Trojaner-Board - 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - 'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen (https://www.trojaner-board.de/14512-se-dll-sp-html-laesst-offenbar-so-einfach-entfernen.html)

So, ich hoffe, du hast Alles gut bekommen, hier nun mein aktueller HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:41:47, on 27.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O2 - BHO: (no name) - {EEB00E62-88D4-11D9-BB30-003022F7CF65} - C:\WINDOWS\SYSTEM\NIJOE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O18 - Filter: text/html - {EEB00E61-88D4-11D9-BB30-0030D2255112} - C:\WINDOWS\SYSTEM\NIJOE.DLL
O18 - Filter: text/plain - {EEB00E61-88D4-11D9-BB30-0030D2255112} - C:\WINDOWS\SYSTEM\NIJOE.DLL

Die Dateien waren auch ein Treffer:

E:\virussubmitt\test\Dateien.zip Archive ZIP <ce0000.0.11>
E:\virussubmitt\test\Dateien.zip/Dateien/d3ih32.dll Packed UPX <d70000.0.10>
E:\virussubmitt\test\Dateien.zip/Dateien/d3ih32.dll Infected Trojan-Downloader.Win32.Agent.an <cd0000.0.e>
E:\virussubmitt\test\Dateien.zip/Dateien/apiff32.exe Packed UPX <d70000.0.10>
E:\virussubmitt\test\Dateien.zip/Dateien/apiff32.exe Infected Trojan-Downloader.Win32.Agent.cd <cd0000.0.e>
E:\virussubmitt\test\Dateien.zip/Dateien/ieyy.dll Packed PE-Crypt.Sqr <d70000.0.10>
E:\virussubmitt\test\Dateien.zip/Dateien/ieyy.dll Packed UPX <d70000.0.10>
E:\virussubmitt\test\Dateien.zip/Dateien/ieyy.dll Infected Trojan-Downloader.Win32.Agent.bq <cd0000.0.e>
E:\virussubmitt\test\Dateien.zip/Dateien/d3ej32.exe Infected Trojan-Downloader.Win32.Small.ajr <cd0000.0.e>
E:\virussubmitt\test\Dateien.zip/Dateien/se.dll Infected Trojan.Win32.StartPage.uz <cd0000.0.e>

Wenn Escan auch im abgesicherten Modus nicht funktioniert, bitte mal aboutbuster im abgesicherten Modus nutzen: http://www.downloads.subratam.org/AboutBuster.zip

Die se.dll auch im abgesicherten Modus loeschen, sowie auch die Verweise auf die dll im hijackthis log fixen, neu starten ins internet einwaehlen, surfen und dann ein neues Log erstellen und posten.

Edit: Das aboutbuster Log bitte auch hier posten

Ich habe dein letztes Posting nicht gesehen, sorry. Verseise auf diese Datei auch loeschen:
C:\WINDOWS\SYSTEM\NIJOE.DLL

Soll ich die Datein, die ich dir im Ordner geschickt habe, also auch alle im abgesicherten Modus löschen ? Die DAT und LOG-Dateien auch???

Sie sind zwar nicht gefaehrlich, aber sie kommen von den Downloadern. Du kannst sie auch loeschen.

Ich hab jetzt alle Dateien, die im Laufe des Abends von dir bemängelt wurden (also die NIJOE.DLL, SE.DLL, SYSTJM.XXX sowie die Datein, die ich dir gepackt geschickt habe) im abgesicherten Modus gelöscht und verdächtige Einträge mit HijackThis gefixt. Anschließend habe ich ebenfalls noch im abgesicherten Modus den AboutBuster laufen lassen, hier der Log dazu:

Scanned at: 22:33:18 on: 27.02.05

-- Scan 1 ---------------------------
about:Buster Version 4.0
Reference List : 19

ADS not scanned System(FAT)
Removed! : C:\WINDOWS\ybkzqd.dat
Removed! : C:\WINDOWS\SYSTEM\wfmit.dll
Attempted Clean Of Temp folder.
Pages Reset... Done!

Mein aktueller HijackThis-Log sieht meiner Meinung nach gar nicht so schlecht aus, aber das muß noch nichts heißen, das war vor einigen Tagen auch schon so - und dann kam über Nacht der Hijacker wieder zurück. Ich füg ihn hier trotzdem mal an:

Logfile of HijackThis v1.99.1
Scan saved at 23:17:55, on 27.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab

Jetzt ist`s aber genug für heute, ich melde mich dann morgen wieder mit den neuesten (hoffentlich positiven) Erkenntnissen.

