'se.dll/sp.html' läßt sich offenbar doch nicht so einfach entfernen
 

Hallo zusammen,

ich habe die von Lutz beschriebene Vorgehensweise im Thread "Immer wieder 'se.dll/sp.html' durchgeführt - leider nur mit kurzzeitigem Erfolg. Nachdem ich die beanstandeten Einträge im abgesicherten Modus gefixt, die beiden dll-Dateien gelöscht und der Registry Optimierer über 400 fehlerhafte Einträge gefunden hatte, dich ich auch gelöscht habe, war ich doch voller Optimismus, das Ding endlich los zu sein. Wie gesagt war diese Hoffnung aber nur von kurzer Dauer, seit heute Abend ist der Hijacker leider wieder da. Guter Rat ist also nachwievor gefragt, ich hoffe weiterhin auf neue Erkenntnisse und Ratschläge, um das Ding endgültig loszuwerden.

@Vilstaler
poste ein HJT logfile

chaosman

@Vilstaler

vermutlich hast Du "Escan" nicht zum Scannen überreden können.
Da muss irgendwas in den Tiefen des Systems sitzen.
Gib mal bei Google "online scannen" ein. Es gibt einige Möglichkeiten, das gesamte System scannen zu lassen.
Welchen Browser benutzt Du?

dartus

Hallo Vilstaler,

da es mir ähnlich ergeht, traue ich mich, mir mal meine Erfahrung weiterzugeben:

Ich habe diesen StartPage-Trojaner mit SP.DLL und SE.DLL nun schon seit fünf Wochen auf dem System.

Die SP.DLL und die SE.DLL konnte ich nach der Mehtode (eine ähnliche Methode habe ich vom BSI) löschen. Der Trojaner bleibt aber immer noch.

Schaue doch mal in Deinen "Eigenen Dateien" nach einem Ordner "backups" oder Suche mal nach solchen Ordnern. Einige dieser Ordner gehören zu regulären Programmen, wie SpyBot, Ad-Aware,usw.

Sollte einen ähnlichen Ordner in den Eigenen Dateien haben, so schau da mal rein, was da so drin ist. Meine Vermutung ist, daß dieser Ornder Backups vom Trojaner enthält.

Ich habe schon mehrmals versucht diesen Ordner zu löschen, er kommt aber immer wieder.

Gruß

AL-ADIN

Hallo Vilstaler,

natürlich kann es gut sein, dass meine Empfehlungen im genannten Thread nicht immer von dauerhaften Erfolg 'gekrönt' sind. Deswegen schrieb ich ja auch, dass jeder natürlich nachfragen kann, wenn sich mit den angegebenen Schritten das Problem nicht lösen lässt.

Poste doch bitte mal ein aktuelles Log von HijackThis.
Und sag mir/uns bitte, wie lange der Rechner 'sauber' lief und ob Du zwischendurch gebootet hattest. Theorethisch könnte es sich auch um eine neue Infektion handeln, wenn der Rechner ein paar Tage sauber lief und vor allem zwischendurch gebootet wurde, bzw. aus war...

Nochmals Hallo,

vielen Dank für die Tipps, ich werde versuchen, die Fragen so gut wie möglich zu beantworten:
@ Lutz: Der Rechner war leider nur für 24 Stunden sauber (können auch etwas weniger gewesen sein), ich habe gestern Abend die von dir beschriebenen Schritte durchgeführt, heute Nachmittag war dann noch Alles in Ordnung, aber nach einem neuerlichen Neustart gegen 18 Uhr war der Hijacker dann eben wieder da. Ich habe dann die Schritte nochmals durchgeführt, um wenigstens für eine gewisse Zeit "sauber" ins Internet gehen zu können und nicht immer von Extra-Fenstern gestört zu werden, diesmal hat sich die se.dll-Datei aber anscheinend schneller wieder vom Löschen erholt, jedenfalls ist sie jetzt schon wieder da (wenn auch "alleine", aber eine dazugehörige zweite dll-Datei wird wohl nach einem der nächsten Starts auch wieder unter O2 und O18 dabeisein). Hier mal mein aktueller Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:48:46, on 25.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab

Im Moment öffnet übrigens noch wie gewünscht Google den IE, aber wie gesagt, demnächst wird wohl mit der zweiten dll-Datei auch wieder die about:blank-Seite erscheinen ... !

