacker, trojan-downloader zu kommen, also, ich möchte mich ja damit erst einmal infizieren, sonst kann ich ja das Programm nicht testen.
Also, das Teil, an prochaskakh@web.de gepackt und mit PWD senden.
Ungepackt, macht das web.de schon kalt.
Und dann mir halt das Prog senden.
Ich habe mir die Bedingungen durchgelesen und benutze für solche Sachen VM Ware.
Also, hit it.
LG, Charlie

Nachtrag, meine Adresse bitte nicht löschen, es ist für mich eine Fundgrube!

danke im vorraus lutz.
hoffe es klappt mit dem tool.
möchte format:c umgehen.

Ich werde diese Woche nur sporadisch -aber dennoch mehr oder wenig regelmäßig- im Board sein. Aber ich werde mich auf jeden Fall 'bemühen', jedem Interessenten das Tool zu schicken. Das wird aber in aller Regel erst Abends sein!
Wenn ich dann doch mal jemanden übersehen sollte, bitte nicht Böse sein, sondern einfach noch mal melden... ;)

@charlie1:
Das Tool werde ich Dir heute Abend schicken. Einen 'vollfunktionsfähigen' selbstinfizierenden Hijacker habe ich allerdings immer noch nicht. U. a. deswegen gestalten sich unsere Tests so schwierig. Ich hätte das Tool schon längst für alle 'freigegeben', wenn wir genügend Testergebnisse hätten...

hi wäre an dem tool auch interessiert doch die frage ist die, die es schon ausprobiert haben gibt es irgendwelche probleme (fehler) damit. weil es ist nicht mein pc es ist ein pc von einem kolegen...
@lutz: e-mail adresse schreib ich dir per pn.

Mfg Spyro

Hi, ich habe das Tool getestet. Leider wurde das Problem bei mir nicht behoben :mad:. Da es aber ansonsten keine Probleme mit dem Tool gab, denke ich, dass Ihr es bedenkenlos testen könnt. Vielleicht hilft es ja bei Euch (hab Windows ME installiert).

Hallo Lutz, ist ja lieb gemeint, aber solange ich auch noch keinen 'vollfunktionsfähigen' selbstinfizierenden Hijacker habe, nützt mir das Tool auch nichts, denn wie soll ich es denn testen.
War die ganze Zeit mit IE und ungeschützt unterwegs, habe alle möglichen und unmöglichen Seiten besucht, aber mir ist kein solches Ding ins Netz gegangen, eigentlich schon paranoid, manche haben Probleme, dass von der Platte zu bekommen und ich das drauf.
Liebe Grüße, Charlie

hallo leute,

nachdem ich den ganzen mittag versucht hab dieses teil irgendwie weg zu bekommen bin ich vor ca. 10 min in meine softwareliste unter systemsteuerung und hab das teil einfach deinstalliert :crazy: eintrag --> "Search Assistant Uninstall". schaut mal nach ob es bei euch auch so weg geht... irgendwie komisch aber froh bin ich trotzdem!!! ;)

So, da ich

a) nicht viel Zeit habe in dieser Woche und

b) davon ausgehe, dass das Tool zumindest keinen Schaden anrichtet,

habe ich mich entschlossen, es jetzt doch zum Download freizugeben: (Download-Link entfernt, da neuere Version vorliegt - siehe unten)

Das ändert natürlich nichts daran, dass von uns keinerlei Haftung bei evtl. Schäden übernommen wird!

Da die Ergebnisse offensichtlich unterschiedlich ausfallen, erhoffe ich mir eine bessere und schnellere Fehleranalyse. An jeden der das Tool benutzt habe ich die bitte, seine Erfahrungen hier zu posten.
Bitte entpacke es in einem eigenen Ordner (z.B. C:\Tools\SpSeHjfix)
Anschließend starte die Datei SpSeHjfix_Beta.exe. Dort hast Du dann nur die beiden Möglichkeiten
*Schließen* oder *Desinfektion starten*

Ausgeführt wird dieses Tool logischerweise mit dem Button *Desinfektion starten*
Wenn eine Infektion festgestellt wird, sollte der Rechner automatisch neu gestartet werden. Also vorher alle anderen Anwednungen schließen.

Wenn keine Infektion festgestellt wird, wirst Du darauf hingewiesen. In beiden Fällen wird im Installationsverzeichnis des Programms eine Log-Datei erstellt.

Wenn der Hijacker mit dem Tool nicht (dauerhaft) entfernt werden kann, erstellt bitte mal ein Log mit dem Tool Startdreck.

Poste ggf. beide Logs bitte in einem eigenen Thread im Forum! Wir kommen hier sonst hoffnungslos durcheinander!

Danke!

Das kommt mir doch irgendwie sehr bekannt vor...
Ich bekomme das hier auch nicht hin.

Es gibt weitere Neuigkeiten:

Mittlerweile ist es uns bzw. raman gelungen, den entsprechenden Downloader (zumindestens einen) ausfindig zu machen.
seeker hat daraufhin das Tool noch einmal angepasst.


Es sollte ab sofort nur noch die neue Version verwendet werden.
Dies gilt natürlich auch für alle, die mit der bisherigen Version kein Glück hatten.

vielen vielen dank nochmals für das tool :D hat bei meinem kolegen wunderbar geklappt er hat win me ^^ das ding drauf getan neugestartet, neugestartet, ins internet, neugestartet... usw und ist immer noch weg :daumenhoc
bei dennen wos nicht geklappt hat noch viel glück beim :snyper: vernichten :kloppen:

Mfg Spyro

Hallo Leute,

habe die neue Version bei WinXP ausprobiert und funktioniert bei mir!

Vielen Dank an alle!!!!!!

Hallo Lutz,

super Tool hat bei mir mit XP SP2 reibungslos funktioniert.

Danke

Gruß Udo

Hallo,
bin über google auf diese Seite aufmerksam geworden.
Hatte das selbe Problem und habe eine Woche mit Hijackthis, Killbox etc. rumgebastelt. Leider ohne Erfolg.
Konnte die se.dll Datei zwar aus dem Ordner Temp dauerhaft löschen, aber der Browser besuchte trotzalledem immer wieder allemöglichen Schmuddelseiten.

