Problem mit SpSeHjfix 7, desinfiziert immer wieder
 

Hi zusammen !

Nach meinen manuellen Aufräumarbeiten bezüglich der se.dll, desinfiziert
die Beta 7 meinen Rechner immer wieder. Mal ist alles ok., dann gibt es
ne Fehlermeldung "Explorer" ( denke Windows nicht Internet Explorer) meldet sich auf dem Desktop. Ich schließe den Button. Und kann wieder neu das Tool starten: LOG:

08.03.05 20:12:39 SPSeHjFix 2nd Step
08.03.05 20:12:39 RunServicesOnce-Key: (edited)
08.03.05 20:12:54 Cleaned
08.03.05 20:16:49 SPSeHjFix started v1.01
08.03.05 20:16:49 OS: 3
08.03.05 20:16:49 Bad-Dll(IEP): (not found)
08.03.05 20:16:49 BHO-DLL: (not found)
08.03.05 20:16:49 UBF: 4
08.03.05 20:16:49 UBB: 1
08.03.05 20:16:49 UBR: 11
08.03.05 20:16:49 Bad IE-pages found:
08.03.05 20:16:49 Stealth-String not found:
08.03.05 20:16:49 Not infected->END

Machmal taucht im SpSeHjfix Ordner auch eine Bad.dll - Datei auf.

Inhalt : Stealth-String not found


Was ist zu tun ?

Viele Grüsse

Hi araco,

Taucht die Datei tatsächlich in dem Ordner auf, oder im Log??

wie groß ist denn die Wahrscheinlichkeit, dass Du Dich zwischendurch neu infizierst?

Wenn Du das ausschließen kannst, probiere bitte noch einmal die 6er-Version. Wenn Du diese nicht (mehr) hast, melde Dich kurz...

Hi Lutz !

Die TEXTdatei BAD_dll taucht im Ordner auf. Ist das vom Toolersteller so
gewollt ? Neuansteckung ist eher unwahrscheinlich.

Ich teste nochmal die 6er und später 8er Version, und melde mich
in ca. 2 Tagen, da ich festgestellt habe , dass das Phänomen der
erneuten Desinfizierung nicht sofort eintritt.

Grüsse

Hi araco,

dann hatte ich Dich missverstanden. ;)
Ich hatte gedacht, bei Dir taucht plötzlich eine 'böse' dll im Ordner des Tools auf. Das die Datei BAD_dll.txt dort auftaucht ist nichts ungewöhnliches, wenn eine solche Datei gefunden wird...

Hallo !

Derselbe Fehler ist wieder aufgedacht ( Explrer -Button -Fehlermeldung.
SpSeHjfix 6, 7 und 8 melden keine Infizierung.

Aber im Hijackt Log tauchen wieder alte Bekannte auf, obwohl ich Firefox
benutze. R0 etc:



Logfile of HijackThis v1.99.1
Scan saved at 20:44:31, on 18.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O12 - Plugin for .pdf%201: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Wenn ich die Übeltäter fixe ( auch im abgesicherten Modus), tauchen
sie irgendwann wieder auf.

Wie werde ich diesen Mist endgültig los ?

Falls es helfen sollte, hier mein aktuelles Startdreck-Log



StartDreck (build 2.1.7 public stable) - 2005-03-18 @ 21:04:43 (GMT +01:00)
Platform: Windows 98 SE (Win 4.10.2222 A)
Internet Explorer: 5.00.2614.3500
Logged in

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
»RunOnce
»Local Machine
»Run
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*SystemTray=SysTray.Exe
*nwiz=nwiz.exe /install
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
»RunOnce
»RunServices
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %*
+.htm
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.html
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.js
*JSFile=C:\WINDOWS\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\NOTEPAD.EXE %1
+.vbs
*VBSFile=C:\WINDOWS\WScript.exe "%1" %*
+.wsh
*WSHFile=C:\WINDOWS\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
`InprocServer32=C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
»Internet Explorer
»Current User
*Local Page=C:\WINDOWS\SYSTEM\blank.htm
+SearchUrl
*provider=
»Default User
*Local Page=C:\WINDOWS\SYSTEM\blank.htm
+SearchUrl
*provider=
»Local Machine
*Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
*Local Page=C:\WINDOWS\SYSTEM\blank.htm
*CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
*SearchAssistant=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
»Files
»Autostart Folders
»Current User
»Default User
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\autoexec.bat
*C:\WINDOWS\wininit.bak
*C:\WINDOWS\dosstart.bat
»System/Drivers
»Running Processes
+FFCF5985=C:\WINDOWS\SYSTEM\KERNEL32.DLL
+FFFF6D15=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
+FFFF9AA5=C:\WINDOWS\SYSTEM\MPREXE.EXE
+FFFF8365=C:\WINDOWS\SYSTEM\mmtask.tsk
+FFFFB31D=C:\WINDOWS\SYSTEM\MSTASK.EXE
+FFFE4065=C:\WINDOWS\TASKMON.EXE
+FFFE7095=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
+FFFDB595=C:\WINDOWS\RUNDLL32.EXE
+FFFDF205=C:\WINDOWS\SYSTEM\DDHELP.EXE
+FFFD6015=C:\WINDOWS\SYSTEM\WMIEXE.EXE
+FFFE065D=C:\WINDOWS\EXPLORER.EXE
+FFFC4B71=C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
+FFFC6B35=C:\WINDOWS\SYSTEM\RNAAPP.EXE
+FFFC818D=C:\WINDOWS\SYSTEM\TAPISRV.EXE
+FFFB3D61=C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
+FFFBDCA9=C:\WINDOWS\NOTEPAD.EXE
+FFFBBE69=C:\PROGRAMME\STARTDRECK\STARTDRECK.EXE
»NT Services
»%System%\VMM32
*C:\WINDOWS\SYSTEM\VMM32\IFSMGR.VXD
*C:\WINDOWS\SYSTEM\VMM32\IOS.VXD
*C:\WINDOWS\SYSTEM\VMM32\QEMMFIX.VXD
»Application specific


Ich hoffe Ihr könnt mir helfen .

Beste Grüsse

Hallo,

Welche?!
Ich sehe nichts verdächtiges.

Nach der momentan eingesetzten Software auf deinem System zu urteilen = NIE!
Du sollst nicht nur die Symptome beseitigen, sondern auch die Ursache, die da wäre -> Das Tool von Seeker kann noch so gut sein, aber es kann dich eben nicht vor einer Neuinfizierung schützen.
Darum IE 6 SP1 installieren und nur noch für das Windows Update benutzen, nur noch alternative Browser verwenden wie z.B. Firefox den du ja bereits benutzt, dann ist auch dein Problem behoben.