@ dartus: Ja, hast Recht, ich habe E-Scan immer noch nicht zum Laufen gebracht.
@ Al-adin: Also unter Eigene Dateien habe ich keinen backups-Ordner, lediglich unter Spyboot Search&Destroy und Reg Cleaner (beider jedoch leer) und unter HijackThis (hier schon einige Einträge, z.B. backup-20050225-200236-878.dll -wird als Programmbibliothek geführt und wurde heute um 18.39 Uhr erstellt, das würde also passen). Das mit den 5 Wochen hört sich ja gar nicht gut an, ich hoffe doch, daß demnächst eine Möglichkeit gefunden wird, diesen lästigen Störenfried für immer zu beseitigen - und bis dahin hoffe ich weiter auf fachmännische Unterstützung.

Hallo AL-ADIN,

Einem anderen Beitrag von Dir habe ich dieses entnommen:
Demnach hast Du HijackThis im Verzeichnis ..\Eigene Dateien 'installiert'. Dann ist es auch normal, dass bei jeder 'Fix-Aktion' dort ein Unter-Verzeichnis "backups" angelegt wird. Dort befinden sich dann die Backups von HijackThis. ;)

Gebe HijackThis doch mal ein komplett eigenes Verzeichnis, also zum Beispiel C:\Programme\HijackThis\. Dann sollte es imho aufhören, dass sich im Pfad Eigene Dateien ein Unterordner 'backups' anlegt...

@Vilstalter,
ich habe den Thread Immer wieder 'se.dll/sp.html'aktualisiert. Vielleicht gehst Du noch einmal entsprechend vor!?!

Hallo Lutz, hallo Vilstaler,

der Lutz hat recht. Das kommt davon, wenn man hysterisch wird :eek:
Das ist mir jetzt aber peinlich.

Der Thread von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt dennoch meine Vermutung, das wir Symptomen bekämpfen, aber nicht die Ursache.

Schau Dir diesen Thread mal an, vielleicht bringt das ja was.

Gruß

AL-ADIN

Das muss Dir nicht peinlich sein. :)
Mir hätte es auch schon eher auffallen können... ;)

[Ironie]'Natürlich' basteln wir nur an den Symptomen, die Ursache können nur die beseitigen, die solche Unsicherheits-Browser wie den IE programmieren...[/Ironie]

Leider -oder zum Glück- konnte ich einen solchen Hijacker-Befall hier bei mir noch nicht rekonstruieren. Da mir bisher niemand sagen konnte, auf welcher Seite man sich diesen einfängt. Sollte jemand meinen, er/sie wüsste die bzw. eine der Seiten bitte nicht hier öffentlich posten, sondern ausnahmslos per PN mitteilen.
Danke!

Hallo Leute..
hab natürlich auch das gleiche Problem wie ihr -> sch... se.dll
habs schon im abgesicherten Modus, Ad Aware, und Hijackthis...
nicht funktioniert!

Hier mal mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 01:15:07, on 27.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\ALMXPMGR.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\winms.exe
C:\WINDOWS\System32\winms.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Programme\Gemeinsame Dateien\Siemens\Ace\bin\CCAgent.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\msdtc.exe
C:\PROGRA~1\MI6841~1\MSSQL$~1\binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\niSvcLoc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCEServer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Frippe\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Frippe\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Frippe\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchzoomer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.11.1.2:80
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,ALMXPMGR.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {142D65FD-C0D8-4DF7-9710-42B5FDD5C652} - C:\WINDOWS\System32\bfce.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Microsoft Windows Storage Machine Service] winms.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\RunServices: [Device Microsoft System] devsrv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Storage Machine Service] winms.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O18 - Filter: text/html - {1E49279A-33FD-44E5-BEC5-D18CE9151539} - C:\WINDOWS\System32\bfce.dll
O18 - Filter: text/plain - {1E49279A-33FD-44E5-BEC5-D18CE9151539} - C:\WINDOWS\System32\bfce.dll
O23 - Service: CCAgent - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\Ace\bin\CCAgent.EXE
O23 - Service: CCEClient - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCEClient.exe
O23 - Service: CCEServer - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\ACE\bin\CCEServer.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programme\National Instruments Labview\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OpcEnum - OPC Foundation - C:\WINDOWS\System32\OPCEnum.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Könnte mir mal wer weiterhelfen..

danke

mfg Frippe

Hallo,

Du hast leider noch schwerwiegendere Probleme.
U.a. hast Du den in Deinem System:

http://www.sophos.com/virusinfo/anal...32rbotahk.html = winms.exe

Leider wird Dir hier bei einem derartigen Befall eines Trojaners mit Backdoorfunktionalität zu Format C: geraten, um wieder ein sicheres und vertrauenswürdiges System zu haben.