Einmal Euer Programm drüberlaufen lassen, den Rechner neu gestartet und keine Probleme mehr.
Mein Betriebssystem ist Win 2000.

Herzlichen Dank für die Hilfe.

Gruß Frank

Hi!
Hab auch dieses große Problem mit dem Trojaner gehabt,
auch eine sehr gute Freundin..
Hab schon vieles Versucht, aber dieses Prog hat den Trojaner sofort gekillt ^^.
Vielen vielen Dank an den Schreiber dieses Programms, tolle arbeit!!!

seeker leistet, so wie ich das sehe, eine hervorragende Arbeit. :daumenhoc

An ALLE Infizierten:
Nach der erfolgreichen Entfernung des Browser Hijackers ist es wichtig, dass IHR auch die Ursachen an eurem System und an Euch selbst beseitigt, denn sonst steht einer Neuinfizierung nichts im Wege.

Lesenswerte Lektüre:
http://www.trojaner-board.de/showthread.php?t=13150
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

Die Beta 5 hatte keinen Erfolg unter XP.

Immer wenn ich eine Seite öffne, die der IE nicht auflösen kann kommt die Serach for und macht sich breit...

Was ich vorher getan habe...

IE Temp files löschen
IE Add-Ons ausschalten bzw. löschen, nur java und flash ist an.
cookies löschen
mit hijack this alles fixen
beta5 remover drüber laufen lassen
neu starten

z.b. nach www.qwert.com surfen und der search.for ist wieder da ?! :koch:

tja... :headbang:


ich vergass...ein dickes lob schonmal and die hier unermüdlich "seekende" community :heilig:

Neuer Ansatz : se.dll auf WinXP
 

So,

da hab ich festgestellt, das mein IE unter

extras/internetoptionen/erweitert/beim suchen...


die option : zur wahrscheinlichsten seite wechseln

aktiviert hatte. diese führt immer zu einer search for seite.

es muss also irgendwo einen key geben, der dahin verweist ?!


gruss


pure_y2k

Moin pure_y2k,

eine gleichlautende Meldung hatte ich gestern/vorgerstern schon einmal per Mail...
Nur für mich noch einmal zum Verständnis. Diese Umleitung tritt 'nur' noch dann auf, wenn eine Seite nicht gefunden wird?

Kannst Du evtl. mal selbst in der Registry suchen, ob Du noch einen Verweis auf 'search.for' findest?

Schau mal bitte nach, was bei Dir in diesem Key in der Registry eingetragen ist.


Nachtrag:
Es kann natürlich auch gut sein, dass Du noch einen weiteren Hijacker im System hast! Poste doch mal bitte ein aktuelles HijackThis-Log und ein Log von Startdreck. Aber wg. der Übersichtlichkeit bitte in einem neuen Thread. Danke!

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl

"http://www.google.com/keyword/%s"


gruss



pure_y2k

:mad:

search.for ist wieder da


aus heiterem himmel ?!



gruss



pure_y2k

Das sieht sauber aus...

Kann es sich um eine erneute Infektion handeln? Bist Du auf 'dubiosen' Seiten gewesen, bzw. dort aufgrund bspw. einer Google-Suche hingeleitet worden?
U.U. kann so ein Link auch in einer Werbe-Mail (gerne Casino, Sex,...) gesteckt haben.

Was passiert, wenn Du das Tool noch einmal ausführst?

Hier ein Bericht:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {A0A855D3-A4F5-456C-9638-2EB95E6F4F8A} - C:\WINDOWS\System32\obkp.dll (file missing)
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {C754C223-E3F8-4BBA-86D8-C3BC8304230F} - C:\WINDOWS\System32\obkp.dll
O18 - Filter: text/plain - {C754C223-E3F8-4BBA-86D8-C3BC8304230F} - C:\WINDOWS\System32\obkp.dll
:mad:

AdAware
CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : "HOMEOldSP"
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : HOMEOldSP

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : "sp"
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\run
Value : sp

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/plain

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/plain
Value : CLSID

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/html

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : protocols\filter\text/html
Value : CLSID

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment : CWS.About:Blank
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\uninstall\searchassistant uninstall

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\microsoft\internet explorer\search
Value : SearchAssistant

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Custom Search URL

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\main
Value : Use Search Asst

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\classes\protocols\filter\text/html
Value : CLSID

_______________________________________________________


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{C754C223-E3f8-4BBA-86D8-C3BC8304230F}" 24.02.2005 14:11:17

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C754C223-E3F8-4BBA-86D8-C3BC8304230F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C754C223-E3F8-4BBA-86D8-C3BC8304230F}\InProcServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html]
"CLSID"="{C754C223-E3F8-4BBA-86D8-C3BC8304230F}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain]
"CLSID"="{C754C223-E3F8-4BBA-86D8-C3BC8304230F}"



ESCAN:
Sun Feb 20 12:02:48 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.VIR

Sun Feb 20 12:02:48 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.001

regsvr32 /u c:\system32\obkp.dll
wenn ich das reinkopiere zeigt er was an von datei nicht gefunden und die anderen dateien, die ich löschen soll, findet er auch nicht



AboutBuster
-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 23

ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 23

ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset... Done!

:mad:
C:\Dokumente und Einstellungen\JULIAS~1\Lokale Einstellungen\Temp\se.dll
In meinem Benutzerkonto finde ich sie, kann sie aber nicht löschen und im abgesicherten Modus ist sie nicht sichtbar.
________________________

StartDreck (build 2.1.7 public stable) - 2005-03-06 @ 14:07:13 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Julia Steinbusch at WILLOW

»Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*MsnMsgr="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*nwiz=nwiz.exe /install
*CPLBTS88=C:\PROGRA~1\EzButton\CPLBTS88.EXE
*CeEKEY=C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
*Apoint=C:\Programme\Apoint2K\Apoint.exe
*TPNF=C:\Programme\TOSHIBA\TouchPad\TPTray.exe
*CeEPOWER=C:\Programme\TOSHIBA\Power Management\CePMTray.exe
*HPDJ Taskbar Utility=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
*ezShieldProtector for Px=C:\WINDOWS\System32\ezSP_Px.exe
*Drag'n Drop CD=C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
*IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
*MSPY2002=C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
*PHIME2002ASync=C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
*PHIME2002A=C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
*Share-to-Web Namespace Daemon=C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
*QuickTime Task="C:\Programme\QuickTime\qttask.exe" -atboottime
*sp=rundll32 C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll,DllInstall
*NvCplDaemon=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific


In der Dosbox kopiere bitte das
rundll32 C:\Dokumente und Einstellungen\Julia Steinbusch\Lokale Einstellungen\Temp\se.dll,DllUnregisterServer

Folgende Meldung kommt:
Fehler beim Laden von C:\Dokumente
Das angegebene Modul wurde nicht gefunden

:mad:


* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found Smile"
________________________________________________

1.388 items found: 1.388 files, 0 directories.
Total of file sizes: 256.641.548 bytes 244,75 M

Administrator Account = True

--------------------End log---------------------


:mad:

"Silent Runners.vbs", revision 32, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"CPLBTS88" = "C:\PROGRA~1\EzButton\CPLBTS88.EXE" ["Dritek System Inc."]
"CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"TPNF" = "C:\Programme\TOSHIBA\TouchPad\TPTray.exe" ["COMPAL ELECTRONIC INC."]
"CeEPOWER" = "C:\Programme\TOSHIBA\Power Management\CePMTray.exe" ["COMPAL ELECTRONIC INC."]
"Default" = (no data)
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe" ["HP"]
"ezShieldProtector for Px" = "C:\WINDOWS\System32\ezSP_Px.exe" ["Easy Systems Japan Ltd."]
"Drag'n Drop CD" = "C:\Programme\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp" [empty string]
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"MSPY2002" = "C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]
"PHIME2002ASync" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"sp" = "rundll32 C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll,DllInstall" [MS]
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{8FF43EAA-2BB1-4A53-8E18-D9221E56E593}" = "CePMTab Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\CePMTab.dll" ["Compal"]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/html\CLSID = "{C754C223-E3F8-4BBA-86D8-C3BC8304230F}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\obkp.dll" [file not found]
INFECTION WARNING! text/plain\CLSID = "{C754C223-E3F8-4BBA-86D8-C3BC8304230F}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\obkp.dll" [file not found]

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
Fax, Fax, "C:\WINDOWS\system32\fxssvc.exe" [MS]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06

This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.

:mad:

Onlinescann mit Panda
Incident Status Location

Spyware:Spyware/Cydoor No disinfected Windows Registry
Adware:Adware/MyWay No disinfected C:\Programme\MyWay
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys
Spyware:Spyware/Altnet No disinfected C:\WINDOWS\Temp\Adware
Adware:Adware/MyCustomIE No disinfected Windows Registry

:mad:

Stand;

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\JULIAS~1\LOKALE~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {C754C223-E3F8-4BBA-86D8-C3BC8304230F} - (no file)
O18 - Filter: text/plain - {C754C223-E3F8-4BBA-86D8-C3BC8304230F} - (no file)

:mad:

SpSeHjfix

Die SpSeHjfix Datei kann ich nicht anzeigen, sie ist bschädigt. Aber es wurde nichts gefunden

:mad:

Der Cleaner funktioniert auch nur, wenn die entsprechenden Dateien und Eintraeg vorhanden sind. Sprich der Cleaner muss bei so einer "Infektion" als erstes gestartet werden, bevor man irgendwelche anderen Programme etwas loeschen oder man selber etwas aendert.

Unter Winxp/2000 scheint es diese Datei, die bei Win9x/me, im Startdrecklog auftaucht nicht zu geben.

ich hab mich mal im Net umgetan:

RunServicesOnce
**cb=rundll32 C:\WINDOWS\WAZD.BMP,DllGetClassObject

RunServicesOnce
**qmmb=rundll32 C:\WINDOWS\RAYAEO.BMP,DllGetClassObject

RunServicesOnce
**p=rundll32 C:\WINDOWS\BUBBLSS.BMP,DllGetClassObject

»RunServicesOnce
**jxg=rundll32 D:\WINDOWS\LUINSTAYL.LOG,DllGetClassObject

________________________________________________________

1. Click on Start, then Run and type msinfo32 and press the OK button.
2. Expand the Software Environment section.
3. Expand the System Hooks Section.
4. Look for the which may be listed As:

-Hook type: Window Procedure
-Hooked by: XXXXX.dll
-Application: RUNDLL32.EXE
-Dll path: C:\WINDOWS\SYSTEM\XXXXX.dll
-Application path: C:\WINDOWS\RUNDLL32.EXE

Where XXXXX..dll is the file name.

Here is the information you requested in STEP 1:
Hook type: Windows Procedure
Hooked by: bubblss.bmp
Application: RUNDLL32.EXE
DLL path: C:\WINDOWS\bubblss.bmp
Application path: C:\WINDOWS\RUNDLL32.EXE

»RunServicesOnce
**p=rundll32 C:\WINDOWS\BUBBLSS.BMP,DllGetClassObject

http://www.thetechguide.com/forum/in...howtopic=14183

Ja, der Dateiname aendert sich immer. Es ist immer einem Dateinamen im Verzeichniss aehnlich. Der zweitletzte Buchstabe im Dateinamen ist anders.

Also wird es hier:

C:\WINDOWS\bubblss.bmp eine Datei im selben Verzeichniss geben, die C:\WINDOWS\bubbles.bmp heisst

und hier D:\WINDOWS\LUINSTAYL.LOG eine Datei mit Namen
D:\WINDOWS\LUINSTALL.LOG.

Das hilft einem zwar nichts, ist aber interessant. :)

Der Cleaner in Version Beta6 sollte jetzt auch bei "Vorreinigung" besser funktionieren. Ich denke Lutz wird die Version nachher noch auf seinem Server aktualisieren.

Ja, wird er... :)

Link zur Beta6 entfernt, da weiter unten die aktuelle Beta7 verlinkt ist...
(Bitte nur noch diese Version verwenden. Die alte Version wird gleich auf dem Server verschwinden. Wer an anderer Stelle einen Deep-Link gemacht hat, hat dann zwar Pech, aber ich werde immer nur die jeweils aktuellste Version vorhalten!)

Wie raman schon sagte, funktioniert der Cleaner jetzt auch, wenn manuell schon die eine oder andere Datei manuell entfernt wurde, außerdem werden jetzt auch die about.blank-Einträge entfernt.