Hi Vilstaler,

na da drück ich Dir mal alle Dauemn.
Nutze doch den Firefox zum Surfen, nimm den IExplorer nur zu Updaten und konfiguriere ihn entsprechend des Punktes nur 5. hier.

dartus

Hi Vilstaler,

jetzt warte ich aber 'gespannt' auf eine Rückmeldung von Dir... ;)
Ich hoffe, es ist nun endlich wieder alles im grünen Bereich bei Dir, bzw. bei Deinem Rechner.

Es sieht sehr sehr gut aus, dank der Hilfe von dir, raman und dem Daumendrücken von dartus scheint der Störenfried jetzt engültig beseitigt zu sein, Auslöser war wohl anscheinend wirklich diese SYSTJM.INI-Datei. Ich habe meinen PC und den IE heute schon mehrere Male gestartet, bisher stets ohne Probleme (das war in der jüngsten Vergangenheit nicht der Fall), ich hoffe, daß es in den nächsten Stunden keinen Rückfall mehr gibt, im Moment ist wie gesagt alles okay. Vielen herzlichen Dank für eure Hilfe, es ist gut zu wissen, daß man bei derartigen Problemen stets fachkundigen Rat einholen kann.

@Lutz

Zitat:

jetzt warte ich aber 'gespannt' auf eine Rückmeldung von Dir... ;)

Von mir willst du nix haben, aber ich bin so gemein ;)

Zitat:

F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE

Zitat:

Ich hoffe, es ist nun endlich wieder alles im grünen Bereich bei Dir, bzw. bei Deinem Rechner.

Ohne Cidre's Anleitung geht's nicht weiter. :)

Hallo Rene-gad,

also ich versteh nur Bahnhof, ist der Eintrag
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
vielleicht auch nicht in Ordnung.
Den CFOS-Treiber benutze ich, um mit GMX DSK ins Internet einzusteigen, brauch ich diesen Eintrag dazu nicht?
Und was bedeutet "Ohne Cidre's Anleitung geht's nicht weiter" ??? Also irgendwie hast du mich mit deinem Eintrag jetzt total verwirrt.

Hallo rene_gad,

klar, von Dir nehme ich auch immer gerne! :)

Nur verstehe ich im Moment nicht genau, was Du meinst.
Bedenke bitte, dass es sich hier um ein Win98-System handelt. Da ist ein cfos-Treiber nix ungewöhnliches...

Abend Lutz

Zitat:

Nur verstehe ich im Moment nicht genau, was Du meinst.

Ich meine: ein laufendes Programm hat im Ordner "Eigene Dateien" nichts zu suchen. Oder ist es bei Win98 anders?
Ich kenne mich mit allen Wins relativ gut aus, außer 98 und ME ;)

Hallo Vilstaler

Zitat:

also ich versteh nur Bahnhof, ist der Eintrag
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
vielleicht auch nicht in Ordnung.

Für mich ist jedes Programm, dass aus dem Ordner "Eigene Dateien" startet, verdächtig

Zitat:

Und was bedeutet "Ohne Cidre's Anleitung geht's nicht weiter"

s. dunkelgrünen Link in meiner Signatur ;)

Das ist imho eher ein 'ungewöhnlicher' Installationsort, aber für mich kein Grund zur Annahme, dass es sich um Malware handeln sollte. Standard wäre wohl C:\Programme\cfos bzw. wenn ich mich Recht entsinne installiert sich cfos sogar unter c:\cfos, wenn man den Pfad nicht ändert. Aber es wird ja niemand daran gehindert, sich nicht an diese Standards zu halten. ;)

@Vilstaler:
Mit 'Cidres Anleitung' ist die Anleitung zum Neuaufsetzen eines Systems gemeint. Rene_gad und ich haben manchmal leicht unterschiedliche Ansichten, wann ein Rechner noch 'zu retten' ist, und wann man einen sauberen Schnitt machen sollte. Aber diese unterschiedlichen Ansichten hindern mich nicht daran, in Rene_gad einen sehr angenehmen Gesprächs- und Diskussionspartner zu sehen. :daumenhoc