Hier eine erstklassige Anletung:

http://www.trojaner-board.de/showthread.php?t=12154

Thema datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Hallo Lutz, Hallo Leidensgenossen,

ich habe die neuen Erkenntnisse aus dem Thread "Immer wieder 'se.dll/sp.html'" jetzt ausprobiert - leider wieder ohne Erfolg, es ist zum Verzweifeln.
Die se.dll-Datei wurde bei der Suche im Windows-Explorer nur 1x gefunden, das de-registrieren über regsvr32 /u C:WINDOWS\TEMP\SE.DLL hat dann nicht geklappt, da kam als Meldung
C:\WINDOWS\TEMP\SE.LL was loaded, but the DllUnregisterServer entry point was not found.
DllUnregisterServer may not be exported, or a corrupt version of C:\WINDOWS\TEMP\SE.DLL may be in memory. Consider using Pview to detect and remove it.
Das Löschen unter Misc Tools bei HijackThis hat dann funktioniert, anschließend habe ich noch alle bisherigen Ratschläge gebündelt (sprich verdächtige Einträge mit HijackThis gefixt, Registry auf beide dll-Dateien durchsuchen lassen und Funde gelöscht, Registry-Einträge wie about:blank oder HomeOldSp gelöscht, CW Shredder und RegistryOptimierer laufen lassen) - leider wie gehabt nur mit kurzzeitigem Erfolg.
Da ich momentan ziemlich ratlos und verzweifelt bin mal eine allgemeine Frage an alle Insider/Programmierer etc: Es hat im letzten Jahr auch schon einen ziemlich hartnäckigen Hijacker gegeben, der sich nicht so einfach entfernen ließ und von dem Viele betroffen waren - als Lösung dafür ist dann irgendwann ein kleines Programm namens SpHjfix erschienen, das den Störenfried dann erfolgreich bekämpft hat, können wir Betroffenen in der nächsten Zeit möglicherweise auch in unserem Fall mit einem solchen "Hilfsprogramm" rechnen?
Kann mir außerdem jemand einen guten Tip für einen Online-Scanner nennen, nachdem ich E-Scan leider nicht zum Laufen bringe?
@ Lutz: Ich habe leider bei deiner zusätzlichen Anleitung nicht ganz verstanden, wie (oder besser gesagt warum) man zur Kontrolle, ob die Hijacker-Variante wirklich entfernt wurde, den PC 1x komplett ausschalten, nach ein paar Sekunden neu starten und den InternetExplorer starten solle, ohne dabei online zu sein. Bei mir hat der IE dann immer noch versucht, als Startseite "about:blank" zu öffnen, man hat also anscheinend bloß die se.dll-Datei entfernt, sonst aber keine Eingriffe bezogen auf die Startseite durchgeführt? Hätte ich vor der Kontrolle vielleicht noch etwas anderes tun müssen und ist dieser Tipp jetzt hinfällig, nachdem es mit dem dauerhaften Entfernen unter Misc Tools beim HijackThis leider nicht geklappt hat?

Hallo Vilstaler,

Ratlos bin ich im Moment auch. :( Das liegt u.U. auch daran, dass ich hier die Infektion nicht nachstellen kann (keiner konnte mir bisher sagen, wo man sich das Ding einfängt) und von daher nur auf Vermutungen und Erfahrungen aus der Vergangenheit angewiesen bin. Ich werde den Programmierer von SpHjfix mal versuchen im Laufe des Tages zu kontakten, aber ich befürchte ohne die eigentlich verursachende Datei kann er auch nicht viel ausrichten.

Wenn ich so die Postings quer durchs Web verfolge, habe ich im Moment die Vermutung, dass 'lediglich' bei Win9x-Systemen die Bereinigung sich schwieriger darstellt. Daher habe ich mal eine Bitte an Dich.
Lade Dir mal das Tool StartDreck herunter, starte es und poste ein Log davon. Danke!

Hier habe ich mal einige Onlinescanner gelistet. http://malware.bul-online.de/av_onlinescan.php
Versuch mal als erstes den Scanner von TrendMicro, der läuft auch unter bspw. Firefox oder Mozilla... Allerdings wird das Browser Plugin für die Java 2 Platform benötigt.

Hallo Lutz,

hier der gewünschte StartDreck-Log, ich habe mein System mal infiziert gelassen (d.h. eigentlich ist es das ja immer, aber diemal habe ich vor dem Log halt nichts gelöscht), die SE.DLL ist wie immer die Gleiche, diesmal wird noch die zusätzliche Datei C:\WINDOWS\SYSTEM\NIJOE.DLL erzeugt, die im Hijack-This-Log unter O2 und O18 erscheint.