Gibt es bei mir noch Hoffnung?


Ich habe momentan das selbe Problem und habe mal diese Logfile auf meiner Hompage abgelegt. Ist sicher eine Herrausforderung.
Ich würde ja auch einfach die Festplatte formatieren und dann wäre es wohl erledigt.Aber ich habe einfach zu viele Daten für die ich ewig brauchen würde,die wieder neu einzugeben.Deshalb würde ich es gern vermeiden.
Andererseits habe ich auch keine Ahnung wie ich das Problem lösen soll.Um so mehr ich hier lese umso unüberwindbarer scheint mir alles zu sein.
Hier mal die Log Dateien.Ist aber ne Menge :crazy:

www.hobbyfliegerei.de/MWAV.LOG

Hmm... ist aber komisch.wenn man es anklickt.ladet es sich runter.
Keine Ahnung

Jetzt natuerlich auch auf Trojaner-Info. Vielen Dank an alle Leute, die mal wieder an diesem hervorragenden Tool mitgewirkt haben.

Auch in der alten Version konnten sich die User nicht taeuschen, denn es waren immerhin nur ueber unsere Seite 187.595 Downloads.
Sollte also so auf Platz drei oder vier unserer "All Time Download - Hits" rangieren.


Gruss Eisi ;-)

moin moin,

ich habe am montag den spy virus se.dell...... eingefangen, nach vielen suchen und vergeblichen loeschen bin ich im internet auf die seite hier gestossen und habe mich erstmal totgelesen........ :heilig: , mit dem programm hijackthis konnte ich alles fixen :kloppen: und mit regcleaner :sword2: alles bereinigen. :huepp:
natuerlich hab ich den ie direkt aufs alte eisen gelegt (mit hijackthis) und habe mir den firefox geladen :party:, konnte einer nach dem hier neuen programm den ie wieder nutzen???

Danke und Gruss

Hier ein Bericht vom neuen Tool: SPSeHjFix (wobei dazu gesagt werden muss, dass die se.dll nur ein Virus von vielen ist.....darauf moechte ich hier nicht eingehen...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\dzdcp.dll/sp.html#24098
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {426F7571-0EFF-31B0-5A55-AB0647B91F4F} - C:\WINDOWS\d3jt.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll,DllInstall

SPSeHjFix.log:

10.03.2005 10:07:40 SPSeHjFix started v1.06
10.03.2005 10:07:40 OS: 7
10.03.2005 10:07:40 Bad-Dll(IEP): faukw.dll
10.03.2005 10:07:40 UBF: 4
10.03.2005 10:07:40 UBB: 0
10.03.2005 10:07:40 UBR: 23
10.03.2005 10:07:40 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\faukw.dll/sp.html#24098
10.03.2005 10:07:40 No Files to delete. End without Reboot
10.03.2005 10:08:11 SPSeHjFix started v1.06
10.03.2005 10:08:11 OS: 7
10.03.2005 10:08:11 Bad-Dll(IEP): faukw.dll
10.03.2005 10:08:11 UBF: 4
10.03.2005 10:08:11 UBB: 0
10.03.2005 10:08:11 UBR: 23
10.03.2005 10:08:11 Bad IE-pages found:
10.03.2005 10:08:11 No Files to delete. End without Reboot
10.03.2005 10:08:13 SPSeHjFix started v1.06
10.03.2005 10:08:13 OS: 7
10.03.2005 10:08:13 Bad-Dll(IEP): faukw.dll
10.03.2005 10:08:13 UBF: 4
10.03.2005 10:08:13 UBB: 0
10.03.2005 10:08:13 UBR: 23
10.03.2005 10:08:13 Bad IE-pages found:
10.03.2005 10:08:13 No Files to delete. End without Reboot
10.03.2005 10:08:13 SPSeHjFix started v1.06
10.03.2005 10:08:13 OS: 7
10.03.2005 10:08:13 Bad-Dll(IEP): faukw.dll
10.03.2005 10:08:13 UBF: 4
10.03.2005 10:08:13 UBB: 0
10.03.2005 10:08:13 UBR: 23
10.03.2005 10:08:13 Bad IE-pages found:
10.03.2005 10:08:13 No Files to delete. End without Reboot
10.03.2005 10:10:29 SPSeHjFix started v1.06
10.03.2005 10:10:29 OS: 7
10.03.2005 10:10:29 Bad-Dll(IEP): faukw.dll
10.03.2005 10:10:29 UBF: 4
10.03.2005 10:10:29 UBB: 0
10.03.2005 10:10:29 UBR: 23
10.03.2005 10:10:29 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://C:\WINDOWS\faukw.dll/sp.html#24098
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\faukw.dll/sp.html#24098
10.03.2005 10:10:29 No Files to delete. End without Reboot
10.03.2005 10:10:29 SPSeHjFix started v1.06
10.03.2005 10:10:29 OS: 7
10.03.2005 10:10:29 Bad-Dll(IEP): faukw.dll
10.03.2005 10:10:29 UBF: 4
10.03.2005 10:10:29 UBB: 0
10.03.2005 10:10:29 UBR: 23
10.03.2005 10:10:29 Bad IE-pages found:
10.03.2005 10:10:29 No Files to delete. End without Reboot
10.03.2005 10:10:30 SPSeHjFix started v1.06
10.03.2005 10:10:30 OS: 7
10.03.2005 10:10:30 Bad-Dll(IEP): faukw.dll
10.03.2005 10:10:30 UBF: 4
10.03.2005 10:10:30 UBB: 0
10.03.2005 10:10:30 UBR: 23
10.03.2005 10:10:30 Bad IE-pages found:
10.03.2005 10:10:30 No Files to delete. End without Reboot
10.03.2005 10:10:30 SPSeHjFix started v1.06
10.03.2005 10:10:30 OS: 7
10.03.2005 10:10:30 Bad-Dll(IEP): faukw.dll
10.03.2005 10:10:30 UBF: 4
10.03.2005 10:10:30 UBB: 0
10.03.2005 10:10:30 UBR: 23
10.03.2005 10:10:30 Bad IE-pages found:
10.03.2005 10:10:30 No Files to delete. End without Reboot
10.03.2005 10:11:21 SPSeHjFix started v1.06
10.03.2005 10:11:21 OS: 7
10.03.2005 10:11:21 Bad-Dll(IEP): (not found)
10.03.2005 10:11:21 BHO-DLL: (not found)
10.03.2005 10:11:21 UBF: 4
10.03.2005 10:11:21 UBB: 0
10.03.2005 10:11:21 UBR: 23
10.03.2005 10:11:21 Bad IE-pages found:
10.03.2005 10:11:21 Not infected->END