StartDreck (build 2.1.7 public stable) - 2005-02-27 @ 15:44:51 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 6.0.2800.1106
Logged in as Bender Andreas at X6B3K1
»Registry
»Run Keys
»Current User
»Run
*AKiller="C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
*cFos - Tip of the Day=C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
*SpyKiller=C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*Atikey=Atitask.exe
*AtiCwd32=Aticwd32.exe
*StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE
*LWBKEYBOARD=C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
*LWBMOUSE=C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*AVGCtrl=C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
*sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
+OptionalComponents
+IMAIL
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
»RunServicesOnce
**nq=rundll32 C:\WINDOWS\SYSTJM.INI,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\SPYBOT SEARCH&DESTROY\SPYBOT - SEARCH & DESTROY\blindman.exe" %1
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
+.htm
*htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome
+.html
*htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome
+.js
*JSFile=C:\WINDOWS\WScript.exe "%1" %*
+.jse
*JSEFile=C:\WINDOWS\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\WINDOWS\WScript.exe "%1" %*
+.vbe
*VBEFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsf
*WSFFile=C:\WINDOWS\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*{EEB00E62-88D4-11D9-BB30-003022F7CF65}
`InprocServer32=C:\WINDOWS\SYSTEM\NIJOE.DLL
»Files
»Autostart Folders
»Current User
*C:\WINDOWS\Startmenü\Programme\Autostart\Speedmgr.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\reminder-ScanSoft Produkt Registrierung.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\CAPI Control.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\DSLMON.lnk
»Default User
*C:\WINDOWS\Startmenü\Programme\Autostart\Speedmgr.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\reminder-ScanSoft Produkt Registrierung.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\CAPI Control.lnk
*C:\WINDOWS\Startmenü\Programme\Autostart\DSLMON.lnk
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\msdos.sys
*C:\config.sys
*C:\autoexec.bat
*C:\WINDOWS\wininit.bak
*C:\WINDOWS\dosstart.bat
»System/Drivers
»Running Processes
+FFEF307F=C:\WINDOWS\SYSTEM\KERNEL32.DLL
+FFFFEC0F=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
+FFFFFB7F=C:\WINDOWS\SYSTEM\MPREXE.EXE
+FFFFA9F7=C:\WINDOWS\SYSTEM\mmtask.tsk
+FFFE2BBF=C:\WINDOWS\RUNDLL32.EXE
+FFFE154F=C:\WINDOWS\EXPLORER.EXE
+FFFEE0F7=C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
+FFFD0FE7=C:\WINDOWS\SYSTEM\ATITASK.EXE
+FFFD22F3=C:\WINDOWS\SYSTEM\ATICWD32.EXE
+FFFD2CCB=C:\WINDOWS\SYSTEM\STIMON.EXE
+FFFDB33B=C:\WINDOWS\SYSTEM\TAPISRV.EXE
+FFFC1F9F=C:\WINDOWS\RUNDLL32.EXE
+FFFC1DDB=C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
+FFFCADD3=C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
+FFFB45F3=C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
+FFFB5207=C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
+FFFFA8F7=C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
+FFFB27B7=C:\WINDOWS\SYSTEM\RNAAPP.EXE
+FFFAF927=C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\STARTDRECK\STARTDRECK\STARTDRECK.EXE
»NT Services
»Application specific

Hallo,
was wurde eigentlich aus dem Hinweis auf dieses Posting?
Wie ich mitbekam (auch aus anderen Boards), soll dieser Tipp recht gut funktionieren.

http://www.trojaner-board.de/showpos...4&postcount=11

Nur dass man nach dem vorletzten Neustart und der Entfernung der *.dll und sp.dll
erneut die Registry nach diesen durchsuchen sollte, bevor man ein letztes Mal neu startet.

Ich bin zwar Laie in Sachen se.dll/sp.dll, aber ich habe eigentlich nur positive Resonanz auf diesen Tipp gelesen.

Eines deiner Probleme ist das: **nq=rundll32 C:\WINDOWS\SYSTJM.INI,DllGetClassObject

Es waere nett, wenn du die Datei C:\WINDOWS\SYSTJM.INI an virus@rokop-security.de oder an Lutz schicken koenntest. Vieleicht musst du die Datei erst packen(im abgesicherten Modus).

Falls das nicht funktionieren sollte, muessen wir es mit Killbox versuchen.

BTW: Welches Dateidatum hat die Datei?

Hallo Feierfox,

ich hab die in diesem Thread empfohlene Vorgehensweise auch ausprobiert, leider ohne Erfolg. Den Eintrag unter UninstallString habe ich gefunden und notiert, konnte ihn dann aber komischerweise unter Windows sofort löschen, in der Registry hab ich zu dieser DLL dann auch noch 1 Eintrag gefunden und gelöscht, aber wie gesagt ohne bleibenden Erfolg. Ich werd`s nachher aber nochmal probieren, mehr als die Hoffnung bleibt mir ja momentan eh nicht übrig.

@ raman
Ich habe die Datei C:\WINDOWS\SYSTJM.INI im Windows-Explorer nicht gefunden (auch dessen Suchfunktion hat kein Ergebnis gebracht), aber bei der Suche in der Registry wurde unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\DocFindSpecMRU diese Datei angezeigt - eine se.dll befindet sich übrigens auch in diesem Verzeichnis. Wie kann ich nun feststellen, welches Datum diese Datei hat bzw. wie kann ich sie euch schicken?

poste mal den uninstallstring. eigentlich ist der uninstallstring was gutes, denn er ist ja dazu da, ihn zu entfernen.

Versuche es bitte mal mit Killbox:
Lade es hier herunter: http://www.downloads.subratam.org/KillBox.zip
entpacke es und starte die killbox.exe In das weisse Feld bitte C:\WINDOWS\SYSTJM.INI eintragen "end Exporer Shell..." anhaken und das weisse Kreuz auf rotem Kreis druecken und das ganze mit Ja bestaetigen. Dann solltest du die Datei in c:\!submit finden, packen und schiken koennen.

Ein anderen ansatz kannst du hier finden: http://www.hijackthis.de/forum/showt...=9546#post9546

Kennst du dich mit PEbuilder aus? http://pcfreaks.big-clan.net/bartpe/index.shtml Das wuerde das ganz erheblich vereinfachen.

@ chris 14: Unter UninstallString steht "regsvr32 /s /u C:\WINDOWS\SYSTEM\NIJOE.DLL"

@ raman: Beim Ausführen der Killbox kam ein File Error: "This file does not seem to exist". Bei Standard File Kill war ein Punkt - und im Feld rechts unten, in dem man einige (zumeist EXE-) Dateien anklicken kann, stand KERNEL32.DLL. Hätte ich da noch etwas verändern müssen?
Mit dem PEbuilder kenn ich mich leider nicht aus (um ehrlich zu sein habe ich davon auch noch nie gehört), aber ich bin hoffentlich lernfähig, mußt mir nur sagen, was ich tun soll.

Das ist eine Bootcd, um diese allerdings erstellen zu koennen, braucht man allerdings WindowsXP!:)

Versuchen wir mal was anderes.

Kopiere bitte alles zwischen ---cut--- in Notepad und speichere die Datei in c:\windows mit dem Namen test25.bat dann fahre den Rechner im MS-dosmodus herunter. Du solltest dann am Dosprompt landen. Sieht ungefaehr so aus:

C:\>

dort test25 eingeben und ENTER druecken, dann den Rechner neu starten. und den Erzeugten Ordner c:\test25 packen und schicken.

---cut---
md c:\test25
ren C:\WINDOWS\SYSTJM.INI SYSTJM.xxx
copy C:\WINDOWS\SYSTJM.xxx c:\test25\
dir c:\windows\ /a:s /od >c:\test25\system.txt
dir c:\windows\ /a:h /od >c:\test25\hidden.txt
dir c:\windows\ /a:r /od >c:\test25\read.txt
---cut---

Ich weiss nicht, ob das so funtioniert, wie ich mir das erhoffe, aber mal schauen. :)

Kontrolliere bitte vorher noch, ob sich der name beim Startdreck Log noc der gleiche ist.

Ich glaub, wir haben kein Glück. Ich habe Alles wie beschrieben durchgeführt, nach der Eingabe von test25 im Dos-Modus kam dann folgendes:

C:\WINDOWS>md C:\test25
C:\WINDOWS>ren C:WINDOWS\SYSTJM. SYSTJM.xxx
C:\WINDOWS>copy C:\WINDWS\SYSTJM.xxx C:\test25\
Ungültiges Verzeichnis
C:\WINDOWS>dir C:\windows\ /a:s /od >c:\test25\system.txt
Ungültiges Verzeichnis
C:\WINDOWS>dir C:\windows\ /a:h /od >c:\test25\hidden.txt
Ungültiges Verzeichnis
C:\WINDOWS>dir C:\windows\ /a:r /od >c:\test25\read.txt
Ungültiges Verzeichnis
C:\WINDWS>

Beim Neustarten des PCs kam dann folgende Fehlermeldung: RUND DLL Fehler beim Laden von C:\WINDOWS\SYSTJM.INI
Die angegebene Datei wurde nicht gefunden.