C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll,DllInstall
taucht im neuen Log nicht mehr auf :)

http://www.informationsarchiv.net/fo...979.html#86979

Ich habe es ausprobiert nach dem ich 2 Tagealles probiert habe.Der PC hat neu gestartet und jetzt scheint es in Ordung zu sein.
Wie kann ich jetzt nachprüfen ob es wieder sicher ist oder nicht.
Kann die se.dll jetzt wieder auftauchen?
Hier mal dieser Bericht.


10.03.2005 14:31:03 SPSeHjFix started v1.06
10.03.2005 14:31:03 OS: 7
10.03.2005 14:31:03 Bad-Dll(IEP): se.dll
10.03.2005 14:31:03 Searchassistant Unintaller found
10.03.2005 14:31:03 File added to delete: C:\WINDOWS\System32\bjil.dll
10.03.2005 14:31:03 Searchassistant Unintaller - Keys Deleted
10.03.2005 14:31:03 UBF: 6
10.03.2005 14:31:03 UBB: 3
10.03.2005 14:31:03 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
10.03.2005 14:31:03 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (deleted)
10.03.2005 14:31:03 FilterKey: HKEY_CLASSES_ROOT\CLSID\{1AC75707-7433-4C71-B8DC-A377F35A9AC9} (deleted)
10.03.2005 14:31:03 File added to delete: C:\WINDOWS\System32\bjil.dll
10.03.2005 14:31:03 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
10.03.2005 14:31:03 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (deleted)
10.03.2005 14:31:03 FilterKey: HKEY_CLASSES_ROOT\CLSID\{1AC75707-7433-4C71-B8DC-A377F35A9AC9} (deleted)
10.03.2005 14:31:03 UBR: 16
10.03.2005 14:31:03 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\haci\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\haci\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
10.03.2005 14:31:03 Reboot
10.03.2005 14:58:44 SPSeHjFix started v1.06
10.03.2005 14:58:44 OS: 7
10.03.2005 14:58:44 Bad-Dll(IEP): se.dll
10.03.2005 14:58:44 Searchassistant Unintaller found
10.03.2005 14:58:44 File added to delete: C:\WINDOWS\System32\bjil.dll
10.03.2005 14:58:44 Searchassistant Unintaller - Keys Deleted
10.03.2005 14:58:44 UBF: 6
10.03.2005 14:58:44 UBB: 3
10.03.2005 14:58:45 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
10.03.2005 14:58:45 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (deleted)
10.03.2005 14:58:45 FilterKey: HKEY_CLASSES_ROOT\CLSID\{110E71EC-ED83-4934-BA34-B1B72009F04D} (deleted)
10.03.2005 14:58:45 File added to delete: C:\WINDOWS\System32\bjil.dll
10.03.2005 14:58:45 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
10.03.2005 14:58:45 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (deleted)
10.03.2005 14:58:45 FilterKey: HKEY_CLASSES_ROOT\CLSID\{110E71EC-ED83-4934-BA34-B1B72009F04D} (deleted)
10.03.2005 14:58:45 UBR: 16
10.03.2005 14:58:45 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\haci\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\haci\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
10.03.2005 14:58:45 Reboot

Also erstmal passen die geposteten Schlüssel nicht zur LOG-Ausgabe,
und das scheint auch ne andere Variante zu sein.

Ansonsten is im Tool nochn Fehler wenn die IE-Pages DLL von der Run-Dll abweicht, hab ich inzwischen gefixt (beta7)

Gruß

Hallo, nach einem Monat der Verzweiflung habe ich SE.Dll endlich vom Rechner. Dafür meinen besten Dank an Lutz, Seeker & all die anderen Supermänner & Frauen in diesem Board. GEHULDIGT SEI EUCH !!!
Der Erfolg kam mit SpSeHjfix Beta 5.Seit 2 Tagen versuche ich alles mögliche--- aber nichts böses passiert mehr. Alles sauber!!
Nun bleibt mir aber immer noch ein Problem: Ich habe nach wie vor keine Ahnung wo ich mir das Teil eingefangen habe. Mein Betriebssystem ist Win98. Mein Web Browser ist FIREFOX. Und die dummen Pop- Up`s und die neue Se.Dll habe ich mir täglich beim Mail holen mit Outlook 2000 wieder in den Rechner gezogen.

Grüße & Danke...
Dr.Mabuse

Hallo Leute!
Ich hab mir den Virus auch gefangen und war schon ganz verzweifelt. Vor einigen Monaten musste ich nämlich meine komplette Festplatte löschen,weil gar nichts mehr ging.

Ich will nicht zu optimistisch sein,aber ich hab das tool ausprobiert und ich kriege keine komischen Meldungen mehr.
Vielen Dank nochmal...es scheint wirklihc zu funktionieren.
Ich arbeite noch mit win98 :party:

Ich geb einen aus!!

MIt liebem Gruss aus dem Sauerland
Marc

Ab sofort steht die Vesion BETA7 des Cleaners zum Download zur Verfügung!

Hallo,



die Beta1 von Microsofts Antispyware Lösung findet´s zumindest
schonmal und entfernt die standart einträge.


Fällt mir gerade auf.



gruss



pure_y2k

IHR SEID DER WAHNSINN!!!
Hab mir jetzt die Beta 7 versien runtergeladen und siehe da, kein Problem mehr. :huepp:
Muss euch echt ein großes Lob für eure Arbeit aussprechen! :party:

Thx

Martin


P.S. kleiner Nachtrag noch: unter Systemsteuerung/Software steht immer noch der Eintrag Search Assistant Uninstall

Wenn ich auf Ändern/Entfernen drücke tut sich gar nix.
Der Eintrag macht sich allerdings (noch?) nicht bemerkbar.