Im Ordner C:\Test25 befinden sich jetzt lediglich 3 Textdateien (Hidden, Read, System), die alle 3 den gleichen Inhalt vorweisen, nämlich
Datentr„ger in Laufwerk C: WIN98SE
Seriennummer des Datentr„gers: 3D20-18EE

Das hilft uns nicht weiter, oder?

Doch, das ist gar nicht so schlecht. Jetzt packe den Ordner test25 mit winrar oder winzip und schicke es an virus@rokop-security.de mal schauen, was dabei herauskommt.

Bitte den Ordner packen, nicht einfach nur die Dateien!

Sorry, ich habe gerade 'unsichtbar' mitgelesen... ;)
Schick bitte ausnahmsweise mir auch die Datei an badfiles@bul-online.de

So wie es aussieht, stand das Prompt-Zeichen, als Du im DOS-Modus gebootet hast nicht auf C:\, sondern auf C:\Windows, deswegen die Fehlermeldungen. Aber offensichtlich hast Du es geschafft, die Datei SYSTJM.INI umzubenennen, nach SYSTJM.XXX. Das sieht man an der Fehlermeldung...

'Traumhaft' wäre es, wenn Du die Datei SYSTJM.XXX jetzt sehen könntest...

Hm, vieleicht musst du die Batch fuer Win98 etwas abaendern:
---cut---
copy C:\WINDOWS\SYSTJM.xxx c:\test25
dir c:\windows\*.* /a:s /od >c:\test25\system.txt
dir c:\windows\*.* /a:h /od >c:\test25\hidden.txt
dir c:\windows\*.* /a:r /od >c:\test25\read.txt
---cut---

einfach wieder als test25.bat speichern und ueberschreiben

Mach ich gleich, ich hab den ersten Test25-Ordner gerade an dich und an Lutz geschickt.

@ Lutz: Ich kann die Datei SYSTJM.XXX jetzt sehen, sie befindet sich unter C:\WINDOWS, ist 31 KB groß und vom 19. Februar 2005. Das könnte mit dem Zeitpunkt der Infizierung hinkommen.

Also die Datei bitte auch schicken.

Du kannst im Explorer auch den Windows und den windows\system Ordner nach Datum sortieren lassen ueber Ansicht/Details und Ansicht/Symbole anordnen nach/Aenderungsdatum. Werden zu diesem Datum (19. Februar 2005) noch andere Dateien angezeigt?

Es ist ueber die Batch im Dowmodus abeer genauer, a dort keine Windowsmalware dazwischen funken kann.

BTW: Funktioniert nun Escan?

Supe, die Datei ist nun da, mit allem was ich wollte. Nun will ich noch das :)

D3IH32 DLL 93.184 17.11.04 17:26
OTRJQ LOG 11.388 17.11.04 17:26
JVNHO TXT 3.362 17.11.04 17:26
APIFF32 EXE 26.624 17.11.04 17:26
IEYY DLL 98.926 03.02.05 19:30
XFDDZ DAT 7.305 03.02.05 19:30
BZZBQ LOG 3.567 03.02.05 19:30
D3EJ32 EXE 29.256 03.02.05 19:30

Alles bitte packen und schicken!:)

BTW: Koenntest du auch noh das mal laufen lassen, bitte?

---cut---
dir c:\windows\system\*.* /a:s /od >c:\test25\system2.txt
dir c:\windows\system\*.* /a:h /od >c:\test25\hidden2.txt
dir c:\windows\system\*.* /a:r /od >c:\test25\read2.txt
---cut---

Ich hab euch den "neuen" test25-Ordner auch geschickt - und diesmal ist auch die SYSTJM.XXX-Datei drin.
Die Systjm.xxx-Datei stammt vom 18. Februar (da hab ich mich verschrieben), zu diesem Datum finde ich bei der Explorer-Suchfunktion noch einige backup-Einträge unter HjackThis sowie einige Datein unter C:\WINDOWS\Profiles wie z.B. Checks.050218-1744 (LOG-Datei) oder einigen Spyware exclude files wie FileExt oder CookiesNS.
E-scan hab ich grad nochmal probiert, jetzt kommt eine Fehlermeldung "Diese Anwendung wird aufgrund eines ungültigen Vorgangs geschlossen". Unter Details steht dann "MWAVSCAN verursachte einen Fehler durch eine ungültige Seite". Na immerhin bewegt sich nach dem Anklicken schon mal was, bisher kam da noch nie eine Reaktion. Vielleicht läuft das Ding ja irgendwann doch noch.
Die gewünschten Dateien kriegst du sofort im Anschluß an dieses Mail.

Schicke die se.dll bitte auch noch und poste danach ein neues Hijackthis log

So, ich hoffe, du hast Alles gut bekommen, hier nun mein aktueller HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:41:47, on 27.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O2 - BHO: (no name) - {EEB00E62-88D4-11D9-BB30-003022F7CF65} - C:\WINDOWS\SYSTEM\NIJOE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O18 - Filter: text/html - {EEB00E61-88D4-11D9-BB30-0030D2255112} - C:\WINDOWS\SYSTEM\NIJOE.DLL
O18 - Filter: text/plain - {EEB00E61-88D4-11D9-BB30-0030D2255112} - C:\WINDOWS\SYSTEM\NIJOE.DLL

Die Dateien waren auch ein Treffer:

E:\virussubmitt\test\Dateien.zip Archive ZIP <ce0000.0.11>
E:\virussubmitt\test\Dateien.zip/Dateien/d3ih32.dll Packed UPX <d70000.0.10>
E:\virussubmitt\test\Dateien.zip/Dateien/d3ih32.dll Infected Trojan-Downloader.Win32.Agent.an <cd0000.0.e>
E:\virussubmitt\test\Dateien.zip/Dateien/apiff32.exe Packed UPX <d70000.0.10>
E:\virussubmitt\test\Dateien.zip/Dateien/apiff32.exe Infected Trojan-Downloader.Win32.Agent.cd <cd0000.0.e>
E:\virussubmitt\test\Dateien.zip/Dateien/ieyy.dll Packed PE-Crypt.Sqr <d70000.0.10>
E:\virussubmitt\test\Dateien.zip/Dateien/ieyy.dll Packed UPX <d70000.0.10>
E:\virussubmitt\test\Dateien.zip/Dateien/ieyy.dll Infected Trojan-Downloader.Win32.Agent.bq <cd0000.0.e>
E:\virussubmitt\test\Dateien.zip/Dateien/d3ej32.exe Infected Trojan-Downloader.Win32.Small.ajr <cd0000.0.e>
E:\virussubmitt\test\Dateien.zip/Dateien/se.dll Infected Trojan.Win32.StartPage.uz <cd0000.0.e>

Wenn Escan auch im abgesicherten Modus nicht funktioniert, bitte mal aboutbuster im abgesicherten Modus nutzen: http://www.downloads.subratam.org/AboutBuster.zip

Die se.dll auch im abgesicherten Modus loeschen, sowie auch die Verweise auf die dll im hijackthis log fixen, neu starten ins internet einwaehlen, surfen und dann ein neues Log erstellen und posten.

Edit: Das aboutbuster Log bitte auch hier posten

Ich habe dein letztes Posting nicht gesehen, sorry. Verseise auf diese Datei auch loeschen:
C:\WINDOWS\SYSTEM\NIJOE.DLL

Soll ich die Datein, die ich dir im Ordner geschickt habe, also auch alle im abgesicherten Modus löschen ? Die DAT und LOG-Dateien auch???

Sie sind zwar nicht gefaehrlich, aber sie kommen von den Downloadern. Du kannst sie auch loeschen.

Ich hab jetzt alle Dateien, die im Laufe des Abends von dir bemängelt wurden (also die NIJOE.DLL, SE.DLL, SYSTJM.XXX sowie die Datein, die ich dir gepackt geschickt habe) im abgesicherten Modus gelöscht und verdächtige Einträge mit HijackThis gefixt. Anschließend habe ich ebenfalls noch im abgesicherten Modus den AboutBuster laufen lassen, hier der Log dazu:

Scanned at: 22:33:18 on: 27.02.05


-- Scan 1 ---------------------------
about:Buster Version 4.0
Reference List : 19


ADS not scanned System(FAT)
Removed! : C:\WINDOWS\ybkzqd.dat
Removed! : C:\WINDOWS\SYSTEM\wfmit.dll
Attempted Clean Of Temp folder.
Pages Reset... Done!


Mein aktueller HijackThis-Log sieht meiner Meinung nach gar nicht so schlecht aus, aber das muß noch nichts heißen, das war vor einigen Tagen auch schon so - und dann kam über Nacht der Hijacker wieder zurück. Ich füg ihn hier trotzdem mal an:

Logfile of HijackThis v1.99.1
Scan saved at 23:17:55, on 27.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab

Jetzt ist`s aber genug für heute, ich melde mich dann morgen wieder mit den neuesten (hoffentlich positiven) Erkenntnissen.