Zur Sicherheit hier aber nochmal das Logfile von HijackThis, vielleicht hilft es ja, dieses Problem auch noch zu beheben:

Logfile of HijackThis v1.99.1
Scan saved at 11:41:41, on 15.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\LEXMAR~2\ACMonitor_X83.exe
C:\PROGRA~1\LEXMAR~2\AcBtnMgr_X83.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.390\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {10F27C4D-C752-40B9-85A4-C3D7089B9873} - C:\WINDOWS\System32\momp.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~2\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~2\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://bin.wordsx.cc/LEG3U6InSTTKdLO...::/on-line.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28202c0d...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101594236015
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.power-url.de/InstallationsAssistent.ocx
O18 - Filter: text/html - {5A230B9F-1D5F-425A-98E2-40C22038D83A} - C:\WINDOWS\System32\momp.dll
O18 - Filter: text/plain - {5A230B9F-1D5F-425A-98E2-40C22038D83A} - C:\WINDOWS\System32\momp.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Hi divtommy
ist das Logfile vor oder nach dem Einsatz des Cleaners erstellt worden?
Normalerweise sollten einige Einträge nämlich nach Einsatz des Cleaners nicht mehr im Log stehen.

Der Cleaner erstellt ebenfalls eine Log-Datei. Kannst Du dieses bitte einmal hier posten?!?

Ab sofort steht die Vesion BETA8 des Cleaners zum Download zur Verfügung!
Bitte ab sofort nur noch diese Version verwenden... ;)

Super großen dank für eure Mühen und Arbeit! das Tool ist genail! es klappt und wech is der Trojaner!
Viele Grüße

Und noch einmal ein Versions-Sprung.
Diese neue Version ist vor allem für Anwender von Win9x-Systemen interessant!

HY,
Sorry,aber ich wollte mich erst gernicht melden,weil ich auch den se.dll habe.Denn ich konnte mir hier im Forum gute tips und Dateien downloaden die mir sehr geholfen haben.
Aber jetzt bleibt mir nix anderes übrig als mich zu melden.
Mein Problem:Ich entfehne Tag täglich den se.dll von meinem Rechner,ich kann schon alles auswendig.
Was das mekwürdige dabei ist, ich entfehrne den se.dll jeden Abend.dan ist der Rechner sauber und ich kann damit in Internet arbeiten.Am nächsten morgen macht meine Frau ihre Bankgeschäfte ,alle in bester Ordnung.Ich gehe so gegen 19,20 Uhr ins Internet und er ist gleich wieder da.
ich bin auf den gleichen seiten wie meine Frau ,wenn ich mich einwähle habe ich meine eingestellte Startseite ,dann komm auf englich spyware Fenster und ich weiß ich habe ihn wieder,aber wieso nicht morgens?
Ist da ein Zeit limit eingestellt.Am Wochenende habe ich zwei tage nach der Reinigung den Computer eingeschaltet und er war auch gleich wieder da.Was auch komisch ist,wenn ich mich ins internet einwähle mit meiner Startseite läuft der Rechner konstant ohne was zu öffnen,außer ich gehe raus und will erneut rein hab ich den startseiten kramm wieder und habe ständig irgend welche anderen Fenster die sich öffnen!?:

Hallo,
nochmal ich.
Las ich eben meinen Beitrag eingestzt habe ,kamm wieder die Spyware warnung auf englich.Wenn ich irgendwo in dem Fenster anklicke,(natürlich nicht auf den Download Button) Bekomme ich folgende Internet Adresse:
http://s2.kav.cc/sss?pin=1&qq=spyware+removal&
Vielleicht kann damit jemand was anfangen.
Gruß
Flensi

Entweder -> Siehe mein Post in diesem Thread ->
Oder -> Dein System wurde eben nicht erfolgreich bereinigt, wobei ersteres wahrscheinlicher ist.

Warum eröffnest du keinen neuen Thread und schilderst dein Problem nochmals ausführlich?
Warum ein Doppelposting?
Verwende einfach das nächste Mal den 'Editieren Button' um deinen Beitrag zu ergänzen.

Hi,
es scheint zumindest in einigen Fällen so zu sein, dass sich eine 'Kopie' der se.dll in mehrfacher Ausführung in den temporären Ordnern ablegt und von dort (evtl. tatsächlich zeitgesteuert) gestartet wird.

Bitte leere einmal alle Temp-Ordner, am besten mit Clearprog.
Hilft dies auch nicht, mache bitte mal ein Scan mit eScan (siehe Signatur) und poste, was gefunden wurde.

Interessant wäre auch mal zu wissen, welches Betriebssystem Du hast und auf welchem Patch-Stand es sich befindet...

der link funzt net :heulen:
http://www.derbilk.de/SpSeHjfix_Beta9.zip

Gerade eben hat er bei mir noch funktioniert.
Aber ab sofort gibt es eine neue Version, welche das BETA-Stadium verlassen hat.

SpSeHjfix110.zip

Lutz, wird SpSeHjfix die "super-hidden DLL" Datei finden und löschen, wenn es eine gibt ?

@Daisuke,

ich bin mir jetzt nicht ganz sicher, was Du mit 'die "super-hidden DLL" Datei' meinst, aber bezüglich dieser Hijacking-Variante ist der Cleaner tatsächlich in der Lage, die für Installation des Hijackers verantwortliche Datei zu finden und zu löschen.

Es handelt sich hierbei aber nicht zwingend um eine DLL. Oder besser gesagt, nicht zwingend um eine Datei mit der Erweiterung *.dll.

Ich meine din DLL Datei din via AppInit_DLLs registry value startet (XP/2000). Manchmal ist eine solche Datei dabei.