Hi Vilstaler,

na da drück ich Dir mal alle Dauemn.
Nutze doch den Firefox zum Surfen, nimm den IExplorer nur zu Updaten und konfiguriere ihn entsprechend des Punktes nur 5. hier.

dartus

Hi Vilstaler,

jetzt warte ich aber 'gespannt' auf eine Rückmeldung von Dir... ;)
Ich hoffe, es ist nun endlich wieder alles im grünen Bereich bei Dir, bzw. bei Deinem Rechner.

Es sieht sehr sehr gut aus, dank der Hilfe von dir, raman und dem Daumendrücken von dartus scheint der Störenfried jetzt engültig beseitigt zu sein, Auslöser war wohl anscheinend wirklich diese SYSTJM.INI-Datei. Ich habe meinen PC und den IE heute schon mehrere Male gestartet, bisher stets ohne Probleme (das war in der jüngsten Vergangenheit nicht der Fall), ich hoffe, daß es in den nächsten Stunden keinen Rückfall mehr gibt, im Moment ist wie gesagt alles okay. Vielen herzlichen Dank für eure Hilfe, es ist gut zu wissen, daß man bei derartigen Problemen stets fachkundigen Rat einholen kann.

@Lutz
Von mir willst du nix haben, aber ich bin so gemein ;)
Ohne Cidre's Anleitung geht's nicht weiter. :)

Hallo Rene-gad,

also ich versteh nur Bahnhof, ist der Eintrag
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
vielleicht auch nicht in Ordnung.
Den CFOS-Treiber benutze ich, um mit GMX DSK ins Internet einzusteigen, brauch ich diesen Eintrag dazu nicht?
Und was bedeutet "Ohne Cidre's Anleitung geht's nicht weiter" ??? Also irgendwie hast du mich mit deinem Eintrag jetzt total verwirrt.

Hallo rene_gad,

klar, von Dir nehme ich auch immer gerne! :)

Nur verstehe ich im Moment nicht genau, was Du meinst.
Bedenke bitte, dass es sich hier um ein Win98-System handelt. Da ist ein cfos-Treiber nix ungewöhnliches...

Abend Lutz
Ich meine: ein laufendes Programm hat im Ordner "Eigene Dateien" nichts zu suchen. Oder ist es bei Win98 anders?
Ich kenne mich mit allen Wins relativ gut aus, außer 98 und ME ;)

Hallo Vilstaler
Für mich ist jedes Programm, dass aus dem Ordner "Eigene Dateien" startet, verdächtig
s. dunkelgrünen Link in meiner Signatur ;)

Das ist imho eher ein 'ungewöhnlicher' Installationsort, aber für mich kein Grund zur Annahme, dass es sich um Malware handeln sollte. Standard wäre wohl C:\Programme\cfos bzw. wenn ich mich Recht entsinne installiert sich cfos sogar unter c:\cfos, wenn man den Pfad nicht ändert. Aber es wird ja niemand daran gehindert, sich nicht an diese Standards zu halten. ;)

@Vilstaler:
Mit 'Cidres Anleitung' ist die Anleitung zum Neuaufsetzen eines Systems gemeint. Rene_gad und ich haben manchmal leicht unterschiedliche Ansichten, wann ein Rechner noch 'zu retten' ist, und wann man einen sauberen Schnitt machen sollte. Aber diese unterschiedlichen Ansichten hindern mich nicht daran, in Rene_gad einen sehr angenehmen Gesprächs- und Diskussionspartner zu sehen. :daumenhoc

DITO & FULL ACK! :party: :juul: :juul: :juul:

Alles klar, ich hoffe aber (jetzt sogar wieder begründet?), daß ich um`s Neuaufsetzten rumkomme.
Vielleicht kann ich wegen des cFos-Treibers ein bißchen für Aufklärung sorgen, der befindet sich im Ordner "Eigene Dateien2", den hab ich mir mal vor einiger Zeit selbst angelegt, der Name ist zwar nicht richtig originell, aber mir ist nichts besseres eingefallen. In diesen Ordner speichere ich jetzt die Programme, die ich selber downloade bzw. installiere (wie z.B. auch alle Antivirenprogramme), ich wollte halt einfach einen Überblick haben, welche Programme ich mir selber geholt habe und welche schon auf dem PC waren, deshalb dieser Ordner und nicht die übliche Speicherung unter C:\Programme. Ich hoffe, das ist kein Problem.