Ich gebe die Frage mal an den Programmierer weiter. Ich denke, Seeker wird das weitaus besser beantworten können, als ich... ;)

frohe ostern !

lüftet doch mal das geheimnis des ei´s oder besser, das der se.dll .


wie kommt man da dran, woran erkennt manns ?!


gruss und vielen danke schonmal für den support !


pure_y2k

Hallo erstmal.
Als ich habe auch diesen lästigen Trojaner (startpage.\\dll.se usw) gehabt und habe echt seit Tagen versucht ihn zu löschen...habe mir sämtliche Foren durchgelesen.Doch da ich kein Computer Experte bin,haben mir die ganzen Erklärungen nicht weiter geholfen...habe trotzdem en paar versucht(hijack this usw.)doch er konnte es auch nicht löschen auf jeden fall kam er immer wieder.
Erst als ich eure Verion SpSeHifix110 downgeloadet habe und sie benutzt habe.Ist er WEG! Nach dem er neu gestartet hat war er weg.(zumindestens bekomme ich seit dem keine Warnmeldungen mehr von Antivir und er findet auch nichts mehr.Und meine browser laufen wieder richtig.)Und das ganze dauerte nicht mal ne Minute!
Also Echt..Ihr habt ein RIESEN LOB verdient.Wenn ich dieses mini programm schon früher gefunden hätte hätte ich mir ein paar tage Arbeit ersparen können.
Also ECHT DANKE!!!!!!!!! :daumenhoc
Gruß!
Marc

Hallo,

um Dir weitere Arbeit zu ersparen solltest Du zu Surfen eine sicheren Browser nutzen. Es nützt nichts das Übel zu beseitigen, wenn der Grund noch da ist.

dartus

Ja stimmt.
Doch habe schon daran gedacht...ich benutze jetzt nur noch Mozilla!
Aber trotzdem Danke.
Ach noch ne Frage wie bekommt man das about:Blank beim explorer weg?
Marc

@blade96
vergebe eine neue startseite

chaosman

Danke für die Hilfe,aber das habe ich schon versucht.
Trotzdem kommt immer wieder about:Blank als Startseite.
Aber kann es sein dass es an dem Browser liegt(Crazy Browser)
Weil wenn ich den Normaln Internet Explorer starte oder mozilla dann öffnet sich die Strtseite normal wenn ich auf den browser klicke.Nur bei Crazy Browser kommt about:Blank.
Also ich muss auch noch sagen dass es erst seit dem ich den Trojaner hatte passiert ist.Doch den bin ich jetzt los.
Aber das about:Blank nicht.
Könnte es sein das es echt an Crazy Browser liegt?
Marc

Erstelle einen HijackthisLog in folgendem Unterforum dieses Boards.

Hallo blade96,

hängst an diesem Browser? Das ist nur ein aufgesetzter IExplorer mit allen Schwächen. Ich würde ihn nicht mehr nutzen, sondern deinstallieren.

dartus

Ich glaub das mit dem deinstalieren ist das beste.
Naja ob ich an ihm hänge...naj er ist halt der einzige browser den ich habe bei dem ich mehrer Fenster gleichzeitig geöffnet haben kann.Bei mozilla und den anderen get immer nur ein Fenster,d.h. entwerder kommt die gewünschte seite und die vorherige wird gelöscht oder es öffnen sich 10 fenster immer wieder neue.und bei crazy browser kamm man mehrer geöffnet haben.
Wenn ihr einen sichereren Browser kennt bei dem man mehrer Fenster öffnen kann.Bin ich Ohr.Also das wäre auch cool.
Also meint ihr ich soll versuchen den Crazy browser wieder in ordnung zu bringen oder einen besseren suchen?

Naja schicke euch trotzdem mein logfil von HijackThis:
Arpopo,das 2.R1: mit dem about:Blank habe ich schon gefixt doch es erscheint dennoch wieder.
Logfile of HijackThis v1.99.1
Scan saved at 00:35:17, on 29.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_02\bin\javaw.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\PROGRA~1\MOZILL~1.6\Mozilla.exe
C:\Dokumente und Einstellungen\Marc.H\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Marc.H\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.6\Mozilla.exe" -turbo
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://home.dworx.org/ax/loud.chm::/bridge-c11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...r/imloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ab sofort gibt es die Version 1.11 des Cleaners... :)
Da es zwischenzeitlich ein paar Probleme bei Win9x-Betriebssystemen gab, ist über obigen Link auch die Version 1.09 zu finden, welche imho unter Win9x keine Probleme bereitete....

bin meine se.dll und deren kumpels los
 

hallo,


es hat mir ja keine ruhe gelassen und nun habe ich event. des rätsels lösung gefunden. ich teile mal meine gedanken mit euch.

se.dll löschen, die bruder dll, die die immmer einen anderen namen hat war ja bereits bekannt. aber se.dll kam immer wieder. also musste es einen versteckten loader geben. diese dll hab ich wohl gefunden und ausgemerzt. es gibt ein tool namens dllcompare.exe , dieses hab ich im system32 verzeichnis mal nach dll scannen lassen. raus kam das dort einen datei existiert mit dem namen sqlnamo.dll . diese datei ist hidden, system und was weiss ich nicht noch alles. mit der bartpe cd gebootet und umbenannt weil löschen oder verschieben geht nicht, geschweigedenn seitens von xp boardmittelns die datei überhaupt zu sehen ! und siehe da, se.dll und seine freunde sind bis jetzt weg ?! einen teil der infos hab ich muss ich fairer weise dazu sagen noch aus nem anderen trojaner-forum.

hoffe ich konnte ein paar neue denkanstösse geben.



gruss



pure_y2k

Hi TopLoc,

Poste bitte einmal die Logdatei des Cleaners...

Sorry für die späte Antwort...

also hier die Log:

11.03.2005 02:58:13 SPSeHjFix started v1.06
11.03.2005 02:58:13 OS: 7
11.03.2005 02:58:13 Bad-Dll(IEP): se.dll
11.03.2005 02:58:13 Searchassistant Unintaller found
11.03.2005 02:58:13 File added to delete: C:\WINDOWS\System32\nfbkaga.dll
11.03.2005 02:58:13 Searchassistant Unintaller - Keys Deleted
11.03.2005 02:58:13 UBF: 9
11.03.2005 02:58:13 UBB: 3
11.03.2005 02:58:13 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
11.03.2005 02:58:13 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (deleted)
11.03.2005 02:58:13 FilterKey: HKEY_CLASSES_ROOT\CLSID\{08AFAAC7-729F-4379-B72A-30076FE31D88} (deleted)
11.03.2005 02:58:14 File added to delete: C:\WINDOWS\System32\nfbkaga.dll
11.03.2005 02:58:14 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
11.03.2005 02:58:14 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (deleted)
11.03.2005 02:58:14 FilterKey: HKEY_CLASSES_ROOT\CLSID\{08AFAAC7-729F-4379-B72A-30076FE31D88} (deleted)
11.03.2005 02:58:14 UBR: 22
11.03.2005 02:58:14 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\TooYin\LOKALE~1\Temp\se.dll,DllInstall (deleted)
11.03.2005 02:58:14 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\TooYin\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\TooYin\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
11.03.2005 02:58:14 Reboot
11.03.2005 03:20:54 SPSeHjFix started v1.06
11.03.2005 03:20:54 OS: 7
11.03.2005 03:20:54 Bad-Dll(IEP): (not found)
11.03.2005 03:20:54 BHO-DLL: (not found)
11.03.2005 03:20:54 Searchassistant Unintaller found
11.03.2005 03:20:54 File added to delete: C:\WINDOWS\System32\nfbkaga.dll
11.03.2005 03:20:54 Searchassistant Unintaller - Keys Deleted
11.03.2005 03:20:54 UBF: 9
11.03.2005 03:20:54 UBB: 3
11.03.2005 03:20:54 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
11.03.2005 03:20:54 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (deleted)
11.03.2005 03:20:54 FilterKey: HKEY_CLASSES_ROOT\CLSID\{F9945BDF-5021-4B50-BFE8-941D9E77C130} (deleted)
11.03.2005 03:20:54 File added to delete: C:\WINDOWS\System32\nfbkaga.dll
11.03.2005 03:20:54 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
11.03.2005 03:20:54 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (deleted)
11.03.2005 03:20:54 FilterKey: HKEY_CLASSES_ROOT\CLSID\{F9945BDF-5021-4B50-BFE8-941D9E77C130} (deleted)
11.03.2005 03:20:54 UBR: 21
11.03.2005 03:20:54 Bad IE-pages found:
11.03.2005 03:20:54 Reboot
30.03.2005 03:52:11 SPSeHjFix started v1.06
30.03.2005 03:52:11 OS: 7
30.03.2005 03:52:11 Bad-Dll(IEP): (not found)
30.03.2005 03:52:11 BHO-DLL: (not found)
30.03.2005 03:52:11 Searchassistant Unintaller found
30.03.2005 03:52:11 File added to delete: C:\WINDOWS\System32\jjao.dll
30.03.2005 03:52:11 Searchassistant Unintaller - Keys Deleted
30.03.2005 03:52:11 UBF: 7
30.03.2005 03:52:11 UBB: 2
30.03.2005 03:52:11 UBR: 19
30.03.2005 03:52:11 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\TooYin\LOKALE~1\Temp\se.dll,DllInstall (deleted)
30.03.2005 03:52:11 File added to delete: C:\DOKUME~1\TooYin\LOKALE~1\Temp\se.dll
30.03.2005 03:52:11 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
30.03.2005 03:52:11 Reboot

Es hat dann zwar alles ne weile gefunzt, aba dann is alles wieder von vorne losgegangen :pfui:

Hallo TopLoc,

das grenzt schon fast an ein Wunder, dass Du Dir nur das wieder eingefangen hast.
Dein System bedarf unbedingt ein Update auf
SP 2.

dartus

Wenn 'ne weile' länger als ein Neustart war, tippe ich stark auf eine erneute Infektion. Davor schütz der Cleaner 'natürlich' nicht. Du solltest -wie schon dartus schrieb- Dein Windows schleunigst aktualisieren und Dich mit dem Gedanken an einen Wechsel zu einem -zumindest zur Zeit noch- wesentlich sichereren Browser (ihr seht, meine Aussage hierzu wird allmählich 'vorsichtiger'...) gewöhnen.

BTW: Die Version 1.06 des Cleaners ist auch nicht mehr aktuell. Zur Zeit ist für XP die Version 1.12 aktuell...

Dann erstmal vielen Dank für die Hilfe :)!

Das mit dem Update wird aus diversen Gründen erstmal nicht funktionieren... :heilig:

Mal schaun was ich da mach...

Auf jeden Fall vielen Dank!

Gruss

PS: was meinst du mit sicherer Browser? ich nutze nur firefox, dachte der wäre einer der sichersten...?

Oha, ich habe den Firefox übersehen... ;)
Wie hast Du diesen Hijacker den festgestellt, bzw. wie machte er sich erstmals bemerkbar, wenn Du den IE nicht benutzt?

schönen guten tag mich hats auch erwischt anbei das log von escan

kann da jemand helfen

Hi nochmal!

Der Quälgeist hatte sich schon durch den IE eingeschlichen...
hatte nur mal gaaaanz kurz IE geöffnet, da Firefox meinen Router kurzzeitig nicht finden konnte - schon kamen diese ganzen "Sicherheitswarnungen" blabla... :koch:

Hi Folks,
[Newbie] Bitte hilfe ...habe ganze tag gestern versaut und bring se.dll u.a. von einem Win98 system nicht weg! Wo is ein Lösung auser platt machen? Updates und löschung/umbenen die Datein von einem dual-boot system gescheitert, hotlines ahnungslos!
Willie :headbang:

@ willi

Erstelle bitte in diesem Unterforum einen eigenen Thread und poste in diesem einen Log von HijackThis.
Hier eine kleine Anleitung+Downloadmöglichkeit:
www.hjt.klaffke.de

RESPEKTan den macherder weiss wo das problem liegt der kann das ;)) des tools funzt SUPeR THANX nochmal
:party:

Oh man, 1 Woche lang bald durchgedreht. Erst jetzt bin ich auf die Idee gekommen, mal bei google "se.dll" einzugegeben und kam auf Euch.

Ok, geb ja zu... ich war auf -sagen wir- "seltsamen" Seiten. Aber das Tool ist einfach genial. :huepp:

Vielen Dank

hatte ich vorhin hier nicht noch was gepostet??? :confused:

edit: alles klar, habs wieder gefunden... :daumenhoc

guckst Du bitte hier -> http://www.trojaner-board.de/showthread.php?p=137644 ;)

Da imho alles wesentliche zu diesem Thema gesagt wurde und immer wieder neue Logs von HijackThis in diesem Thread geposted wurden, habe ich mich entschlossen, diesen Thread nun zu schließen.

Evtl. Fragen hierzu bitte in einem eigenen Thread stellen. Danke!